为 WMI ASP 脚本配置 IIS 5.0 及更高版本

所有身份验证设置都通过 Internet 服务管理器进行。

为 WMI ASP 脚本配置 Internet Information Server (IIS) 5.0 和 IIS 6.0 安全性时,请考虑以下问题:

  • 身份验证级别

    可以在服务器、目录或文件级别进行配置。

  • 身份验证设置

    可以将身份验证设置为匿名、集成 Windows 或两者。

  • 保护

    可以将 ASP 设置为在进程内运行(低保护),也可以使用 Dllhost.exe(中高保护)设置为进程外。

“身份验证级别”

为了提高安全性,可以在目录或文件级别配置身份验证。

如果在服务器级别设置身份验证,则所有后续目录和文件都遵循服务器身份验证,除非在目录或文件级别显式更改。 可以创建目录结构,以包含所有 WMI ASP 脚本,其中特定于 WMI 的 HTML 页面和 ASP 可以独立于服务器的其余部分进行配置。 执行以下过程以更改服务器、目录或文件的身份验证级别。

在任意级别设置身份验证

  1. 在“控制面板”中双击“管理工具”,再双击“IIS 管理单元”。

  2. 找到 ASP 页面图标,然后打开要设置的级别的属性,可以是服务器、目录或文件。

    注意

    身份验证设置位于“属性”工作表的“目录安全性”或“文件安全性”选项卡上。

     

身份验证设置

对于 WMI ASP 脚本,关闭(取消选中)匿名身份验证和打开(选中)集成 Windows 身份验证的组合为设置安全性提供更佳机会。 若要使用 NT LAN Manager (NTLM)、Passport 或摘要式 IIS 身份验证设置,必须启用远程启用权限,因为用户被视为网络标识并远程登录。 匿名和基本身份验证不要求远程启用设置。 但是,使用匿名和基本身份验证时,系统的安全性要低得多。

如果在使用或不使用集成 Windows 身份验证的情况下进行匿名身份验证,则最安全的方法是使用要求用户输入用户名和密码的登录。 默认登录是 IIS 标识,但可以使用适用于 WMI ASP 脚本的特定权限创建登录,可用作匿名连接或来宾连接的帐户。

如果选择的登录标识符不是 IIS 标识,请清除“允许 IIS 控制密码检查”复选框,然后输入正确的密码。 这会强制所有匿名连接或来宾连接使用登录标识符。 通过创建独立于 IIS 标识的登录,可以控制访问 WMI 的帐户的权限,而不会影响 IIS 服务器上的其他目录或文件,除非在服务器级别设置身份验证。

执行以下过程,使用控制面板中的 IIS 管理单元设置 ASP 页面的身份验证要求。

访问帐户设置

  1. 在“控制面板”中,双击“管理工具”图标,打开 IIS 管理单元,找到 ASP 页面,然后打开要设置的级别的属性,可以是服务器、目录或文件。

    可以在“属性”工作表的“目录安全性”或“文件安全性”选项卡上找到身份验证设置。

  2. 在匿名身份验证区域中,单击“编辑”。

  3. 如果选择了 IIS 标识以外的登录标识符,请清除“允许 IIS 控制密码检查”复选框,然后输入正确的密码。 这会强制所有匿名连接或来宾连接使用登录标识符。

通过使用不同于 IIS 标识的登录,可以控制访问 WMI 的帐户的权限,而不会影响 IIS 服务器上的其他目录或文件,除非在服务器级别设置身份验证。

以前的配置允许 IIS 服务器在某些区域使用匿名身份验证,在其他区域中使用集成 Windows 或混合身份验证。

保护

配置 IIS 服务器时的最后一个注意事项是,在执行 ASP 时要使用哪一种保护。

可以将 ASP 设置为运行以下命令:

  • IIS 进程内(低保护)。

  • 在 IIS 之外,使用 Dllhost.exe 为共用或进程外(共用中型保护)。

  • 进程外内部测试(高保护)。

注意

为了在安全性和性能方面实现最佳平衡,请使用共用主机。