要点 Base64 编码没有加密。如果使用 Base64 编码的密码在网络中被网络嗅探器截获,则未经授权的用户可以很容易地对该密码进行解码并重新使用。
基本身份验证方法是广泛使用的工业标准方法,用于收集用户名和密码等信息。
以下步骤概述了如何使用“基本身份验证”对客户端进行身份验证:
要点 Base64 编码没有加密。如果使用 Base64 编码的密码在网络中被网络嗅探器截获,则未经授权的用户可以很容易地对该密码进行解码并重新使用。
基本身份验证的优点在于,它是 HTTP 规范的一部分,并且大多数浏览器均支持该验证。缺点是 Web 浏览器使用基本身份验证是以未加密的形式传输密码的。通过监视网络上的通信,攻击者或恶意用户可以使用常见工具很容易地截获和解码这些密码。因此,不建议使用基本身份验证,除非确信用户和 Web 服务器之间的连接是安全的,如专线或安全套接字层 (SSL) 连接。详细信息,请参阅加密。
注意 浏览器将选择集成 Windows 身份验证,并且在提示用户输入用户名和密码之前,尝试使用当前的 Windows 登录信息。目前,只有 Internet Explorer 2.0 及更高版本支持集成 Windows 身份验证。
在 IIS 6.0 中,基本身份验证的默认登录类型(配置数据库属性为
| 登录类型 | 需要的登录权限 | 添加到访问令牌的安全标识符 (SID) | 是否需要出站凭据? | |
|---|---|---|---|---|
| NETWORK_CLEARTEXT (默认值) |
3 - MD_LOGON _NETWORK_CLEARTEXT |
网络 | NT AUTHORITY \NETWORK_CLEARTEXT |
是 |
| NETWORK | 2 - MD_LOGON _NETWORK |
网络 | NT AUTHORITY \NETWORK |
否 |
| BATCH | 1 - MD_LOGON _BATCH |
批处理 | NT AUTHORITY \BATCH |
是 |
在使用基本身份验证时,将用户令牌缓存到令牌缓存中。默认情况下,令牌在缓存中保留 15 分钟(以秒的形式表示)。如果使用基本身份验证及具有较高用户登录权限级别的帐户登录,则攻击者一旦成功就可以使用该帐户获得对计算机上资源的访问。可以使用几种方法来降低这种威胁:
启用基本身份验证并不能自动配置 Web 服务器以验证用户。必须创建 Windows 用户帐户并正确设置 NTFS 权限。
基本身份验证方法以非加密的形式在网络上传送用户名和密码。您可以使用 Web 服务器的加密功能,再结合基本身份验证,以确保用户帐户信息在网络中传送的安全。
要点 您必须是本地计算机上 Administrators 组的成员或者必须被委派了相应的权限,才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录计算机,然后使用运行方式命令以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
启用基本身份验证
注意 所有网站均能继承在网站文件夹级别设定的配置设置。