Escolhendo credenciais de segurança de rede

  • Artigo

O servidor proxy de símbolo deve ser executado em um contexto de segurança com os privilégios apropriados para acesso aos repositórios de símbolos que você planeja usar. Se você obtiver símbolos de um repositório Web externo, como https://msdl.microsoft.com/download/symbols, o servidor proxy de símbolo deverá acessar a Web de fora de qualquer firewall. Se você obtiver arquivos de outros computadores em sua rede, o servidor proxy de símbolo deverá ter privilégios apropriados para ler arquivos desses locais. Duas opções possíveis são definir o servidor proxy de símbolo para autenticar como a conta do Serviço de Rede ou criar uma conta de usuário gerenciada dentro de Active Directory Domain Services juntamente com outras contas de usuário.

Nota É uma boa prática limitar privilégios dessa conta apenas aos necessários para ler arquivos e copiá-los para c:\symstore. Essa restrição impede que os clientes que acessam seu repositório HTTP corrompam o sistema.

Nota Verifique se as opções apresentadas aqui fazem sentido em seu ambiente. Diferentes organizações têm diferentes necessidades e requisitos de segurança. Modifique o processo descrito aqui para dar suporte aos requisitos de segurança da sua organização.

Autenticar como um serviço de rede

A conta do Serviço de Rede é interna no Windows, portanto, não há nenhuma etapa extra de criação de uma nova conta. Para este exemplo, nomeamos o computador em que o servidor proxy de símbolo está sendo configurado SymMachineName em um domínio chamado corp.

Repositórios de símbolos externos ou proxies da Internet devem ser configurados para permitir que a conta de Serviço de Rede (Conta de Máquina) deste computador se autentique com êxito. Há duas maneiras de fazer isso:

  • Permitir acesso ao grupo Usuários Autenticados no repositório externo ou proxy da Internet.

  • Permitir acesso à conta de computador corp\SymMachineName$. Essa opção é mais segura porque limita o acesso apenas à conta "Serviço de Rede" do servidor proxy de símbolo.

Autenticar como um usuário de domínio

Para este exemplo, presumiremos que a conta de usuário se chama SymProxyUser em um domínio chamado corp.

Para adicionar a conta de usuário ao grupo IIS_USRS

  1. Em Ferramentas Administrativas , abra Gerenciamento de Computador.

  2. Expanda Usuários e Grupos Locais.

  3. Clique em Grupos.

  4. Clique duas vezes em IIS_USRS no painel central e selecione Propriedades.

  5. Na seção Membros , clique em Adicionar.

  6. Digite corp\SymProxyUser no painel rotulado Inserir o nome do objeto a ser selecionado.

  7. Para sair da caixa de diálogo Selecionar Usuários, Computador ou Grupos , clique em OK.

  8. Para sair IIS_USRS Propriedades, clique em OK.

  9. Feche o console Gerenciamento do Computador.

Configurar o IIS para usar a conta

  1. Em Ferramentas Administrativas, abra o Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Expanda Sites.

  3. Clique com o botão direito do mouse em Site Padrão e escolha Propriedades.

  4. Clique na guia Segurança de Diretório.

  5. Na seção Autenticação e controle de acesso , clique em Editar....

  6. Verifique se Habilitar o acesso anônimo está marcado.

  7. Insira as credenciais da conta que tem permissões para acessar os repositórios de servidor de símbolo remoto ("corp\SymProxyUser") e clique em OK.

  8. Insira novamente a senha quando solicitado e clique em OK.

  9. Para sair das Propriedades do Site Padrão, clique em OK.

  10. Você pode receber a caixa de diálogo Substituições de Herança . Nesse caso, selecione a quais diretórios virtuais você deseja que isso se aplique.

Autenticar como um usuário de domínio usando o grupo IIS_WPG

Para este exemplo, a conta de usuário é chamada de SymProxyUser em um domínio chamado corp. Para autenticar essa conta de usuário, ela deve ser adicionada ao grupo IIS_WPG .

Para adicionar a conta de usuário ao grupo IIS_WPG

  1. Em Ferramentas Administrativas , abra Gerenciamento de Computador.

  2. Expanda Usuários e Grupos Locais.

  3. Clique em Grupos.

  4. Clique duas vezes IIS_WPG no painel direito.

  5. Clique em Adicionar.

  6. Digite corp\SymProxyUser no painel rotulado Inserir o nome do objeto a ser selecionado.

  7. Para sair da caixa de diálogo Selecionar Usuários, Computador ou Grupos , clique em OK.

  8. Para sair IIS_WPG Propriedades, clique em OK.

  9. Feche o console Gerenciamento do Computador.