Настройка IIS 5.0 и более поздних версий для WMI ASP-скриптов
Все параметры проверки подлинности выполняются с помощью диспетчера служб Интернета.
При настройке безопасности IIS 5.0 и IIS 6.0 для скриптов WMI ASP учитывайте следующие проблемы:
-
Вы можете настроить на уровне сервера, каталога или файла.
-
Вы можете задать для проверки подлинности анонимную проверку подлинности, встроенную систему Windows или и то, и другое.
-
Вы можете настроить asp для выполнения внутри процесса (низкая защита) или вне процесса с помощью Dllhost.exe (средняя или высокая защита).
Уровень проверки подлинности
Для дополнительной безопасности можно настроить проверку подлинности на уровне каталога или файла.
Если проверка подлинности задана на уровне сервера, все последующие каталоги и файлы будут соответствовать проверке подлинности сервера, если они не были явно изменены на уровне каталога или файла. Вы можете создать структуру каталогов, содержащую все скрипты WMI ASP, в которых HTML-страницы и ASP, относящиеся к WMI, можно настроить независимо от остальной части сервера. Выполните следующую процедуру, чтобы изменить уровень проверки подлинности сервера, каталога или файла.
Настройка проверки подлинности на любом уровне
В панель управления дважды щелкните Администрирование, а затем дважды щелкните оснастку IIS.
Найдите значок страницы ASP и откройте свойства для заданного уровня, которые могут быть сервером, каталогом или файлом.
Примечание
Параметры проверки подлинности находятся на вкладке Безопасность каталога или Безопасность файлов на странице Свойства.
Параметр проверки подлинности
Для скриптов WMI ASP сочетание анонимная проверка подлинности отключена (снята) и встроенная проверка подлинности Windows включена (установлен флажок) предоставляет больше возможностей для настройки безопасности. Чтобы использовать параметры проверки подлинности NT LAN Manager (NTLM), Passport или Digest IIS, необходимо включить права удаленного включения, так как пользователь обрабатывается как сетевое удостоверение и регистрируется удаленно. Параметр удаленного включения не требуется для анонимной и обычной проверки подлинности. Однако система гораздо менее безопасна при использовании анонимной и обычной проверки подлинности.
Если анонимная проверка подлинности используется со встроенной проверка подлинности Windows или без нее, наиболее безопасным подходом является использование входа, требующего от пользователя ввода имени пользователя и пароля. Вход по умолчанию — это удостоверение IIS, но его можно создать с помощью определенных разрешений, подходящих для скриптов WMI ASP, которые можно использовать в качестве учетной записи для анонимных или гостевых подключений.
Если вы выбрали идентификатор входа, который не является удостоверением IIS, снимите флажок Разрешить IIS управлять паролями проверка и введите правильный пароль. При этом все анонимные или гостевые подключения будут использовать идентификатор входа. Создавая вход отдельно от удостоверения IIS, вы можете управлять привилегиями учетной записи, получающей доступ к инструментарию WMI, не затрагивая другие каталоги или файлы на сервере IIS, если только проверка подлинности не задана на уровне сервера.
Выполните следующую процедуру, чтобы задать требования к проверке подлинности для страницы ASP с помощью оснастки IIS в панель управления.
Получение доступа к параметру учетной записи
В панель управления дважды щелкните значок Администрирование, откройте оснастку IIS, найдите страницу ASP и откройте свойства заданного уровня, который может быть сервером, каталогом или файлом.
Параметры проверки подлинности можно найти на вкладке Безопасность каталога или Безопасность файлов на странице Свойства .
В области Анонимная проверка подлинности нажмите кнопку Изменить.
Если выбран идентификатор входа, отличный от удостоверения IIS, снимите флажок Разрешить IIS управлять паролем проверка и введите правильный пароль. При этом все анонимные или гостевые подключения будут использовать идентификатор входа.
С помощью входа, отличного от удостоверения IIS, можно управлять привилегиями учетной записи, получающей доступ к инструментарию WMI, не затрагивая другие каталоги или файлы на сервере IIS, если только проверка подлинности не задана на уровне сервера.
Предыдущая конфигурация позволяет серверу IIS использовать анонимную проверку подлинности в одних областях, а встроенную проверку подлинности Windows или смешанную проверку подлинности — в других.
Защита
Последнее соображение при настройке сервера IIS заключается в том, какая защита будет использоваться при выполнении ASP.
Вы можете настроить ASP для выполнения следующих компонентов:
Из процесса в IIS (низкая защита).
Вне службы IIS с Dllhost.exe в виде пула или вне процесса (средняя защита в пуле).
Внепроцессный локальный узел (высокая защита).
Примечание
Для оптимального баланса между безопасностью и производительностью используйте узел в пуле.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по