Configurar o IIS 5.0 e posterior para script ASP do WMI

Todas as configurações de autenticação são feitas por meio do Gerenciador de Serviços de Internet.

Ao configurar a segurança do IIS (Internet Information Server) 5.0 e do IIS 6.0 para scripts ASP do WMI, considere os seguintes problemas:

  • Nível de autenticação

    Você pode configurar no nível de servidor, diretório ou arquivo.

  • Definição de autenticação

    Você pode definir a autenticação como Anônima, Integrada do Windows ou ambas.

  • Proteção

    Você pode definir o ASP para executar em processo (baixa proteção) ou fora do processo usando Dllhost.exe (proteção média ou alta).

Nível de autenticação

Para obter mais segurança, você pode configurar a autenticação no nível do diretório ou do arquivo.

Se a autenticação for definida no nível do servidor, todos os diretórios e arquivos subsequentes aderirão à autenticação do servidor, a menos que sejam explicitamente alterados no nível do diretório ou do arquivo. Você pode criar uma estrutura de diretório para conter todos os scripts ASP do WMI em que páginas HTML e ASPs específicos do WMI podem ser configurados sem importar o restante do servidor. Execute o procedimento a seguir para alterar o nível de autenticação de um servidor, diretório ou arquivo.

Para definir a autenticação em qualquer nível

  1. No Painel de Controle, clique duas vezes em Ferramentas Administrativas e clique duas vezes em snap-in do IIS.

  2. Localize o ícone da página ASP e abra as propriedades do nível a ser definido, que pode ser servidor, diretório ou arquivo.

    Observação

    As configurações de autenticação estão localizadas na guia Segurança do diretório ou Segurança de arquivos da folha Propriedades.

     

Definição de autenticação

Para scripts ASP do WMI, a combinação de autenticação Anônima desativada (desmarcada) e autenticação Integrada do Windows ativada (verificada) oferece maior oportunidade para definir a segurança. Para usar as configurações de autenticação do NTLM (NT LAN Manager), Passport ou Digest IIS, você deve ativar os privilégios de habilitação remota, pois o usuário é tratado como uma identidade de rede e registrado remotamente. A configuração de habilitação remota não é necessária para autenticação Anônima e Básica. No entanto, o sistema é muito menos seguro quando você está usando a autenticação Anônima e Básica.

Se a autenticação Anônima for usada com ou sem a autenticação Integrada do Windows, a abordagem mais segura será usar um logon que exija que um usuário insira um nome de usuário e senha. O logon padrão é a identidade do IIS, mas um logon pode ser criado usando permissões específicas adequadas aos scripts ASP do WMI que podem ser usados como a conta para as conexões anônimas ou de convidado.

Se você escolher um identificador de logon que não seja uma identidade do IIS, desmarque a caixa de seleção Permitir que o IIS controle a senha e insira a senha correta. Isso força todas as conexões anônimas ou de convidado a usar o identificador de logon. Ao criar um logon separado da identidade do IIS, os privilégios de uma conta que acessa o WMI podem ser controlados sem afetar os outros diretórios ou arquivos no servidor IIS, a menos que a autenticação seja definida no nível do servidor.

Execute o procedimento a seguir para definir os requisitos de autenticação para a página ASP usando o snap-in do IIS no Painel de Controle.

Para acessar a configuração da conta

  1. Em Painel de Controle, clique duas vezes no ícone Ferramentas Administrativas, abra o snap-in do IIS, localize sua página ASP e abra as propriedades do nível a ser definido, que pode ser servidor, diretório ou arquivo.

    As configurações de autenticação podem ser encontradas na guia Segurança do diretório ou Segurança de arquivos da folha Propriedades.

  2. Na área de autenticação Anônima, clique em Editar.

  3. Se um identificador de logon diferente da identidade do IIS estiver selecionado, desmarque a caixa de seleção Permitir que o IIS controle a senha e insira a senha correta. Isso força todas as conexões anônimas ou de convidado a usar o identificador de logon.

Ao usar um logon diferente da identidade do IIS, os privilégios da conta que acessa o WMI podem ser controlados sem afetar os outros diretórios ou arquivos no servidor IIS, a menos que a autenticação seja definida no nível do servidor.

A configuração anterior permite que o servidor IIS use a autenticação Anônima em algumas áreas e a autenticação Integrada do Windows ou a autenticação mista em outras.

Proteção

A última consideração ao configurar o servidor IIS é qual proteção usar ao executar um ASP.

Você pode definir um ASP para executar o seguinte:

  • Em processo para IIS (baixa proteção).

  • Externo para o IIS com Dllhost.exe como em pool ou fora do processo (proteção média em pool).

  • Auto-hospedagem fora do processo (alta proteção).

Observação

Para obter o melhor equilíbrio de segurança e desempenho, use o host em pool.