Sicherheit unter Windows NT

 ^{5 von 9}     FrontPage-Authentifizierung unter IIS

Wenn ein Autor oder Administrator im FrontPage-Client eine Aktion durchführt, die die FrontPage-Servererweiterungen unter IIS erfordert, kommunizieren der FrontPage-Client und die Servererweiterungen über ein RPC-Protokoll (Remote Procedure Call), das über HTTP und HTML liegt. Vom FrontPage-Client wird an eine der drei DLLs der FrontPage-Servererweiterungen eine POST-Anforderung gesendet:

• Anforderungen für Verwaltungsaktionen werden an Admin.dll gesendet.
• Anforderungen für Dokumenterstellungsvorgänge werden an Author.dll gesendet.
• Anforderungen für Lesevorgänge werden an Shtml.dll gesendet.

Wenn die Aktion eines Besuchers eines Webs mit FrontPage-Servererweiterungen die FrontPage-Servererweiterungen benötigt (wenn der Besucher beispielsweise ein Suchformular übermittelt), sendet der Webbrowser eine POST-Anforderung an das Programm für den Lesezugriff der FrontPage-Servererweiterungen Shtml.dll.

Wenn IIS eine Anforderung für die FrontPage-Servererweiterungen empfängt, meldet es sich zunächst an, übernimmt die Identität des Benutzers und übergibt dann die Anforderung direkt an Admin.dll, Author.dll oder Shtml.dll. Die DLL der FrontPage-Servererweiterungen überprüft anschließend in der ACL im Stammordner des Webs oder untergeordneten Webs mit FrontPage-Servererweiterungen die Berechtigungen des Administrators, Autors oder Sitebesuchers, dessen Identität angenommen wurde. (Falls das untergeordnete Web seine Berechtigungen geerbt hat, führt die DLL dieselbe Überprüfung in dem übergeordneten Web durch.) Die FrontPage-Servererweiterungen führen diese Überprüfung anhand von Standard-Windows NT-Systemaufrufen durch. Bei erfolgreicher Überprüfung führt die DLL der FrontPage-Servererweiterungen die angeforderte Aktion durch. Schlägt die Überprüfung fehl, gibt die DLL die betreffenden Informationen an IIS zurück, das die Meldung "Zugriff verweigert" an den FrontPage-Client oder den Webbrowser sendet.

Beachten Sie, dass die DLLs der FrontPage-Servererweiterungen auf IIS-Servern nur einmal im Ordner
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Server Extensions\40 gespeichert sind. (In früheren Versionen der FrontPage-Servererweiterungen wurden in jedem Web und jedem untergeordneten Web mit FrontPage-Servererweiterungen Stub-Exemplare dieser Programme gespeichert.) Die DLLs der FrontPage-Servererweiterungen werden so installiert, dass jeder Benutzer, einschließlich des anonymen Kontos, darauf zugreifen darf. Dadurch können Sie die Sitebesucher, Autoren oder Administratoren aller Webs mit FrontPage-Servererweiterungen für jedes Web getrennt festlegen. Alternativ können Sie die Berechtigungen für diese DLLs mit Hilfe des Benutzer-Managers von Windows NT einschränken. Sie sollten jedoch sicherstellen, dass die Berechtigungen für die DLLs der Servererweiterungen locker genug sind, um allen legitimierten Administratoren, Autoren und Sitebesuchern Zugriff auf das Web mit FrontPage-Servererweiterungen zu ermöglichen.

Mit Hilfe des IIS-MMC-Snapins können Sie auf einer UNC-Freigabe (Universal Naming Convention) ein neues virtuelles Verzeichnis erstellen. Sie werden dabei aufgefordert, einen Benutzernamen und ein Kennwort für den Zugriff auf das zugeordnete Verzeichnis einzugeben. Sie brauchen und sollten keinen Name und kein Kennwort eingeben, wenn Sie dazu aufgefordert werden. Wenn Sie Name und Kennwort angeben, wird jede Anforderung an das virtuelle Verzeichnis unter dem angegebenen Konto ausgeführt, wodurch eine Sicherheitslücke entsteht.