基本驗(yàn)證（Basic Authentication）

大多數(shù)人害怕使用基本驗(yàn)證，這是由于啟用基本驗(yàn)證后用戶所面對(duì)的界面所引起的：

選擇該驗(yàn)證方式后，密碼不經(jīng)數(shù)據(jù)加密就在網(wǎng)絡(luò)傳送。某些想危害你的系統(tǒng)的安全的人員可以使用一個(gè)協(xié)議分析器（protocol analyzer）在驗(yàn)證過程中截獲用戶密碼。用戶驗(yàn)證的詳細(xì)資料請(qǐng)參閱聯(lián)機(jī)幫助。

你確信要繼續(xù)?

這個(gè)消息的確像看起來的一樣糟糕。用戶名何密碼使用64位（Base-64）編碼。即使對(duì)于黑客新手，雖然他們?nèi)匀灰�訪問你的網(wǎng)絡(luò)并使用一個(gè)TCP/IP包探測(cè)器（TCP/IP packet-sniffer）截獲網(wǎng)絡(luò)協(xié)議包，64位的加密卻是易于破解的。結(jié)果黑客們不大可能會(huì)攻擊你的站點(diǎn)，除非你這里是一個(gè)非常吸引人的目標(biāo)（比如銀行）。

我所接觸過的大多數(shù)Web管理員都了解挑戰(zhàn)/響應(yīng)驗(yàn)證和基本驗(yàn)證的差異，但還是互換性的對(duì)待它們。基本驗(yàn)證總是向用戶顯示對(duì)話框要求用戶輸入用戶名和密碼。然后輸入的信息被發(fā)送到IIS，IIS使用該用戶名和密碼執(zhí)行一個(gè)本地登錄命令（Log on locally）命令在所在計(jì)算機(jī)進(jìn)行本地登錄。因?yàn)檫@時(shí)IIS已得到了該用戶的密碼，所以它能夠響應(yīng)遠(yuǎn)程系統(tǒng)的挑戰(zhàn)信息，這樣就消除了委托的問題。(一個(gè)實(shí)際位于Web服務(wù)器的用戶使用基本驗(yàn)證，而使用挑戰(zhàn)/響應(yīng)的用戶仍能夠通過網(wǎng)絡(luò)訪問Web服務(wù)器)。實(shí)際上，用戶權(quán)限“從網(wǎng)絡(luò)訪問該計(jì)算機(jī)（Access this computer from the network）”和“本地登錄（Log on locally）”是需要特別設(shè)置的，而且也與所使用的驗(yàn)證方法有關(guān)。要設(shè)置這些權(quán)限，使用域用戶管理器（User Manager for Domains）工具，然后在策略（Policies）菜單中選擇用戶權(quán)限（User rights）。

雖然有一些缺陷，但有兩種環(huán)境還是應(yīng)該使用基本驗(yàn)證：

你需要驗(yàn)證使用非Internet Explorer瀏覽器的用戶。例如， Netscape Navigator只理解基本驗(yàn)證。如果你選擇了挑戰(zhàn)/響應(yīng)驗(yàn)證和基本驗(yàn)證，對(duì)于Internet Explorer將一定會(huì)使用Windows NT挑戰(zhàn)/響應(yīng)驗(yàn)證，而對(duì)于Navigator則會(huì)選擇基本驗(yàn)證。如果你的數(shù)據(jù)是敏感數(shù)據(jù)，這是一個(gè)嚴(yán)重的涉及安全的問題。
你的站點(diǎn)對(duì)用戶進(jìn)行驗(yàn)證，同時(shí)你的ASP頁訪問其它Windows NT計(jì)算機(jī)的資源。經(jīng)典的方式是通過使用ActiveX數(shù)據(jù)對(duì)象（ActiveX Data Objects）的ASP頁訪問位于遠(yuǎn)程Windows NT計(jì)算機(jī)的數(shù)據(jù)庫。為了避免委托的影響，應(yīng)確保所有請(qǐng)求的資源位于IIS本身所在的計(jì)算機(jī)上，而如果這不現(xiàn)實(shí)的話，就使用基本驗(yàn)證。
普通驗(yàn)證場(chǎng)景

無論何時(shí)當(dāng)使用Windows NT挑戰(zhàn)/響應(yīng)驗(yàn)證一個(gè)Internet用戶時(shí)，當(dāng)IIS使用UNC （Universal Naming Convention，統(tǒng)一命名約定）路徑訪問位于網(wǎng)絡(luò)中或本地的Windows NT 資源時(shí)都要考慮委托這個(gè)因素。當(dāng)然，所有的本地資源當(dāng)該用戶擁有正確的NTFS級(jí)權(quán)限時(shí)就能夠訪問。

UNC 路徑

當(dāng)一個(gè)ASP頁的代碼訪問的數(shù)據(jù)庫使用的是基于文件的數(shù)據(jù)源（比如Access的.MDB文件），而且位置是通過一個(gè)UNC路徑確定時(shí)，會(huì)出現(xiàn)一個(gè)常見的有關(guān)委托的錯(cuò)誤。即使資源位于本地，使用UNC標(biāo)明位置會(huì)使Windows NT認(rèn)為其位于網(wǎng)絡(luò)中的其他某地。UNC路徑由Windows NT網(wǎng)絡(luò)子系統(tǒng)處理。Windows NT與其各組件有很大的分離，以致如果你逐漸進(jìn)入網(wǎng)絡(luò)子系統(tǒng)，直到其它涉及的Windows組件，你會(huì)位于網(wǎng)絡(luò)之外。這導(dǎo)致了一個(gè)令人糊涂、但卻相當(dāng)有趣的情景：使用挑戰(zhàn)/響應(yīng)驗(yàn)證的IIS計(jì)算機(jī)正在訪問使用UNC路徑的本地資源。在效果上，它從自身請(qǐng)求驗(yàn)證，是無法完成請(qǐng)求的。要解決這個(gè)問題，應(yīng)使用IIS計(jì)算機(jī)上的絕對(duì)路徑（例如，C:\folder\resource.ext）。

委托，不!

另外還有一個(gè)與委托失敗相仿，但實(shí)際與委托毫無關(guān)系的更為難以確定的有關(guān)安全的失敗。它發(fā)生在一個(gè)三級(jí)計(jì)算機(jī)層次(瀏覽器到Windows NT/IIS服務(wù)器到Windows NT 遠(yuǎn)程資源)。要確定是否錯(cuò)誤是委托相關(guān)的，應(yīng)檢查是否事務(wù)被驗(yàn)證。如果是，問題差不多確定就是委托相關(guān)的。不過，如果頁面被匿名訪問，問題可能是IIS計(jì)算機(jī)本地的匿名帳戶造成的。這很容易發(fā)生，因?yàn)镮USR_machinename帳戶是在本地創(chuàng)建的。IIS扮演IUSR_machinename帳戶并嘗試訪問遠(yuǎn)程計(jì)算機(jī)上的資源。挑戰(zhàn)信息被傳送后，IIS使用IUSR_machinename密碼散列值對(duì)挑戰(zhàn)信息進(jìn)行正確的加密。不過，由于遠(yuǎn)程信息會(huì)試圖使用其本地SAM數(shù)據(jù)庫和本地域控制器驗(yàn)證密碼，而由于遠(yuǎn)程Windows NT 計(jì)算機(jī)和域控制器都沒有記錄該帳戶，因此不可能驗(yàn)證這些信息。

要避免這個(gè)問題，可以嘗試下面的方法：

在遠(yuǎn)程系統(tǒng)中創(chuàng)建一個(gè)復(fù)制的IUSR_machinename帳戶，并確保具有相同的密碼。如果在IIS服務(wù)器試圖訪問的計(jì)算機(jī)上存在一個(gè)相同的本地帳戶，它不需要一個(gè)域控制器的幫助就能驗(yàn)證提交的散列值。即使這兩個(gè)帳戶是在物理上分離的帳戶，如果它們的信息匹配，驗(yàn)證還是會(huì)發(fā)生。你能夠僥幸使用這個(gè)技術(shù)是因?yàn)閃indows NT所使用的散列算法會(huì)對(duì)不同用戶的兩個(gè)相同密碼產(chǎn)生相同的密碼散列值。在UNIX中，不會(huì)有這種情況。UNIX引入了一個(gè)被稱為“salt”的值，這樣具有相同密碼的兩個(gè)用戶會(huì)產(chǎn)生不同的散列值。當(dāng)你希望IUSR_machinename帳戶只能訪問你的站點(diǎn)的特定遠(yuǎn)程資源時(shí)，最好設(shè)置一個(gè)復(fù)制的本地帳戶。如果某人能夠饒過匿名帳戶密碼，他們也只能訪問網(wǎng)絡(luò)中存在本地帳戶的計(jì)算機(jī)。當(dāng)然，其缺點(diǎn)在于如果匿名用戶需要訪問多個(gè)遠(yuǎn)程資源，你會(huì)面臨管理員的噩夢(mèng)，因?yàn)樗�有的帳戶及其密碼必須同步保存。
設(shè)置匿名登錄帳戶為域帳戶。要作到這一點(diǎn)，從本地IIS計(jì)算機(jī)上刪除IUSR_machinename 帳戶，并在域控制器上創(chuàng)建一個(gè)新帳戶。然后進(jìn)入Internet服務(wù)管理器的WWW屬性對(duì)話框，在用戶名（Username）文本框中以Domain\Username格式(例如，BigDomain\JoeUser)輸入用戶信息。管理員這是最簡單的方法，但是當(dāng)帳戶信息被危及后，侵入者將在網(wǎng)絡(luò)中獲得巨大的訪問權(quán)限。由于一些原因，我曾經(jīng)和許多擔(dān)心IUSR_machinename帳戶成為黑客攻擊目標(biāo)的網(wǎng)絡(luò)管理員進(jìn)行過討論。實(shí)際上，盜用一個(gè)匿名登錄帳戶名和密碼不會(huì)比盜用CEO的帳戶和密碼容易，所以我更喜歡這種方法。
SQL Server 具有獨(dú)一無二的能力實(shí)現(xiàn)與其它計(jì)算機(jī)的非驗(yàn)證聯(lián)接，可以有效地饒過Windows NT安全。如果安全問題并不是大問題(小型、私有Intranet通常非常安全)，你可能希望通過TCP/IP聯(lián)接到SQL server。SQL server會(huì)監(jiān)視網(wǎng)絡(luò)傳輸并對(duì)TCP/IP請(qǐng)求直接作出反應(yīng)，將taking Windows NT out of the loop. SQL具有自己的安全層，所以使用該功能你仍然能夠?qū)崿F(xiàn)一個(gè)良好的安全配置。要使用該功能，在安裝SQL時(shí)在Security對(duì)話框中選擇TCP/IP sockets。
是否需要“安全對(duì)話框”的問題!

一些Web開發(fā)人員不希望用戶在每次訪問他們的站點(diǎn)時(shí)都必須輸入姓名和密碼。所以到底何時(shí)用戶需要提示一個(gè)對(duì)話框輸入他（她）的姓名和密碼呢?

當(dāng)使用Windows NT 挑戰(zhàn)/響應(yīng)驗(yàn)證時(shí)，Internet Explorer將自動(dòng)而且不可視的發(fā)送當(dāng)前用戶的登錄名、域名和散列值到Web服務(wù)器。Internet Explorer不需要請(qǐng)求就進(jìn)行這些操作，因?yàn)榘l(fā)送加密的挑戰(zhàn)信息不會(huì)帶來任何的安全風(fēng)險(xiǎn)。在這時(shí)會(huì)發(fā)生兩件事：

如果IIS計(jì)算機(jī)發(fā)送的信息能夠被域控制器進(jìn)行驗(yàn)證，用戶不需要可視化的提示就能得到驗(yàn)證。
如果IIS未能識(shí)別瀏覽器發(fā)送的域名，那它將不知道需要驗(yàn)證的信息來自何處。這種情況對(duì)于Internet用戶比Intranet用戶更為常見，因?yàn)樵诩抑械挠脩艉苌傥挥谝粋�(gè)域中(而且即使如果是域用戶，其域控制器可能也無法被IIS計(jì)算機(jī)訪問)。Internet Explorer將提示用戶輸入新的姓名和密碼，從效果上講，"給我一些能夠使用的信息（Give me some information that I can use）。" 如果一個(gè)在家工作的雇員試圖訪問一個(gè)設(shè)置安全的站點(diǎn)，他將需要輸入他的姓名(按照BigDomain\JoeUser的形式)和密碼以使IIS能夠得到正確的域信息。在驗(yàn)證Internet的用戶時(shí)以這種方式明確說明域名總是必要的。
在基本驗(yàn)證方式中，用戶將被提示出現(xiàn)一個(gè)登錄對(duì)話框。你或許可以猜測(cè)一下原因。你將要做的事可能會(huì)危及你的Windows NT帳戶和密碼。所有的瀏覽器都明確的指出：如果你輸入了信息并按下OK，你必須知道你在做什么。我個(gè)人在一個(gè)安全的集成網(wǎng)絡(luò)中使用基本驗(yàn)證并沒有問題，但如果沒有諸如Secure Sockets Layer（安全套接字）的附加安全層我將不會(huì)在Internet上使用基本驗(yàn)證。Secure Sockets Layer在使用HTTPS://而不是HTTP://的特殊配置Web服務(wù)器上被調(diào)用。用戶再次需要明確說明所提交的帶有某個(gè)域控制器的信息。

黑客與你的站點(diǎn)

在我更進(jìn)一步的說明之前，我需要聲明不做承諾：是的，積極的年輕黑客會(huì)讀到這篇文章并得到啟發(fā)，但是，相信我，對(duì)于黑客有許多比本文更好的信息來源。確保你的站點(diǎn)真正安全的最佳方法是了解站點(diǎn)的弱點(diǎn)何在(沒有人能比黑客更了解站點(diǎn)的薄弱之處)。在一個(gè)Web站點(diǎn)上有幾個(gè)區(qū)域可能被黑客嘗試攻擊或?yàn)g覽。很明顯，在他們的手邊擁有一個(gè)具有管理員權(quán)限的用戶名和密碼是最佳的方法。得到一個(gè)用戶的密碼散列值也一樣好，因?yàn)槊艽a散列值有時(shí)可作為“密碼等效物”使用。密碼散列值可通過加密挑戰(zhàn)信息而用于回答挑戰(zhàn)。這樣做會(huì)賦予入侵者“從網(wǎng)絡(luò)訪問該計(jì)算機(jī)（Access this computer from the network）”權(quán)限。要被賦予“本地登錄（Log on locally）”權(quán)限，入侵者仍然需要實(shí)際的密碼。

一些程序已經(jīng)被編寫出來特別用于抽取和破解Windows NT 域控制器SAM數(shù)據(jù)庫的密碼散列值。PWDump.exe和NTCrack.exe 都是在Internet上免費(fèi)的且被系統(tǒng)管理員和黑客使用的該類程序。PWDump.exe程序用于將SAM數(shù)據(jù)庫的用戶散列值和帳戶信息轉(zhuǎn)寫到一個(gè)文本文件中。系統(tǒng)管理員使用PWDump 在混合環(huán)境中（比如UNIX和Windows NT共存）同步網(wǎng)絡(luò)服務(wù)器間的密碼列表，避免了在不同操作系統(tǒng)間使用不同的密碼。黑客使用PWDump和NTCrack對(duì)一個(gè)網(wǎng)絡(luò)執(zhí)行惡意攻擊。黑客們通常自己不會(huì)運(yùn)行PWDump，因?yàn)檫\(yùn)行該程序需要有管理員級(jí)的權(quán)限(而如果一名黑客已經(jīng)擁有管理員密碼，他也不需要運(yùn)行PWDump)。不具有對(duì)網(wǎng)絡(luò)的管理員級(jí)訪問權(quán)的黑客可以創(chuàng)建一個(gè)特洛伊木馬（Trojan-horse）程序并將其通過e-mail發(fā)送給一個(gè)不受懷疑的用戶。如果該用戶以管理員權(quán)限登錄后運(yùn)行e-mail 中的附帶程序，該程序?qū)⑶娜粺o聲地復(fù)制SAM數(shù)據(jù)庫后將文本文件通過e-mail傳送給黑客。(最近我收到的一封電子郵件附帶的程序說： "click here"。我可以讓你猜猜如果我點(diǎn)擊那里會(huì)發(fā)生什么。)

即使黑客得到了PWDump的輸出結(jié)果，他們?nèi)匀粵]有任何密碼。他們使用NTCrack 對(duì)密碼散列值表實(shí)行強(qiáng)行攻擊。NTCrack能夠從英文字典中搜尋所有單詞，使用數(shù)字和字母大小寫進(jìn)行復(fù)雜的變換，在通常的Pentium計(jì)算機(jī)中運(yùn)行數(shù)小時(shí)，產(chǎn)生上百萬個(gè)單詞和短語的所有可能散列值。然后它將文件中的散列值與從PWDump檢索到的散列值進(jìn)行匹配，確定產(chǎn)生該散列值的密碼。記住即使MD4散列算法理論上是不可逆的，但NTCrack是基于一個(gè)事實(shí)：人們趨向于選擇易于記憶的密碼。如果NTCrack不得不按照Windows NT14個(gè)字符(包括數(shù)字、符號(hào)和大小寫)的最大密碼長度強(qiáng)行攻擊所有可能的密碼散列值，搜索過程在Pentium 120計(jì)算機(jī)上將要耗費(fèi)幾十億年。(我不知是否有人曾經(jīng)計(jì)算過在Pentium Pro計(jì)算機(jī)上所要耗費(fèi)的時(shí)間，但我想在一定的短時(shí)期內(nèi)還是安全的。) 如果你希望得到有關(guān)安全要素的更多的信息，請(qǐng)?jiān)贗nternet上搜索NTCrack或PWDump的內(nèi)容。我個(gè)人喜歡在我的系統(tǒng)中使用NTCrack以確保密碼列表是安全的以及我的用戶選擇了安全的密碼。

結(jié)束語

我希望現(xiàn)在你對(duì)于影響Web開發(fā)的Windows NT安全的因素有了更好的認(rèn)識(shí)。本主題面向站點(diǎn)最常見的使用驗(yàn)證和動(dòng)態(tài)傳輸、數(shù)據(jù)庫驅(qū)動(dòng)內(nèi)容。本文討論了安全的內(nèi)部基礎(chǔ)和委托。以后的文章將建立在對(duì)這些內(nèi)容的理解之上，并提出更為特定的配置因素和問題。如果你已經(jīng)對(duì)IIS為完成工作所做的一切有了較好的了解，你將會(huì)把工作完成的更好。