Was bewirkt <authentication mode = "windows"> in Versionen von IIS?

Question

Ich frage mich, welche Auswirkungen der Einstellung <authentication mode="windows"> in der web.config in verschiedenen Versionen von IIS ist.

Ich glaube, dass es in IIS 5 wenig bis gar keine Wirkung hat, da alles vom Webserver integriert und gesteuert wird.

Auf IIS 6 und 7 glaube ich, dass ich den Webserver auf den anonymen Zugriff einstellen kann und dann jede gehostete Webanwendung wiederum feststellen kann, ob sie die Windows-Authentifizierung durch Festlegen des Modus verwenden wollte. Das heißt, die Datei web.config steuert ASP.NET in diesen IIS-Versionen und überschreibt den Server.

Ich suche ein weißes Blatt Papier oder Bezug von irgendeiner Art, dass dies mehr wird gesichert, als nur meine Beobachtungs Erfahrung

Answer 1

Meines Wissens gab es nur wenige Änderungen zwischen 5 und 6 in Bezug auf die Sicherheit. IIS 7 wurde jedoch grundlegend überarbeitet und unterscheidet sich erheblich von IIS 6 (IIS 7 ermöglicht jedoch die Ausführung im "Kompatibilitätsmodus", sodass sich Ihre Anwendungen fast genauso verhalten wie unter IIS 5 und 6).

Es gibt ein paar nützliche Artikel, die helfen könnten:

• http://learn.iis.net/page.aspx/110/changes-between-iis-60-and-iis-7-security/
• http://blogs.iis.net/nitashav/archive/2010/03/12/iis6-0-ui-vs-iis7-x-ui-series-integrated-windows-authentication.aspx

Answer 2

IIS 5 auch veraltet ist (Windows XP im nächsten Jahr sterben). Es gibt wenig Wert, über die weiteren Einzelheiten darüber zu diskutieren, obwohl Ihr Verständnis nicht stimmt, soweit ich mich erinnern kann.

Diese Einstellung bestimmt nur, wie das ASP.NET-Framework das von IIS übergebene native Benutzer-Token interpretiert (da IIS die Authentifizierung mit seinen Authentifizierungsanbietern durchführt). Wenn Sie dies auf der ASP.NET-Seite für IIS 6/7/8 festlegen, müssen Sie die entsprechende Einstellung auf der IIS-Seite sorgfältig überprüfen.

Wenn beispielsweise die IIS-Seite die anonyme/(integrierte) Windows/Basic/Digest-Authentifizierung verwendet, werden verschiedene Typen von Benutzer-Token an ASP.NET weitergeleitet.

http://msdn.microsoft.com/en-us/library/907hb5w9(v=vs.100).aspx

daher Ihr Verständnis von „kann ich den Web-Server anonymen Zugriff festgelegt und dann jede gehostete Web-Anwendung wiederum bestimmen könnte, wenn es durch Einstellen des Modus der Windows-Authentifizierung verwenden will“ ist falsch. Wenn Sie die Windows-Authentifizierung zum Authentifizieren von Clients verwenden möchten, müssen Sie sie sowohl auf der IIS-Seite als auch auf der ASP.NET-Seite festlegen. Ausgehend von IIS 7 werden diese Einstellungen vom IIS-Manager an die gleiche Stelle gesetzt, Sie müssen jedoch ihre Unterschiede und Beziehungen vollständig verstehen. Weitere Informationen zur ASP.NET-Authentifizierung finden Sie unter http://msdn.microsoft.com/en-us/library/eeyk640h(v=vs.100).aspx