Sicherheit unter Windows NT

 ^{2 von 9}     IIS-Authentifizierungsmethoden

Bevor Benutzer auf Ressourcen in IIS zugreifen können, müssen sie authentifiziert werden. IIS unterstützt die anonyme Authentifizierung, die Standardauthentifizierung, die Windows NT Herausforderung/Rückmeldung-Authentifizierung und die Digest Access-Authentifizierung.

Anonyme Authentifizierung

Die anonyme Authentifizierung ermöglicht den Zugriff für Benutzer, die auf dem Hostcomputer über keine eigenen Konten verfügen, anhand eines speziellen "anonymen" Kontos. Jeder Internetdienst, wie z. B. der World Wide Web-Dienst oder der FTP-Dienst, verwendet ein Windows NT-Konto (einen Benutzernamen und ein Kennwort), um anonyme Anforderungen zu verarbeiten. Bei der Installation erstellt Internet Information Services das anonyme Konto IUSR_Computername für die Webdienste. Standardmäßig verwenden alle Anfragen von Webclients dieses Konto. Clients erhalten den Zugriff auf den Webinhalt, wenn sie dieses Konto verwenden. Sie können den zum Anmelden anonymen Zugriff und den authentifizierten Zugriff gleichzeitig aktivieren.

Wenn IIS eine anonyme Anforderung empfängt, nimmt es die Identität des anonymen Anmeldekontos an. Die Anforderung ist erfolgreich, wenn das anonyme Konto über die Berechtigung zum Zugriff auf die angeforderte Ressource verfügt. Ob das Konto über diese Berechtigung verfügt, hängt von der ACL der Ressource ab. Verfügt das anonyme Konto nicht über die entsprechende Berechtigung, schlägt die Anforderung fehl. Der WWW-Dienst reagiert auf eine fehlgeschlagene anonyme Anforderung, indem es den Benutzer auffordert, einen zulässigen Windows NT-Benutzernamen sowie ein zulässiges Kennwort einzugeben.

Standardauthentifizierung

Bei der Standardauthentifizierung handelt es sich um eine Authentifizierungsmethode, die von den meisten Webservern im Internet unterstützt wird. Wenn ein Server die Standardauthentifizierung verwendet, fordert der Webbrowser (oder der FrontPage-Client) den Benutzer zur Eingabe eines Namens und eines Kennwortes auf. Der Benutzername und das Kennwort werden dann unverschlüsselt über HTTP übertragen. Mithilfe dieses Benutzernamens und Kennworts authentifiziert IIS den entsprechenden Windows NT-Benutzer.

Bei der Standardauthentifizierung wird der Benutzer immer mit lokalen Anmelderechten angemeldet, vergleichbar dem Anmelden eines Benutzers an der Konsole des Computers für eine interaktive Sitzung. (Um die Standardauthentifizierung zu verwenden, erteilen Sie jedem Benutzerkonto auf dem IIS-Server das Benutzerrecht für lokale Anmeldung.) Die Verwendung der lokalen Anmeldung bei der Standardauthentifizierung kann zwei potenzielle Probleme verursachen, deren Administratoren sich bewusst sein müssen:

• Die Standardauthentifizierung kann nicht erfolgreich durchgeführt werden, wenn das Benutzerkonto über keinen lokalen Anmelderechte verfügt. Auch wenn die Konfiguration von FrontPage, IIS und Windows NT ordnungsgemäß zu sein scheint, verhindert ein Fehlen der lokalen Anmelderechte für den Benutzer im Benutzer-Manager von Windows NT, dass die Standardauthentifizierung den Benutzer authentifiziert.
• Wenn ein Benutzer physikalischen Zugriff auf den Hostcomputer, auf dem IIS ausgeführt wird, erlangt, ist der Benutzer bei der lokalen Anmeldung berechtigt, an der Konsole eine interaktive Sitzung zu starten.

Ein weiteres Sicherheitsrisiko der Standardauthentifizierung besteht darin, dass Benutzernamen und Kennwörter in einem leicht zu dekodierenden Format über das Netzwerk übertragen werden.

Wenn die Website jedoch die Dokumenterstellung mit dem FrontPage 1.1-Client (der die Windows NT Herausforderung/Rückmeldung nicht unterstützt) unterstützen muss, oder wenn Sie sicherstellen möchten, dass der Zugriff auf die Website mit allen Browsertypen erfolgen kann, muss die Standardauthentifizierung aktiviert bleiben. Darüber hinaus funktioniert die Standardauthentifizierung über einen Proxyserver in Verbindung mit einem Firewall. Wenn die Benutzer über das Internet und einem Proxyserver eine Verbindung zum Webserver herstellen, müssen Sie die Standardauthentifizierung anstelle der Windows NT Herausforderung/Rückmeldung benutzen.

Die Standardauthentifizierung ist schneller als die Windows NT Herausforderung/Rückmeldung. Wenn Sie die Standardauthentifizierung zusammen mit Secure Sockets Layer (SSL) einsetzen, können Sie eine sichere und schnelle Authentifizierung erreichen.

Windows NT Herausforderung/Rückmeldung-Authentifizierung

Die Windows NT Herausforderung/Rückmeldung (auch NTLM genannt) bietet bei der Authentifizierung ein höheres Maß an Sicherheit als die Standardauthentifizierung. Bei der Authentifizierung eines Benutzers unter Verwendung von Windows NT Herausforderung/Rückmeldung erfolgt die Anmeldung des Benutzers am Webservercomputer als Netzwerkanmeldung. Der Webbrowser oder der FrontPage-Client versucht zunächst, die Anmeldeinformationen zu verwenden, die vom Benutzer beim Anmelden am Clientcomputer eingegeben wurden. Wenn diese Anmeldeinformationen zurückgewiesen werden, fordert die Windows NT Herausforderung/Rückmeldung den Benutzer in einem Dialogfeld zur Eingabe eines Namens und eines Kennwortes auf. Wenn sich ein Benutzer auf einem lokalen Computer als Domänenbenutzer angemeldet hat, braucht dieser Benutzer nicht mehr erneut authentifiziert zu werden, wenn er auf einen Remote-Computer in der jeweiligen Domäne zugreift.

Der Benutzername und das Kennwort werden in eine interaktiven Mehrfachtransaktion zwischen Client und Webserver sicher verschlüsselt. Diese Art der Interaktivität ist sicher gegen Spione im Netzwerk, die versuchen in Systeme einzubrechen, indem sie den Netzwerkverkehr zwischen einem Client und einem Server überwachen.

Die Windows NT Herausforderung/Rückmeldung verfügt über einige Einschränkungen:

• Die Windows NT Herausforderung/Rückmeldung-Authentifizierung kann nicht über einen Proxy in Verbindung mit einem Firewall durchgeführt werden. In diesem Fall müssen die Benutzer die Standardauthentifizierung verwenden.
• Einige Webbrowser (zum Beispiel Netscape Navigator) unterstützen die Windows NT Herausforderung/Rückmeldung nicht.
• Die Windows NT Herausforderung/Rückmeldung unterstützt keine Delegierung an sekundäre Server. Die Anmeldeinformationen eines Benutzers können nicht an einen anderen Computer übergeben werden. Wenn IIS beispielsweise eine Anforderung empfängt, können die Anmeldeinformationen des Benutzerkontos nicht an Microsoft SQL Server auf einem zweiten Computer übergeben werden.

Da die Windows NT Herausforderung/Rückmeldung-Authentifizierung nicht über einen Firewall durchgeführt werden kann, ist sie insbesondere in Intranets von Nutzen, bei denen die Kommunikation innerhalb des Firewalls einer Organisation stattfindet.

Sie können sowohl die Standardauthentifizierung als auch die Windows NT Herausforderung/Rückmeldung-Authentifizierung aktivieren. falls der Webbrowser Windows NT Rückmeldung/Rückmeldung unterstützt, wird diese Authentifizierungsmethode verwendet. Andernfalls wird die Standardauthentifizierung verwendet. Die Windows NT Herausforderung/Rückmeldung-Authentifizierung wird aktuell nur von Microsoft Internet Explorer 2.0 oder höher unterstützt.

Digest Access-Authentifizierung

Wie die Standardauthentifizierung basiert die Digest Access-Authentifizierung auf einer einfachen Herausforderung/Rückmeldungsmethode. Die Herausforderung erfolgt beim Digest-Schema mithilfe eines vorübergehend gültigen Wertes (einer vom Server festgelegten Datenzeichenfolge, die bei jedem Auftreten eines 401 Fehlers auf eindeutige Weise erzeugt wird). Eine zulässige Rückmeldung enthält die Prüfsumme des Benutzernamens, des Kennworts, des jeweiligen "nonce"-Wertes, der HTTP-Methode und dem angeforderten URL. Auf diese Weise wird das Kennwort niemals als leicht dekodierbarer Text gesendet. (Dies stellt die größte Schwachstelle der Standardauthentifizierung dar.)

Für die Digest Access-Authentifizierung muss auf dem Clientcomputer Internet Explorer 5.0 ausgeführt werden.