适用于:Access 2013、Office 2013
Microsoft Internet Explorer 安全问题
随着向 Microsoft Internet Explorer 添加了新的安全增强功能,某些 ADO 和 RDS 对象被限制为仅在“安全”模式环境中运行。 这需要您注意这些问题,包括不同区域、安全级别、限制性行为、不安全的操作和自定义安全设置。
有关这些问题的详细信息,请参阅 ActiveX 数据对象 (ADO) 技术文章中的“Microsoft Internet Explorer 中的 ADO 和 RDS 安全问题”。
安全性和 Web 服务器
如果在 Internet Web 服务器上使用 RDSServer.DataFactory 对象,请记住,这样做会产生潜在的安全风险。 获得有效数据源名称 (DSN)、用户 ID 和密码信息的外部用户可以编写将任何查询发送到该数据源的页面。 如果您希望进一步限制对数据源的访问,一种选择是撤消注册并删除 RDSServer.DataFactory 对象 (msadcf.dll),转而使用带硬代码查询的自定义业务对象。
有关使用 RDSServer.DataFactory 对象的安全隐患的详细信息,请参阅 Microsoft 安全 网站上的 Microsoft 安全公告 MS99-025。
客户端模拟和安全性
如果 IIS Web 服务器的密码身份验证属性设置为Windows NT质询/响应身份验证 (Windows NT 4.0) 或设置为适用于 Windows 2000) 的集成Windows 身份验证 (,则会在客户端的安全上下文下调用业务对象。 这是 RDS 1.5 中的新增功能,它允许通过 HTTP 进行客户端模拟。 在此模式下工作时, (IIS) 登录到 Web 服务器不是匿名的,而是使用客户端计算机运行的用户 ID 和密码。 如果 ODBC DSN 设置为使用可信连接,那么对 SQL Server 等数据库的访问也发生在客户端的安全性上下文中。 But this only works if the database is on the same computer as the IIS; the client credentials cannot be carried over to yet another computer.
例如,客户 John Doe 要登录到客户端计算机,他的用户 ID 为"JohnD",密码为"secret"。 他运行基于浏览器的应用程序,该应用程序需访问 RDSServer.DataFactory 对象,并通过在运行 IIS 的“MyServer”计算机上执行 SQL 查询来创建 Recordset。 MyServer 是一个运行 Windows NT Server 4.0 的系统,它设置为使用 Windows NT 质询/响应验证,它的 ODBC DSN 的“使用可信连接”处于选中状态,该服务器还包含 SQL Server 数据源。 在 Web 服务器上收到请求时,它会要求客户端提供用户 ID 和密码。 因此,登录到 MyServer 的请求来自“JohnD”/“Secret”,而不是来自 IUSER_MyServer(“匿名密码验证”处于打开状态时的默认选项)。 同样,当登录 SQL Server 时,将使用"JohnD"/"Secret"。
因此,在没有明确提示用户输入登录到数据库所需的用户 ID 和密码信息的情况下,IIS Windows NT 口令/应答身份验证模式允许创建 HTML 页面。 如果使用 IIS 基本身份验证,也要求使用该模式。
密码验证
RDS 可以与在以下三种密码身份验证模式之一中运行的 IIS Web 服务器通信:匿名、基本或 NT 质询/响应身份验证 (Windows 2000) 中称为集成Windows 身份验证。 这些设置定义 Web 服务器如何通过它控制访问,例如要求客户端计算机对 NT Web 服务器具有显式访问权限。