DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 308160 - Última revisão: quinta-feira, 3 de julho de 2008 - Revisão: 4.2

 
É altamente recomendável que todos os usuários atualizem para o Microsoft Internet Information Services (IIS) versão 7.0 em execução no Microsoft Windows Server 2008. IIS 7.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
Para obter mais informações sobre o IIS 7.0, visite o seguinte site:
http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .

Nesta página

Sumário

Este artigo passo a passo descreve como configurar a autenticação para solicitações baseadas na Web no Microsoft Internet Information Services (IIS) 5.0.

Como funciona a autenticação Web

Autenticação da Web é uma comunicação entre o navegador da Web e o servidor que envolve um pequeno número de cabeçalhos HTTP (Hyper Text Transfer Protocol) e mensagens de erro.

O fluxo de comunicação é:
  1. O navegador faz uma solicitação, como HTTP-GET.
  2. O servidor Web realiza uma verificação de autenticação. Se não for bem-sucedida pois a autenticação é necessária, o servidor envia de volta uma mensagem de erro semelhante à seguinte:
    Você não está autorizado a exibir esta página

    Você não tem permissão para exibir este diretório ou página usando as credenciais fornecidas.
    Informações estão incluídas nesta mensagem que o navegador da Web pode usar para reenviar a solicitação como uma solicitação autenticada.
  3. O navegador usa a resposta do servidor para construir uma nova solicitação contém informações de autenticação.
  4. O servidor Web realiza uma verificação de autenticação. Se a verificação for bem-sucedida, o servidor Web envia os dados que foi solicitados inicialmente volta para o navegador da Web.

Métodos de autenticação

Observação: com alguns dos seguintes métodos de autenticação, você precisará usar unidades que você tenha formatado com o sistema de arquivos NTFS porque unidades formatadas para NTFS mantenham o nível mais alto de segurança.

O IIS oferece suporte a cinco Web métodos de autenticação a seguir:

Autenticação anônima

O IIS cria a conta IUSR_ computername (onde computername é o nome do computador) para autenticar usuários anônimos quando eles solicitam conteúdo da Web. Essa conta concede ao usuário o direito de fazer logon localmente. Você pode redefinir o acesso de usuário anônimo para usar qualquer conta válida do Windows.

Observação: você pode definir as contas anônimas diferentes para diferentes sites, diretórios virtuais ou diretórios físicos e arquivos.

Se o computador com Windows 2000 é um servidor autônomo, é a conta IUSR_ computername no servidor local. Se o servidor é um controlador de domínio, a conta IUSR_ computername é definida para o domínio.

Autenticação básica

Use a autenticação básica para restringir o acesso a arquivos em um servidor formatados em NTFS. Com autenticação básica, o usuário deve inserir credenciais e acesso baseado na identificação de usuário.

Para usar a autenticação básica, conceda a cada usuário o direito de logon localmente e facilitar administração, adicioná-los a um grupo que tenha acesso aos arquivos necessários.

Observação: como credenciais de usuário são codificadas com codificação Base64 mas eles não são criptografados quando são transmitidos pela rede, autenticação básica é considerada um formulário de autenticação inseguro.

Autenticação integrada do Windows

Autenticação integrada do Windows é mais segura que autenticação básica e funciona bem em um ambiente de intranet onde os usuários têm contas de domínio do Windows. Na autenticação integrada do Windows, o navegador tenta usar credenciais do usuário atual de um logon de domínio e se isso falhar, o usuário é solicitado a inserir um nome de usuário e senha. Se você usar autenticação integrada do Windows, a senha do usuário não é transmitida para o servidor. Se o usuário tiver feito logon no computador local como um usuário de domínio, o usuário não tem autenticar novamente quando o usuário acessa um computador de rede nesse domínio.

Observação: Não É possível usar a autenticação integrada do Windows através de um servidor proxy.

Autenticação Digest

Endereços de autenticação Digest muitos pontos fracos da autenticação básica. A senha não é enviada em texto não criptografado ao usar a autenticação Digest. Além disso, você pode usar a autenticação Digest através de um servidor proxy. Autenticação Digest usa um mecanismo de desafio/resposta (o que o Windows usa autenticação integrada) onde a senha é enviada em um formato criptografado. Para usar a autenticação Digest:
  • O servidor com Windows 2000 deve ser em um domínio.
  • Você deve instalar o arquivo IISSuba.dll no controlador de domínio. Este arquivo é copiado automaticamente durante a instalação do Windows 2000 Server.
  • Você deve configurar todas as contas de usuário com a opção de conta armazena senhas usando criptografia reversível habilitada. Habilitar esta opção de conta requer que a senha ser redefinida ou reinserida.
Observação: você tem que usar o Microsoft Internet Explorer 5.0 ou posterior como seu navegador da Web se você estiver usando autenticação digest.

Mapeamento de certificado de cliente

Mapeamento de certificado de cliente é um método onde "mapeamento" é criado entre um certificado e uma conta de usuário. Nesse modelo, um usuário apresenta um certificado e o sistema examina o mapeamento para determinar qual conta de usuário deve estar conectada. Você pode mapear um certificado para uma conta de usuário do Windows em uma das duas maneiras:
  • Usando o Active Directory.

    - ou -
  • Usando regras que são definidas no IIS.
Para obter informações adicionais sobre como mapear certificados de cliente para contas de usuário, procure mapeamento de certificado de cliente na documentação do IIS. Se você tiver instalado o IIS, você pode exibir a documentação do IIS digitando o seguinte URL na barra de endereços do navegador da Web onde localhost é o nome do host local:
http:// localhost /iisHelp/iis/misc/default.asp
Para obter mais informações sobre como usar certificados, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
290625  (http://support.microsoft.com/kb/290625/ ) Como configurar SSL em um ambiente de teste do Windows 2000 IIS 5 usando o Certificate Server 2.0
Você pode configurar cada método de autenticação para controlar o acesso aos seguintes itens no servidor IIS:
  • Conteúdo da Web todos hospedado no servidor IIS.
  • Sites individuais que são hospedados no servidor IIS.
  • Diretórios virtuais individuais ou diretórios físicos que estão em um site.
  • Páginas individuais ou arquivos que estão em um site.

Como configurar a autenticação de site IIS Web

  1. Use uma conta administrativa para fazer logon no computador do servidor Web.
  2. Clique em Iniciar, aponte para Programs, aponte para Ferramentas administrativas e clique em Gerenciador de serviços de Internet.

    O snap-in do IIS é iniciado.
  3. Na árvore de console, clique em * computer name onde computer name é o nome do computador.
  4. Clique com o botão direito do mouse em um dos seguintes itens e clique em Propriedades:
    • Para configurar a autenticação para todos os conteúdo de Web está hospedado no servidor IIS, clique com o botão direito do mouse * computer name.
    • Para configurar a autenticação para um site individual, clique com o botão direito do mouse no site que você deseja.
    • Para configurar a autenticação para um diretório físico ou um diretório virtual em um site, clique no site desejado e, em seguida, clique com o botão direito do mouse no diretório que deseja, como _vti_pvt.
    • Para configurar a autenticação para um arquivo ou página individual em um site, clique no site que você deseja, clique na pasta que contém o arquivo ou página que você deseja e clique com o botão direito do mouse no arquivo ou página que você deseja.
  5. Na caixa de diálogo Propriedades de Item Name onde Item Name é o nome do item que você selecionou, clique na guia Segurança de diretório.

    Observação: se o item selecionado é um arquivo individual, clique na guia Segurança de arquivo.
  6. Em Anonymous access and authentication control, clique em Editar.
  7. Clique para selecionar a caixa de seleção acesso anônimo para ativar acesso anônimo. Para desativar o acesso anônimo, clique para desmarcar esta caixa de seleção.

    Observação: se você desativar o acesso anônimo, você precisará configurar alguns formulário acesso autenticado.
    1. Para alterar a conta usada para acesso anônimo a este recurso, clique em Editar próximo a conta usada para acesso anônimo.
    2. Na caixa de diálogo Conta de usuário anônimo, clique na conta de usuário que você deseja usar para acesso anônimo.
    3. Clique para desmarcar a caixa de seleção Permitir que o IIS controle a senha se você deseja usar a API de LogonUser() Windows para autenticação de usuário.

      Observação: por desativar essa opção de controle de senha, isso força o IIS para usar a autenticação normal e logon de conta local. Você deve desativar esta opção, se os usuários enfrentar dificuldades ao acessar recursos como arquivos ou bancos de dados do Microsoft Access em um computador de rede.
    4. Clique em OK.
  8. Em Authenticated access, clique para selecionar o autenticação básica (senha enviada em texto não criptografado) caixa de seleção para ativar a autenticação básica. Quando você receber a seguinte mensagem, clique em Sim:
    A opção de autenticação selecionada resulta na transmissão de senhas pela rede sem criptografia de dados. Pessoa tentando comprometer a segurança do sistema poderia usar um analisador de protocolo para examinar senhas de usuário durante o processo de autenticação. Para obter mais detalhes sobre autenticação de usuário, consulte a Ajuda online. Este aviso não se aplica a conexões HTTPS (ou SSL).

    Tem certeza de que deseja continuar?
    1. Para selecionar um domínio com o qual autenticar usuários usando a autenticação básica, clique em Editar ao lado para Selecionar um domínio padrão.
    2. Digite o domínio que deseja na caixa Nome do domínio e clique em OK.

      Observação Se você estiver preocupado com segurança em sua intranet porque a autenticação básica transmite informações de nome de usuário e senha em texto não criptografado, você pode usar a autenticação básica junto com o SSL (Secure Sockets Layer).
  9. Clique para selecionar a caixa de seleção autenticação Digest para servidores de domínio do Windows para usar autenticação digest. Quando você receber a seguinte mensagem, clique em Sim:
    Autenticação Digest funciona com contas de domínio do Windows 2000 somente e requer contas para armazenar senhas como texto não criptografado criptografado.

    Tem certeza de que deseja continuar?
    Observação: você deve configurar contas de usuário com a opção de conta armazena senhas usando criptografia reversível ativada.
  10. Clique para selecionar a caixa de seleção autenticação integrada do Windows para usar a autenticação integrada do Windows.

    Observação: método de autenticação era anteriormente conhecido como desafio/resposta do Microsoft Windows NT ou NTLM (NT LAN Manager).
  11. Clique em OK e, na caixa de diálogo Propriedades de Item Name, clique em OK. Se a caixa de diálogo Substituições de herança abre:
    1. Clique em Selecionar tudo para aplicar novas configurações de autenticação para todos os arquivos ou pastas que estão dentro do item que você alterou.
    2. Clique em OK.
  12. Feche o IIS.

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento:
297954  (http://support.microsoft.com/kb/297954/ ) Como solucionar problemas de servidor Web no Windows 2000
299970  (http://support.microsoft.com/kb/299970/ ) Como usar as permissões NTFS para proteger uma página da Web em execução no IIS 4.0 ou 5
216705  (http://support.microsoft.com/kb/216705/ ) Como definir permissões em uma FrontPage Web no IIS
222028  (http://support.microsoft.com/kb/222028/EN-US/ ) Configuração de Digest Authentication for Use with Internet Information Services 5.0

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Small Business Server 2000 Standard Edition
Palavras-chave: 
kbmt kbhowtomaster KB308160 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 308160  (http://support.microsoft.com/kb/308160/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft