基本身份验证

基本身份验证方法是广泛使用的工业标准方法,用于收集用户名和密码等信息。

客户身份验证过程

以下步骤概述了如何使用“基本身份验证”对客户端进行身份验证:

  1. Internet Explorer Web 浏览器显示一个对话框,以使用户输入先前分配的 Windows 帐户用户名和密码(也称为“凭据”)。
  2. 然后,Web 浏览器试图使用用户凭据与服务器建立连接。在通过网络发送明文密码之前,该密码采用的是 Base64 编码。

    要点 要点 Base64 编码没有加密。如果使用 Base64 编码的密码在网络中被网络嗅探器截获,则未经授权的用户可以很容易地对该密码进行解码并重新使用。

  3. 如果用户凭据被拒绝,则 Internet Explorer 显示一个身份验证对话框以重新输入用户凭据。Internet Explorer 允许用户进行三次连接尝试,之后连接就会失败并向用户报告错误。
  4. 如果 Web 服务器证实用户名和密码与有效 Microsoft Windows 用户帐户相符,则建立连接。

基本身份验证的优点在于,它是 HTTP 规范的一部分,并且大多数浏览器均支持该验证。缺点是 Web 浏览器使用基本身份验证是以未加密的形式传输密码的。通过监视网络上的通信,攻击者或恶意用户可以使用常见工具很容易地截获和解码这些密码。因此,不建议使用基本身份验证,除非确信用户和 Web 服务器之间的连接是安全的,如专线或安全套接字层 (SSL) 连接。详细信息,请参阅加密

注意 注意 浏览器将选择集成 Windows 身份验证,并且在提示用户输入用户名和密码之前,尝试使用当前的 Windows 登录信息。目前,只有 Internet Explorer 2.0 及更高版本支持集成 Windows 身份验证。

默认登录类型

在 IIS 6.0 中,基本身份验证的默认登录类型(配置数据库属性为 LogonMethod)为 NETWORK_CLEARTEXT(它也适用于匿名身份验证)。这一点与旧版本 IIS 不同,旧版本的默认登录类型为 INTERACTIVE。正是由于这种变化,在使用基本身份验证的默认登录类型时,用户不再拥有 interactive 登录权限。基本身份验证适用于域控制器,而 NETWORK 和 NETWORK_CLEARTEXT 设置不再要求登录权限。有关基本身份验证所使用的登录类型的摘要,请参见下表。

登录类型LogonMethod 设置需要的登录权限添加到访问令牌的安全标识符 (SID)
是否需要出站凭据?
NETWORK_CLEARTEXT
(默认值)
3 - MD_LOGON
_NETWORK_CLEARTEXT
网络 NT AUTHORITY
\NETWORK_CLEARTEXT
NETWORK 2 - MD_LOGON
_NETWORK
网络 NT AUTHORITY
\NETWORK
BATCH 1 - MD_LOGON
_BATCH
批处理 NT AUTHORITY
\BATCH

令牌缓存安全注意事项

在使用基本身份验证时,将用户令牌缓存到令牌缓存中。默认情况下,令牌在缓存中保留 15 分钟(以秒的形式表示)。如果使用基本身份验证及具有较高用户登录权限级别的帐户登录,则攻击者一旦成功就可以使用该帐户获得对计算机上资源的访问。可以使用几种方法来降低这种威胁:

配置基本身份验证

启用基本身份验证并不能自动配置 Web 服务器以验证用户。必须创建 Windows 用户帐户并正确设置 NTFS 权限。

基本身份验证方法以非加密的形式在网络上传送用户名和密码。您可以使用 Web 服务器的加密功能,再结合基本身份验证,以确保用户帐户信息在网络中传送的安全。

要点 要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"

启用基本身份验证

  1. 在 IIS 管理器中,右键单击“网站”文件夹、网站、虚拟目录或文件,然后单击“属性”。

    注意 注意 所有网站均能继承在网站文件夹级别设定的配置设置。

  2. 单击“目录安全性”或“文件安全性”选项卡,具体情况取决于所配置的安全设置级别。
  3. 在“身份验证和访问控制”部分中,单击“编辑”。
  4. 在“用户访问需经过身份验证”部分中,选中“基本身份验证”复选框。
  5. 由于基本身份验证通过网络发送未加密的密码,因此会出现一个对话框,询问是否希望继续。单击“是”以继续。
  6. 在“默认域”框中,键入要使用的域名,或者单击“选择”以浏览新的默认登录域。如果已经填写了“默认域”框,则将该名称用作默认域。如果“默认域”框保留空白,则 IIS 将运行 IIS 的计算机的域用作默认域。IIS 配置 DefaultLogonDomain 属性的值,它决定了验证访问 IIS 服务器的客户(使用基本身份验证)所使用的默认域。但是,DefaultLogonDomain 属性指定的域仅用于以下情形:客户在客户端计算机上出现的登录对话框中没有指定域。
  7. 可以在“领域”框中键入输入一个值(可选),该框用于配置 Realm 属性的值。如果设置了“领域”属性,那么当使用基本身份验证时,其值将出现在客户的登录对话框中。仅出于参考目的将“领域”属性值发送到客户,在使用基本身份验证时,不能使用该值对客户进行身份验证。
  8. 单击“确定”两次。
相关主题

© 1997-2003 Microsoft Corporation。保留所有权利