вбудовані функції ASP завжди працюють під обліковими записами з обмеженими привілеями (анонімний користувач).
Авторизація
IIS 6.0 розширює використання нової структури авторизації, що входить до складу Windows Server 2003. Крім того, веб-додатки можуть використовувати авторизацію URL (у поєднанні з диспетчером авторизації) для управління доступом. Обмежена делегована авторизація надає адміністраторам доменів можливість делегувати повноваження тільки обраним комп'ютерам і службам.
В
В IIS 6.0 з'явилося багато нових можливостей, пов'язаних з роллю сервера веб-додатків в Windows Server 2003. IIS 6.0 дає більш широкі можливості для розробки додатків, надаючи платформу, інтегровану з іншими технологіями Windows Server 2003, - зокрема, ASP.NET і. NET Framework. Windows Server 2003 в поєднанні з IIS 6.0 являє є найвищою мірою надійне, кероване, масштабується і безпечне рішення.
Нові можливості перевірки достовірності за протоколом Kerberos в Windows Server 2003
Розглянемо нові можливості системи перевірки справжності по протоколу Kerberos в Windows Server 2003 і дамо основні відомості про використання даних коштів. p> Жодна з можливостей системи перевірки справжності по протоколу Kerberos, присутніх в Windows 2000, НЕ була вилучена з ужитку або переміщена в інші лінії продуктів.
Економічний ефект
Нові можливості
Опис
Для входу на клієнтський комп'ютер з Windows XP не потрібно облікового запису на комп'ютері
Зазвичай для перевірки автентичності по протоколу Kerberos необхідна обліковий запис на комп'ютері. Щоб отримати доступ до ресурсів комп'ютера, користувач повинен мати квиток служби для цього комп'ютера. Без цієї перевірки автентичності користувача на комп'ютері комп'ютер повинен здійснювати управління доступом, зіставляючи ім'я користувача з ім'ям, збереженим в місцевій базі даних облікових записів. Щоб встановити таке локальне зіставлення, користувачеві необхідно запустити програму KSETUP.
Ім'я учасника служби паче не перетвориться до канонічної формі
Раніше ім'я учасника служби (SPN) наводилося до канонічної формі диспетчера облікових записів безпеки (SAM) - наприклад, mycomputer $. Це призводило до проблем в тих випадках, коли користувач запитував службу з неканонічним ім'ям: система не могла визначити, що у неї є кешированний квиток для цієї служби, і запитувала новий квиток. Тепер рішення полягає у використанні імені учасника служби, яке було запитано (без приведення до канонічного виду).
Щоб центр розподілу ключів міг видати квиток служби, необхідно встановити ім'я учасника служби для учасника безпеки, чинного як служба
Це означає, що центр розподілу ключів не видасть квиток служби облікового запису, яка не має імені учасника служби (Наприклад, облікового запису користувача). Причина полягає в тому, що проти служби, яка являє собою звичайну обліковий запис з паролем, придуманим людиною, було б простіше організувати словникову атаку в автономному режимі. Для облікового запису, яка не має імені учасника служби, центр розподілу ключів поверне код помилки, який вказує на те, що необхідна процедура "користувач-користувач".
Розширена перевірка адреси клієнта
Центр розподілу ключів в Windows 2000 перевіряє адреси у квитках, якщо вони там є. Однак при цьому він не поміщає запитані адреси у квиток.
У Windows Server 2003 центр розподілу ключів за замовчуванням працює в режимі сумісності з клієнтами Windows 2000 і не поміщає в квиток адреси, зазначені в AS-REQ, якщо в системний реєстру не буде доданий новий ключ (HKLM/System/CCS/Services/Kdc/KdcUseClientAddresses зі значенням типу DWORD, рівним 1). Коли квиток видається службі видачі квитків (TGS), адреси перевіряються, якщо вони є. У Windows Server 2003 це можна заборонити, додавши до реєстру новий ключ (HKLM/System/CCS/Services/Kdc/KdcDontCheckAddresses зі значенням типу DWORD, рівним 0). Типово проводиться перевірка адрес, якщо вони є (для сумісності з Windows 2000).
Підтримка номерів версії ключа
Номери версії ключа - це необов'язкова частина специфікації протоколу Kerberos. Вони можуть включатися в дані, шіфруемие за допомогою Kerberos, якщо ці дані шифруються з використанням ключа з тривалим терміном служби. У Windows Server 2003 вперше з'явилася можливість використання номера версії ключа.
Вибір типу шифрування <...
