簡介

如果你是一名使用Microsoft® Internet Information Server (IIS，Internet信息服務器) 3.0的開發人員，理解IIS如何使用驗證（Authentication）和扮演（Impersonation）技術控制你的Web服務器的安全是十分重要的。當在Microsoft的Internet開發人員支持小組工作時，我發現我們處理的問題中有四分之一與我們稱之為許可權（permissions）的主題有關。進一步講，如果開發人員對驗證的實現內幕在概念上有更多的了解的話，這些問題中的大部分都能夠被避免。驗證只是一個簡單的確定用戶身份的過程。當一個用戶被肯定確認后， Windows NT®隨即能夠控制該用戶可以訪問的資源。當不是具有特別的技術色彩時，驗證和安全易于混淆。對IIS如何控制安全的準確理解將幫助你創建更有活力的站點和避免常見、費時的問題。

本文解釋了有關IIS的Windows NT安全，所以你能夠有效地解決與安全有關的問題。我們的內容包括三種驗證形式，它們的差異，對你的Web服務器關鍵區域的幾種訪問控制方式，以及重要的但被普遍誤解的“委托（delegation）”概念。對于任何使用IIS建立數據委托驅動的Web站點的人員，必須理解授權。理解Windows NT如何處理不同的用戶將節省你在排除疑難時耗費的成天甚至成周的時間。

ACLs, NTLM以及其它定義

在開始前，我們先定義一些常見術語:

訪問控制表(ACLs，Access Control Lists) 每個ACL是一個訪問控制入口（Access Control Entries）列表，訪問控制入口規定了NTFS（New Technology File System）硬盤上的Windows NT所使用的訪問和審核信息。Windows NT通過訪問ACLs確定已被授予訪問特定資源（文件和文件夾）權限的用戶，以及用戶能夠得到的權限，包括讀、寫和執行。在文件或文件夾資源上單擊鼠標右鍵，選擇Properties（屬性），然后單擊Securities（安全）頁的Permissions（權限）按鈕，可以查看該資源的ACLs。
Windows NT 盤問/響應（Challenge/Response） 這是一個Windows NT 驗證過程。在用戶或服務（如IIS）試圖通過網絡訪問另一臺Windows NT計算機存儲的任何資源（諸如查詢一臺服務器上的一個共享資源）時都會發生盤問/響應。盤問/響應也能被IIS用來在用戶瀏覽Web站點時進行驗證。
NTLM這是Windows NT使用的盤問/響應驗證機制。NTLM代表Windows NT LAN Manager，因為它最早開發和使用于Microsoft LAN Manager, Microsoft最早的一種網絡產品。
SAM SAM (Security Account Manager,安全帳戶管理器)是存儲用戶和組帳戶信息的數據庫。SAM中并不包含密碼，但是它存儲了密碼散列表（后面將進行說明）。SAM存儲在注冊表的HKEY_LOCAL_MACHINE\SAM和HKEY_LOCAL_MACHINE\Security\SAM 子樹中。不必驚訝，SAM經常是黑客的主要目標。
扮演（Impersonation）

在不同的情況下，IIS會假扮成不同的用戶。在Windows NT計算機上的所有操作的處理都是運行在一個有效的Windows NT帳戶上的。當一個程序或處理(類似于IIS)代表一個用戶運行時，它可以說是運行在該用戶的安全上下文（security context）中。安全上下文的用途是使代表用戶運行的處理對文件和資源的訪問權不能超過用戶在本地運行一個處理時所獲得的訪問權。當IIS代表一個用戶運行時，就說它扮演了該用戶。

IIS設計將Web請求作為自動的服務進行處理。要實現這一點，IIS需要運行在一個有效的用戶安全上下文中。IIS需要對兩種請求作出反應：匿名請求(Anonymous Request)和驗證的請求(Authenticated Request)。在匿名請求中， IIS對用戶情況一無所知。而在驗證的請求中，IIS能夠準確了解請求資源的用戶。因為匿名請求和驗證式請求在進行時都不會對用戶出現對話框或其它標識，所以使用何種方法并不總是一眼就能發現的。但是，對我們開發人員應該總能知道使用何種方式，這是必須的。IIS扮演的帳戶，以及更大范圍而言，到IIS的處理能力，主要依賴于所使用的請求類型。