Categories: BetriebssystemFirewallSicherheitWorkspace

Die beste Authentifizierung für IIS-Server

Anonymous Access ist die am weitesten verbreitete Methode und funktioniert genau so, wie sie heißt: Jeder erhält Zugang. Wenn ein Benutzer eine Webseite aufruft, überprüft der IIS-Server die Einstellungen für diese spezielle Seite. Wenn Anonymous Access markiert ist, erstellt der IIS-Server ein Token unter Verwendung der Login-Daten, die in den Einstellungen des IIS-Servers enthalten sind. Der Benutzer erhält dann dieselben Berechtigungen wie das Benutzerkonto Anonymous User.

Ein Beispiel: Wenn das Konto Anonymous User nur Lesezugriff auf eine Seite erlaubt, kann der Benutzer die Seite anzeigen lassen, aber mehr nicht. Berechtigt das Konto auch zum Schreibzugriff, kann der Benutzer die Seite auch bearbeiten.

Der Vorteil von Anonymous Access ist, dass der Benutzer sich auf der Website nicht anmelden muss. Dies ist die beste Lösung, wenn man Benutzern den Zugang zu frei zugänglichen Bereichen erlauben will. Man muss eine Authentifizierungsmethode angeben, damit der IIS-Server weiß, mit welchen Daten er sich anmelden muss, wenn er auf Ressourcen des Systems (oder des übrigen Netzwerks) zugreift.

Hacker-Alarm!

Es ist wichtig, daran zu denken, dass IIS bei der Verwendung von Anonymous Access ein Standard-Konto Anonymous Access erstellt. Es ist ausdrücklich zu empfehlen, selber ein solches Konto zu erstellen und nicht das Standard-Konto zu verwenden, denn Hacker könnten das vordefinierte Konto zum Zugriff auf das System missbrauchen.

Anonymous Access kann auf Ressourcen zugreifen, die nicht direkt auf dem IIS-Server liegen, aber das Konto Anonymous Access muss ein Domänen-Konto mit den entsprechenden Berechtigungen sein.

Basic Authentication zwingt den Benutzer zum Anmelden auf der Website mit einem gültigen Benutzernamen und einem Passwort. Dieses Verfahren ist aber nicht ganz ungefährlich, denn Benutzername und Passwort werden unverschlüsselt über das Netzwerk übertragen. IIS warnt den Benutzer zwar, aber das ist nur ein schwacher Trost.

Trotz der möglichen Sicherheitslücke gibt es doch einige Vorteile, die diese Option unter den entsprechenden Umständen erwägenswert machen:

Webseiten, die Basic Authentication verwenden, können den Benutzernamen und das Passwort in der URL enthalten (beispielsweise http://MeinUserName:MeinPasswort@www.MeineWebsite.de). Diese Funktion kann nützlich sein, wenn man Hyperlinks verschicken will, die sich automatisch auf einer Website anmelden.
Man kann feststellen, wer eine Webseite besucht hat, indem man auf die Server Variables Collection des ASP Request Objects zurückgreift. Damit erfährt man nicht nur den NT-Benutzernamen des Benutzers, sondern auch das für den Zugriff auf die Website verwendete Passwort.
Basic Authentication ermöglicht den Zugriff auf Netzwerk-Ressourcen, die nicht auf dem Webserver selber liegen. (Anonymous Access bietet auch diese Möglichkeit.)

Page: 1 2 3 4 5 6 7