Autenticação no IIS 6.0

[helldanger1]

Você pode exigir que os usuários forneçam um nome de conta de usuário e senha válidos do Microsoft® Windows® para que possam acessar as informações no servidor. Esse processo de identificação é chamado de autenticação. A autenticação pode ser definida no nível de site ou site FTP, diretório ou arquivo. O IIS fornece métodos de autenticação para controlar o acesso a sites e FTP.

Esta seção inclui as seguintes informações:

Autenticação anônima no IIS 6.0: Descreve como configurar a autenticação anônima para o IIS 6.0 e explica como usar a conta de usuário anônimo padrão, IUSR_Nome_do_Computador.

Autenticação básica no IIS 6.0: Descreve como configurar a autenticação básica para o IIS 6.0 e descreve considerações de segurança relacionadas ao cache de token.

Autenticação Digest no IIS 6.0: Descreve como configurar tanto a autenticação quanto a subautenticação Digest no IIS 6.0.

Autenticação Digest avançada no IIS 6.0: Descreve como configurar a autenticação Digest avançada no IIS 6.0.

Autenticação integrada do Windows no IIS 6.0: Descreve como configurar a autenticação integrada do Windows no IIS 6.0. A autenticação integrada do Windows é o método de autenticação padrão para os sistemas operacionais Windows Server™ 2003.

Autenticação UNC no IIS 6.0: Descreve como configurar a autenticação UNC, ou autenticação de passagem, no IIS 6.0.

Autenticação do .NET Passport no IIS 6.0: Descreve como configurar a autenticação do Passport .NET no IIS 6.0.

Autenticação do site FTP no IIS 6.0: Descreve como configurar a autenticação do site FTP anônima e básica no IIS 6.0.

 

[helldanger1]

Autenticação anônima no IIS 6.0
A autenticação anônima fornece aos usuários acesso às áreas públicas de seu site ou site FTP sem solicitar um nome de usuário ou uma senha. Por padrão, a conta IUSR_nome_do_computador é usada para permitir o acesso anônimo.

No IIS 6.0, a autenticação anônima não exige mais o direito de usuário Permitir logon local, porque agora NETWORK_CLEARTEXT é o tipo padrão de logon para autenticação anônima e básica.

Durante a configuração, a conta IUSR_nome_do_computador é adicionada ao grupo Convidados no computador que está executando o IIS. Por padrão, os convidados têm o mesmo acesso que os membros do grupo Usuários, exceto a conta Convidado, que é mais restrita.

 

[helldanger1]

Autenticação básica no IIS 6.0
O método de autenticação básica é um padrão de indústria amplamente usado para coletar informações de nome de usuário e senha. A autenticação básica transmite nomes de usuário e senhas pela rede de forma descriptografada. Você pode usar os recursos de criptografia do seu servidor Web, em combinação com a autenticação básica, para garantir a segurança das informações das contas de usuários transmitidas pela rede. Para obter uma administração mais fácil, adicione cada usuário a um grupo que tenha acesso aos arquivos necessários.

Importante
A habilitação da autenticação básica não configura automaticamente o servidor Web para autenticar os usuários. Crie também contas de usuário do Windows e defina permissões de NTFS adequadas. Para obter mais informações sobre a definição de permissões de NTFS, consulte Definindo permissões do NTFS para diretórios ou arquivos.
Esta seção inclui as seguintes informações:

Habilitando a autenticação básica e configurando o nome do território: Descreve como habilitar a Autenticação básica e configurar o nome do território.

Definindo o domínio de logon padrão: Descreve como definir o domínio de logon padrão a ser usado com a Autenticação básica.

Configurando o cache de token para autenticação básica: Descreve como configurar o cache de token para que os tokens de usuários não sejam armazenados em cache por muito tempo.

 

[helldanger1]

Autenticação Digest no IIS 6.0
A autenticação Digest oferece a mesma funcionalidade da autenticação básica; entretanto, ela fornece uma melhoria na segurança em relação ao modo de envio das credenciais de um usuário pela rede. A autenticação Digest transmite as credenciais pela rede como um hash MD5, também conhecido como síntese de mensagem, na qual o nome de usuário e a senha originais não podem ser decifradas a partir do hash. A autenticação Digest está disponível nos diretórios do Web Distributed Authoring and Versioning (WebDAV). A autenticação Digest requer compatibilidade com HTTP 1.1.

 

[helldanger1]

Autenticação Digest avançada no IIS 6.0
Na Autenticação Digest avançada, as credenciais do usuário são armazenadas no controlador de domínio como um hash MD5. Como as credenciais são armazenadas no Active Directory como um hash MD5, as senhas de usuário praticamente não podem ser descobertas por ninguém com acesso ao controlador de domínio, nem mesmo pelo administrador do domínio. A autenticação Digest avançada está disponível nos diretórios do WebDav (criação e versão distribuídas na Web). No IIS 6.0, a autenticação Digest avançada é preferida à autenticação Digest, mas a autenticação Digest ainda está disponível. A Autenticação Digest avançada usa o protocolo HTTP 1.1.

A Autenticação Digest avançada usa a UseDigestSSP Metabase Property. Essa chave de metabase está entre o código da interface do provedor de suporte de segurança (SSPI) Digest e Digest avançada. Depois de definida a chave, os únicos valores de propriedade válidos são 1 (true), 0 (false) ou vazio. Se a propriedade for definida como true, será usado o novo código SSPI para Autenticação Digest avançada. Em todos os outros casos (false, vazio ou não definida), o IIS usará o código da Autenticação Digest.

Observação
O serviço de publicação na World Wide Web (serviço da WWW) deve ser reiniciado para que as alterações feitas em UseDigestSSP entrem em vigor.
A configuração da Autenticação Digest avançada no servidor que executa o IIS requer as três tarefas a seguir:

Habilitar a Autenticação Digest para os servidores de domínio do Windows.

Configurar o nome de território.

Defina a propriedade da metabase UseDigestSSP como true. Você pode configurar a propriedade da metabase UseDigestSSP no nível W3SVC da metabase. Uma chave filho herda sua configuração do nível acima dela.

Importante
Se você seguir os dois primeiros procedimentos, mas não configurar a propriedade da metabase UseDigestSSP, estará usando a Autenticação Digest e não a Autenticação Digest avançada.
Importante
Para executar um ou mais dos procedimentos a seguir, é necessário que você seja membro do grupo Administradores no computador local. Como prática recomendada de segurança, faça logon no computador usando uma conta que não seja do grupo Administradores e use o comando runas para executar o Gerenciador do IIS como um administrador. No prompt de comando, digite runas /User:Nome_da_Conta_Administrativa "mmc %systemroot%\system32\inetsrv\iis.msc".
Procedimentos
Para habilitar a Autenticação Digest avançada e configurar o nome do território em servidores de domínio do Windows
1.No Gerenciador do IIS, clique com o botão direito do mouse na pasta Sites, no site, no diretório, no diretório virtual ou no arquivo e clique em Propriedades.

Observação
As definições de configuração feitas no nível da pasta Sites da Web podem ser herdadas por todos os sites.
2.Clique na guia Segurança de Diretório ou Segurança de Arquivo, dependendo do nível em que estão sendo alteradas as configurações de segurança.

3.Na seção Acesso anônimo e controle de autenticação, clique em Editar.

4.Na seção Acesso autenticado, marque a caixa de seleção Autenticação Digest para servidores de domínio do Windows.

5.Na caixa Território, digite o nome do território ou clique em Selecionar para procurar por um domínio. Se a Autenticação básica for ativada para o site, diretório virtual ou pasta que você está configurando, a caixa Domínio padrão também estará disponível. No entanto, somente o território é significativo para a autenticação Digest Avançada.

6.Clique em OK duas vezes.

7.Reiniciar o serviço W3SVC.

 

[helldanger1]

Autenticação integrada do Windows no IIS 6.0
A autenticação integrada do Windows (chamada anteriormente de NTLM, também citada como autenticação de desafio/resposta do Windows NT) é uma forma segura de autenticação, pois o nome de usuário e a senha recebem hash antes de serem enviados pela rede. Quando você habilita a autenticação integrada do Windows, o navegador do usuário confirma o conhecimento da senha por meio de um intercâmbio criptográfico com o servidor Web, envolvendo o hashing.

Importante
A autenticação integrada do Windows será desabilitada por padrão se você instalar o Windows Server 2003 Service Pack 1 (SP1) como parte de uma instalação corrigida de um sistema operacional Windows Server 2003. Se você instalar o próprio Windows Server 2003 SP1 como atualização do sistema operacional Windows Server 2003, a configuração da autenticação integrada do Windows será a mesma que a no Windows Server 2003. A autenticação integrada do Windows é habilitada por padrão nos sistemas operacionais Windows Server 2003.

 

[helldanger1]

Autenticação UNC no IIS 6.0
No IIS 6.0, você pode usar a delegação de autenticação, um recurso do IIS 6.0 e da família Windows Server 2003, para passar as credenciais autenticadas do usuário solicitante a um servidor de arquivos remoto no qual está localizado um compartilhamento UNC. A delegação de autenticação, também chamada de autenticação UNC, permite que diretórios virtuais mapeados para compartilhamentos UNC remotos utilizem a autenticação do usuário local para acessar os compartilhamentos. É preferível seguir esse procedimento a utilizar um nome de usuário estático e uma senha porque você pode limitar o acesso a partes específicas do compartilhamento UNC para cada usuário ou grupo. A delegação de autenticação só funciona com métodos de autenticação que podem executar delegação (por exemplo, autenticação básica ou autenticação Kerberos).

O IIS pode ser configurado para proteger um diretório virtual durante sua criação ou para configurar um diretório existente.

 

[helldanger1]

Autenticação do .NET Passport no IIS 6.0
O Microsoft® .NET Passport é um serviço de autenticação de usuário e um componente do Microsoft .NET Framework. O serviço de sessão universal e de compra expressa do Passport .NET permitem que sua empresa ofereça uma maneira rápida, conveniente e segura aos consumidores de se inscreverem e fazerem transações em seu site. Com o serviço de sessão universal do Passport .NET, você pode mapear os nomes de inscrição para as informações em seus bancos de dados, permitindo que você ofereça aos membros do Passport .NET uma experiência na Web pessoal através de anúncios, promoções e conteúdo direcionados. Esse modo de utilização do Passport .NET ajuda potencialmente a aumentar a fidelidade do cliente, as vendas e as receitas com anúncios.

O Passport .NET usa tecnologias e técnicas da Web, como SSL (Secure Sockets Layer), redirecionamentos HTTP, cookies, Microsoft JScript® e criptografia de chave simétrica de alta segurança para fornecer o serviço de sessão universal. O serviço Passport .NET é compatível com o Microsoft Internet Explorer versão 4.0 ou posterior e com o Netscape Navigator versão 4.0 ou posterior. Também é compatível com algumas versões do UNIX.

 

[helldanger1]

Autenticação do site FTP no IIS 6.0
Você pode configurar um servidor FTP para permitir acesso anônimo a recursos de FTP ou exigir autenticação Básica na forma de um nome e senha de usuário que correspondam a uma conta de usuário válida do Windows.

Observação
As autenticações Digest e Integrada do Windows não podem ser usadas com sites FTP. As configurações de autenticação disponíveis devem ser definidas no nível de site para sites FTP.