Microsoft Home Microsoft Home
Microsoft FrontPage Server Extensions Resource Kit logo  Microsoft FrontPage 2000 服务器扩展资源工具箱

Windows NT 上的安全性

 第 2 页,共 9 页      IIS 验证方法

所有用户都必须先进行验证,而后才能获得 IIS 资源的访问权。IIS 支持匿名验证、基本验证、 Windows NT 挑战/反应验证、和摘要访问验证。

匿名验证

匿名验证可通过特殊的“匿名”帐号,为主机上没有帐号的用户提供访问权。各种 Internet 服务,例如全球广域网服务或 FTP  服务,都使用一个 Windows NT 帐号(一个用户名称与密码)来处理匿名请求。 Internet Information Services 会在安装时创建 Web 服务的匿名帐号, IUSR_machinename。在默认情况下,所有站点客户端的请求都使用这个帐号,在客户端使用此帐号时,它们就会获得对站点内容的访问权。您可以同时启用匿名登录访问和验证访问。

当 IIS 接收到匿名请求时,它会摸拟匿名登录帐号。如果匿名帐号具有访问所请求资源的权限,请求成功;此帐号是否具有访问权限,由资源的 ACL 决定。如果匿名帐号没有访问权限,请求失败。WWW  服务会以要求该用户提供有效的 Windows NT 用户名称和密码,来回复失败的匿名要求。

基本验证

基本验证是被 Internet 上大多数站点服务器所支持的一种验证方法。当服务器使用基本验证时,Web 浏览器(或 FrontPage 客户端)提示用户输入名称与密码。用户名称和密码以明文通过 HTTP 传送.IIS 使用这个用户名称和密码确认相应的 Windows NT 用户。

在基本验证中,用户总是用本地登录权来登录,这种权限与用户在计算机控制台上通过交互式会话登录的操作类似。(要使用基本验证,请在 IIS  服务器上授以各用户帐号本地登录的用户权限。)管理员应注意基本验证使用本地登录时可能引起的两个问题:

  • 如果用户帐号没有本地登录权,基本验证将失败。即使 FrontPage 、 IIS 、与 Windows NT 似乎都配置正确,如果在 Windows NT 的用户管理器中并没有授予用户本地登录权,基本验证不能验证用户。
  • 有本地登录权时,如果用户能够得到运行 IIS 的主机的物理访问,用户可以在控制台开始交互式会话。

基本验证的另一个安全性的问题是,用户名称与密码是以很容易被破解的格式在网络上传送的。

如果您的站点站点必须支持 FrontPage 1.1 客户端版本的创作(它不支持 Windows NT 挑战与反应),或是如果您要确保您的站点站点可以被各种浏览器访问,那么您就必须启用基本验证。 另外,基本验证可以通过代理服务器,穿过防火墙工作。如果用户通过代理服务器连接到您在 Internet 上的站点服务器,那么您就必须使用基本验证,而不能使用 Windows NT 挑战与反应。

基本验证比 Windows NT 挑战与反应更快。如果您将基本验证与安全套接层 (SSL) 一起使用,就可以形成既安全又快速的验证方法。

Windows NT 挑战与反应验证

Windows NT 挑战与反应(也称为 NTLM)是一种比基本验证更安全的验证方法。当用户是用 Windows NT 挑战与反应来验证时,用户是以网络登录的方式登录站点服务器的。 Web 浏览器或 FrontPage 客户端会试图先使用用户提供的用户登录客户端计算机的身份证明。如果这些身份证明被拒绝, Windows NT 挑战与反应将会以对话框的方式,提示用户输入名称和密码。如果用户是作为本地计算机的网域用户登录,用户就不需在访问该网域中的远程计算机时,再次进行验证。

用户名称和密码是在客户端与站点服务器之间进行多次交互时,安全地加密传送。这种交互操作可防止通过监视客户端和服务器之间网络上数据流从而试图闯入系统的间谍行为。

Windows NT 挑战与反应有下列的限制:

  • Windows NT 挑战与反应验证不能通过代理,穿过防火墙进行。这时,用户就只能使用基本验证。
  • 某些 Web 浏览器(例如, Netscape Navigator)不支持 Windows NT 挑战与反应验证。
  • Windows NT 挑战与反应不支持委托到从属服务器上的。用户的身份证明不能传送到另一台机器。例如,当要求送入 IIS 时,用户帐号的身份证明不能传送给从属服务器上的 Microsoft SQL Server。

由于 Windows NT 挑战与反应验证不能通过防火墙运行,它是 intranet 上最有效的验证方法,因为 intranet 上的通讯都是在组织的防火墙内进行的。

您可以同时启用基本验证和 Windows NT 挑战与反应验证。如果 Web 浏览器支持 Windows NT 挑战与反应,它就使用这种验证方法。 否则,它就使用基本验证。Windows NT 挑战与反应验证目前只有 Microsoft Internet Explorer 2.0 及更新的版本支持。

摘要访问验证

和基本验证一样,摘要访问验证是按照简单的提问/回答 (challenge-response) 的方式进行。摘要验证方案使用当前值 (服务器特定的数据串,它是在每次发生 401  错误时生成的唯一的数据串。 )提问 (challenge)。一个有效的回答包括用户名称、密码、给予的当前值、 HTTP  方法、和所请求的 URL 的校验和。这样,密码的传送文本就不再以那么容易被破解,而这是基本验证的最大弱点。

摘要访问验证必须在安装 Internet Explorer 5.0 的客户端机器上运行。

 Security section art
概述       
安全性      
简介
Windows NT 上的
安全性
UNIX 上安全性
安装       
管理       
附录       
索引       


 第 2 页,共 9 页      回到页首
上次更新时间 1998 年 11 月
©1998 Microsoft Corporation。保留所有权利。使用规定。