訪問驗證類型

① 寬頻連接中的「使用可擴展的身份驗證協議」是什麼

可擴展身份驗證協議 (EAP) 允許使用憑據和信息的任意身份驗證方法，從而擴展了點對點協議 (PPP) 的任意長度的交換。 EAP 的開發中使用安全設備如智能卡、 令牌卡和加密計算器） 的身份驗證方法的要求的響應。 EAP 提供行業標準的體系結構支持 PPP 內的其他身份驗證方法。
EAP 允許進行遠程訪問客戶端和身份驗證者之間開放式對話。 對話包括身份驗證者的身份驗證信息的請求和遠程訪問客戶端的響應。 例如，當與安全令牌卡一起使用 EAP，身份驗證器可以分別查詢遠程訪問客戶端的名稱、 PIN 和卡記號值。 隨著每個查詢是詢問和回答，遠程訪問客戶端通過身份驗證的另一個級別。 當已得到滿意的解答所有問題時，遠程訪問客戶端進行身份驗證。
Windows Server 2008 包括 EAP 基礎結構、 兩種 EAP 類型，並能夠將 EAP 消息傳遞給 RADIUS 伺服器 （EAP 半徑）

② 訪問的三個特徵

1、訪問具有很大的靈活性，可以對問題進行深入的探索，有效地控制交談的過程。

2、對被訪者的各種疑問進行解釋，還能根據交談時被訪者的非言語行為和表現，驗證訪問資料的信度與效度。與問卷調查相比，訪問的回答率較高。

3、即使在調查對象因文化程度低或其他原因不能填寫調查問卷的情況下，訪問也能得到被訪者的合作，獲得所需的資料。

按照不同的標准，訪問可分為不同的類型。按照與訪問對象的接觸方式分為直接訪問與電話訪問等。其中，最常見的是按訪問前是否擬定詳細的標准化的訪談提綱，將訪問分為結構性訪問和非結構性訪問。

結構性訪問：訪問者在訪問前，制定好詳細的標准化的訪談提綱，對被訪者進行訪問。特點是：獲得的資料便於比較和進行量化處理，能減少交談中的主觀成分，避免被訪者含糊的回答或偏離訪談提綱的談話。在進行結構性訪問時，所有的訪問員都要遵循事先制定好的訪談提綱，按照一定的順序提出問題，不能隨意偏離訪談提綱。

③ 如何 iis 下 文件 用戶 驗證 訪問

身份驗證和模擬類型
當 IIS 為 HTTP 請求提供服務時，IIS 將執行模擬，以便對處理請求的資源訪問許可權進行適當的限制。模擬的安全上下文基於為請求執行的身份驗證類型。IIS 4.0 提供五種不同的身份驗證類型：

身份驗證類型 模擬類型

匿名訪問（無身份驗證） 網路
自動密碼同步為
ON（ON 為默認值）

匿名訪問（無身份驗證） IIS 明文
自動密碼同步為 OFF

基本身份驗證 IIS 明文

NT 質詢/響應身份驗證 網路

客戶端 SSL 證書映射 互動式

令牌類型
是否允許訪問網路資源取決於在什麼類型的模擬令牌下處理請求。

「不」允許網路令牌訪問網路資源。（之所以將它命名為網路令牌，原因是此類令牌過去通常是當用戶在整個網路中經過身份驗證時由伺服器創建的。允許伺服器使用網路令牌充當網路客戶端並訪問其他伺服器，這種做法稱為「委派」且被視為潛在的安全漏洞。）

過去，當在計算機上對本地用戶進行身份驗證時會使用互動式令牌。允許互動式令牌訪問整個網路的資源。

批處理令牌旨在為批處理作業的運行提供安全上下文。批處理令牌具有網路訪問許可權。
IIS 有一個明文登錄的概念。之所以稱其為明文登錄，原因是 IIS 具有以明文方式訪問用戶名和密碼的許可權。通過置配置元資料庫中的 LogonMethod 屬性，您可以控制明文登錄創建的令牌類型：「網路」令牌、「互動式」令牌或「批處理」令牌。默認情況下，明文登錄收到「互動式」令牌，可以訪問網路資源。您可以在伺服器、站點、虛擬目錄、目錄或文件級別配置 LogonMethod。

匿名訪問模擬配置為請求的匿名用戶的帳戶。默認情況下，IIS 有一個稱為 IUSR_<machinename> 的匿名用戶帳戶，在處理不需要身份驗證的請求時模擬該帳戶。默認情況下，IIS 4.0 具有一項稱為「啟用自動密碼同步」的可配置功能，它使用安全次許可權創建令牌。通過這種方式創建的令牌是網路令牌，它們「不能」訪問網路中的其他計算機。如果禁用「自動密碼同步」，IIS 以與前面所述的明文登錄相同的方式創建令牌。「自動密碼同步」只用於 IIS 所在計算機上的帳戶。因此，如果將匿名帳戶更改為域帳戶，則無法使用「自動密碼同步」，而會收到明文登錄。但這種情況有一個例外，那就是在「主域控制器」上安裝 IIS 時。在此情況下，域帳戶位於本地計算機上。您可以在伺服器、站點、虛擬目錄、目錄或文件級別配置匿名帳戶和「自動密碼同步」選項。

訪問網路資源的第一步是必須具有正確的令牌類型。您還必須模擬對整個網路的資源有訪問許可權的帳戶。默認情況下，IIS 為匿名請求創建的 IUSR_<machinename> 帳戶只在本地計算機上存在。即使通過禁用「自動密碼同步」獲得了可以訪問網路資源的「互動式」令牌，IUSR_<machinename> 帳戶通常也不能訪問大多數網路資源，因為其他計算機不識別該帳戶。如果要用匿名請求訪問網路資源，則必須將默認帳戶替換為可由網路中的所有計算機識別的域帳戶。如果在「域控制器」上安裝 IIS，IUSR_<machinename> 帳戶就是域帳戶，您不需要執行額外操作，網路中的其他計算機一定識別該帳戶。

避免問題
從 IIS 應用程序訪問網路資源時若要避免發生問題，請嘗試以下方法：

將文件保留在本地計算機上。

某些網路通信方法不要求安全檢查。使用 Windows 套接字就是一個示例。

您可以提供對計算機網路資源的直接訪問，方法是將虛擬目錄配置為：
「另一計算機上的共享位置」。
對共享網路資源的計算機的所有訪問都在連接為.. 對話框下所指定用戶的上下文中執行。不論為虛擬目錄配置什麼類型的身份驗證，都會發生同樣的情況。通過使用此選項，用戶可以從訪問 IIS 計算機的瀏覽器訪問網路共享位置的所有文件。

使用基本身份驗證或匿名身份驗證的同時禁用「自動密碼同步」。

默認情況下，Internet Information Server 為基本身份驗證所做的模擬提供可以訪問網路資源的令牌（這一點與「Windows NT 質詢/響應」不同，它提供不能訪問網路資源的令牌）。對於匿名身份驗證，該令牌只有在禁用「自動密碼同步」的情況下才能訪問網路資源。第一次安裝 Internet Information Server 時默認啟用「自動密碼同步」。在此默認配置下，匿名用戶令牌不能訪問網路資源。 有關 IIS 中「自動密碼同步」的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
190005
(http://support.microsoft.com/kb/190005/ )
用於在匿名訪問時提示用戶輸入密碼的站點設置

259353
(http://support.microsoft.com/kb/259353/ )
設置密碼同步後必須手動輸入密碼

將匿名帳戶配置為域帳戶。

這樣可以防止匿名請求對網路資源進行潛在訪問。要防止所有匿名請求訪問網路資源，您只能讓匿名帳戶成為專門需要訪問的虛擬目錄上的域帳戶。

將匿名帳戶的用戶名和密碼配置為與共享網路資源的計算機上所用的用戶名和密碼相同，並禁用「自動密碼同步」。

如果這樣做，必須確保兩個密碼完全一致。只有在出於某些原因而無法採用前面所述的「將匿名帳戶配置為域帳戶」方法時，才能使用此方法。

當用網路令牌處理請求時，可使用 NullSessionShares 和 NullSessionPipes 允許對特定網路共享位置或命名管道的訪問。

如果您有一個網路令牌並且嘗試與網路資源建立連接，那麼操作系統嘗試將該連接建立為無需身份驗證的連接（稱為「空會話」）。您必須在共享網路資源的計算機（而非 IIS 計算機）上進行該注冊表設置。如果嘗試用非網路令牌訪問 NullSessionShare 或 NullSessionPipe，則會使用典型的 Microsoft Windows 身份驗證，對資源的訪問將基於模擬用戶的帳戶所具備的用戶許可權。

您可以通過執行自己的模擬來創建具有網路訪問許可權的「線程」令牌。

LogonUser 函數和 ImpersonateLoggedOnUser 函數可以用來模擬另一不同的帳戶。該方法要求您為代碼提供另一帳戶的「明文」用戶名和密碼。LogonUser 還要求調用 LogonUser 的帳戶在「用戶管理器」中具有「作為操作系統的一部分」的特權。默認情況下，IIS 在處理 HTTP 請求時模擬的大多數用戶都沒有此用戶許可權。不過，對於「進程內應用程序」，您可以通過多種方式來使當前的安全上下文更改為 LocalSystem 帳戶，該帳戶具有「作為操作系統的一部分」管理憑據。對於在進程內運行的 ISAPI DLL，將 IIS 創建的安全上下文更改為 LocalSystem 帳戶的最佳方式是調用 RevertToSelf 函數。如果在「進程外」運行 IIS 應用程序，該機制默認不起作用，因為進程在 IWAM_<machinename> 帳戶下運行，而不在本地系統帳戶下運行。默認情況下，IWAM_<machinename>「沒有」「作為操作系統的一部分」管理憑據。

在 Microsoft Transaction Server (MTS) 伺服器包或 COM+ Server 應用程序中添加從 ASP 頁調用的組件，然後指定某個用戶作為包的標識。

注意：該組件在 IIS 外部單獨的 .exe 文件中運行。

使用基本/明文身份驗證時，建議使用 SSL 加密數據，因為該身份驗證方式極易通過網路跟蹤獲得憑據。 有關如何安裝 SSL 的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
228991
(http://support.microsoft.com/kb/228991/ )
如何在 Internet Information Server 4.0 中創建和安裝 SSL 證書
注意：切記，如果將 LogonMethod 元資料庫屬性設置為「2」（表示使用網路登錄創建模擬令牌），則在禁用密碼同步且使用基本身份驗證（明文登錄）對請求進行身份驗證的情況下，可以防止匿名請求進行網路訪問。有了此設置，請求避免網路令牌限制的唯一方式就是連接到 NullSessionShares 或 NullSessionPipes。

不要使用已映射到網路共享位置的驅動器號。不僅只能從 26 個驅動器號中進行選擇，而且如果嘗試使用在另一不同的安全上下文中映射的驅動器號，也會發生問題。您必須始終使用「通用命名約定」(UNC) 名稱訪問資源。格式必須類似如下所示：
\\MyServer\filesharename\directoryname\filename
有關使用 UNC 的更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：
280383
(http://support.microsoft.com/kb/280383/ )
在您使用 UNC 共享、用戶名和密碼憑據時的 IIS 安全建議
本文中的信息只適用於 Internet Information Server 4.0。在 Internet Information Server 5.0（隨 Windows 2000 提供）中，一些新的身份驗證類型和功能有了很大的更改。雖然本文中的大多數概念仍然適用於 IIS 5.0，但本文中的某些身份驗證方案生成的模擬令牌類型的相關詳細信息只適用於 IIS 4.0。

319067
(http://support.microsoft.com/kb/319067/ )
如何在 IIS 中運行不在系統帳戶上下文中的應用程序
如果無法確定您的 IIS 伺服器上目前由何種類型的登錄來處理請求，則可打開「登錄」和「注銷」的審核。執行下列步驟：

依次單擊開始、設置、控制面板、管理工具、本地安全策略。

打開「本地安全策略」後，在左側的「樹視圖」窗格中依次單擊安全設置、本地策略、審核策略。

雙擊審核登錄事件，然後單擊成功和失敗。「事件日誌」條目將添加到「安全」日誌下。查看「登錄類型」下的事件詳細信息即可確定登錄類型：
2=互動式
3=網路
4=批處理
5=服務