IIS-Authentifizierungsmethoden: Was und wann


Internet Information Server 4.0 verwendet drei Authentifizierungsmethoden: anonym, einfach und NT Challenge / Response. Schauen wir uns diese drei Methoden an und diskutieren dann die zusätzlichen Methoden, die von IIS 5.0 angeboten werden.

Bei der anonymen Authentifizierungsmethode muss der besuchende Benutzer keine Anmeldeinformationen angeben, diese werden jedoch weiterhin beim IIS-Host authentifiziert. Diese Authentifizierung verwendet ein vordefiniertes Konto, unter dem alle anonymen Benutzer angemeldet sind. Dieses Konto heißt IUSR_ (wobei Servername der NetBIOS-Name des IIS-Hostsystems ist).

Für die Basisauthentifizierung müssen Besucher einen Benutzernamen und ein Kennwort angeben. Diese Anmeldeinformationen werden in leicht entschlüsseltem Base64 übertragen. Die grundlegende Authentifizierung ist also im Wesentlichen Klartext. Die Standardauthentifizierung ist Teil des HTTP 1.0-Standards und wird von allen Browsern und Webserversystemen unterstützt.

Die NT Challenge / Response-Authentifizierungsmethode wurde als Antwort auf die grundlegende Authentifizierungsmethode entwickelt. NT Challenge / Response verwendet einen Einweg-Hash-Prozess, um das Kennwort während der Übertragung zwischen Client und Server zu schützen. Diese Methode stellt eine deutliche Sicherheitsverbesserung dar, aber die Hash-Funktion ist bekannt und übertragene Passwörter können mit gezielter Anstrengung erkannt werden. NT Challenge / Response wird nur von Microsoft-Webbrowsern und Microsoft-Webservern unterstützt, da eine proprietäre Hash-Funktion verwendet wird.

Die Einschränkungen von NT Challenge / Response machen es zu einer schlechten Wahl für Internet-Webserver, die für jeden Besucher eine tatsächliche Authentifizierung erfordern. Eine bevorzugte Methode besteht darin, die grundlegende Authentifizierungsmethode innerhalb einer SSL-Verbindung zu verwenden. SSL ist eine weit verbreitete Kommunikationsverschlüsselungslösung. Diese Kombination von Mechanismen ermöglicht eine individuelle Authentifizierung ohne unnötige Offenlegung von Anmeldeinformationen.

IIS 5.0 bietet zwei zusätzliche Authentifizierungsmethoden: Integrierte Windows-Authentifizierung und Digest-Authentifizierung. Integriertes Windows ist dasselbe wie NT Challenge / Response. Wenn der Client jedoch ein Windows 2000-System mit IIS 5.0+ ist und ein Domänenmitglied ist, wird Kerberos anstelle des Einweg-Hash-Prozesses verwendet. Die Digest-Authentifizierung, eine verbesserte Version von Basic, verwendet einen Hash anstelle von Base64, um Kennwörter zu schützen. Digest wird jedoch nur von Microsoft-Produkten unterstützt. Daher ermöglicht keine dieser zusätzlichen IIS 5.0-Authentifizierungsmethoden die unterschiedlichsten Clients im Internet.


Über den Autor
James Michael Stewart ist Forscher und Autor für Lanwrights, Inc..

Dig Deeper unter Windows Server Fehlerbehebung

Similar Posts

Leave a Reply