china pub coM 第章服务器防护743 个可以修改的口令,并给用户“ Log on Authentication Method Locally”的权限,用户可以访问I5.0的omu WWW服务。 如果匿名验证启用,访问WWW服务的 Account used fo anonymous ac Authenticated acce 用户就可以以分配给IUSR_ Machine Name Fo the lolowing authentication methods, use name and passwod e 帐号的权限访问这些资源,可以通过上面 es control ists 显示的对话框中的Edit钮来修改权限和匿名 r Basic authentication (password is sent in clear text) 者的帐号。 r Diest awhen 注意,安装IS50时,也产生另外一个 F Integated wndows authentication 叫 TWAM MACHINENAME的用户帐号。当 我们建立一个S进程外运行的b应用程序 时,将产生一个在 WAM MACHINENAME 图24-9验证方法设置窗口 帐号下运行的MIS数据包 2.基本验证 如果用户要使用匿名用户不允许使用的资源,请求将被拒绝,并将“401 Access denied” 消息返回给用户。如果其他两种验证方式中的一种启用了,则大部分的浏览器将提示用户给 出用户名和口令,并把用户名和口令以及请求提交给服务器确认 基本验证和 Windows内置验证之间的不同在于用户名和口令的传递方式不同。在基本验 证中,它们没有加密,以明文的方式传递。用户的ID也可简单地表示(如 Mobius),也能完整 地表示(如 Domainname/ Mobius)。在IS5.0中还能用新的形式表示,如 mobis@ Domainname.com 明文形式传送的用户名和口令可以用SSL来加密 3. Windows内置的验证(IWA) 使用IWA(以前在 Windows nt40中称为TLM或 Windows nt Challenge/ Response验证) 用户口令不必在网络上传递,因此黑客们无法窃取。服务器(IS)询问用户信息时,客户用服 务器预先选定好的已加密的安全信息包来回应,其加密方法和验证方法依赖于 Windows所用 的协议 如果客户和IS服务器都与一个 Kerberos Kdo( Key Distribution Center)有可信的连接并且 都有AD兼容性,IS将使用 Kerberos网络验证协议( Kerberos network authentication protocol) 来验证。 Windows2000的验证基于 Kerberos模式, Kerberos是一种新的安全模式。可在下面的 网址找到更多的关于这方面的信息:htp:/www.microsoftcom/security/tech/kerberosa 如果服务器或客户端与 Kerberos不兼容,那么,服务器将使用 Windows NT Challenge/ Response协议。可在下面的网址中找到有关这方面的更多信息:http://www.microsoft com/NTServer/security 不考虑这些协议的详细内容,有关IwA有两点需要搞清楚 匿名用户被拒绝或匿名用户访问一个页面时,在建立与页面内容的连接之前而被强制进 行身份验证时,才会使用IWA进行验证。 IWA与 Internet Explorer2以上版本兼容。一个可以修改的口令，并给用户“ Log on L o c a l l y”的权限，用户可以访问 IIS 5.0的 W W W服务。 如果匿名验证启用，访问 W W W服务的 用户就可以以分配给 I U S R _ M a c h i n e N a m e 帐号的权限访问这些资源，可以通过上面 显示的对话框中的 E d i t钮来修改权限和匿名 者的帐号。 注意，安装I I S 5 . 0时，也产生另外一个 叫I WA M _ M A C H I N E N A M E的用户帐号。当 我们建立一个I I S进程外运行的We b应用程序 时，将产生一个在I WAM_ MACHINENAME 帐号下运行的M T S数据包。 2. 基本验证 如果用户要使用匿名用户不允许使用的资源，请求将被拒绝，并将“ 401 Access Denied” 消息返回给用户。如果其他两种验证方式中的一种启用了，则大部分的浏览器将提示用户给 出用户名和口令，并把用户名和口令以及请求提交给服务器确认。 基本验证和 Wi n d o w s内置验证之间的不同在于用户名和口令的传递方式不同。在基本验 证中，它们没有加密，以明文的方式传递。用户的 I D也可简单地表示 (如M o b i u s )，也能完整 地 表 示 (如 D o m a i n N a m e / M o b i u s )。 在 IIS 5.0中还 能 用 新 的 形 式表 示 ， 如 m o b i w s @ D o m a i n N a m e . c o m . 明文形式传送的用户名和口令可以用 S S L来加密。 3. Wi n d o w s内置的验证( I WA ) 使用I WA (以前在Windows NT 4.0中称为T L M或Windows NT Challenge/Response验证)， 用户口令不必在网络上传递，因此黑客们无法窃取。服务器 ( I I S )询问用户信息时，客户用服 务器预先选定好的已加密的安全信息包来回应，其加密方法和验证方法依赖于 Wi n d o w s所用 的协议。 如果客户和I I S服务器都与一个Kerberos KDC(Key Distribution Center)有可信的连接并且 都有A D兼容性，I I S将使用K e r b e r o s网络验证协议(Kerberos Network Authentication Protocol) 来验证。Windows 2000的验证基于K e r b e r o s模式，K e r b e r o s是一种新的安全模式。可在下面的 网址找到更多的关于这方面的信息： h t t p : / / w w w. m i c r o s o f t . c o m / s e c u r i t y / t e c h / k e r b e r o s。 如果服务器或客户端与 K e r b e r o s不兼容，那么，服务器将使用 Windows NT Challenge/ R e s p o n s e协议。可在下面的网址中找到有关这方面的更多信息： h t t p : / / w w w. microsoft. c o m / N T S e r v e r / s e c u r i t y。 不考虑这些协议的详细内容，有关 I WA有两点需要搞清楚： • 匿名用户被拒绝或匿名用户访问一个页面时，在建立与页面内容的连接之前而被强制进 行身份验证时，才会使用I WA进行验证。 • IWA与Internet Explorer 2以上版本兼容。 第2 4章 服务器防护计计743 下载 图24-9 验证方法设置窗口