挖掘IIS 7新特性 提升Web服务器安全(1)
[时间:2010-05-06]  [文章来源:上海百络]  [责任编辑:master]

    Web服务器从Server 2003迁移到Server 2008,不仅是系统平台的变化,更重要的是IIS的升级。不同于Server 2003中的IIS 6.0,Server 2008的Web平台是基于IIS 7.0的。Web升级伊始,有不少管理员对于IIS 7还是比较陌生的,如何使用IIS 7的新特性提升Web的安全呢?本文中将就IIS 7的新特性进行解析,并和大家分享利用这些特性提升Web安全方面的一些经验,希望能够帮助到大家。

    1.基于lUSR账户,加强Web访问安全

    对于Web服务器来说,使用哪个账号作为匿名访问的身分凭证是关系进程身份的重要问题。IIS 6依赖于一个本地账户——IUSR_servername,将其作为匿名用户登录的身份凭证。IlS 7则使用了一个全新的内置账号——IUSR,这是一个特殊的账户,用户不能使用该账户进行本地登录,它没有密码,所以任何基于密码破解的攻击对它是无效的。由于IUSR账号总是拥有相同的SID,所以它的相关ACL在Windows Sewer 2008的机器之间是可传递的。如果IUSR账号不适合我们的应用场景的话(也就是说,如果匿名请求需要经身份验证的网络访问的话),可以关闭匿名用户账号,IIS 7将为匿名请求使用工作者进程身份。

    同样全新的还有内置的IIS_IUSRS组,这个用户组取代了原先的IIS_WPG组。在IIS 6里,IIS_WPG组提供了运行一个工作者进程所需的最小权限,而且必须手动地将账号添加到该组,从而为一个工作者进程提供自定制的身份凭证。IIS_IUSRS组为lIS 7提供了类似的角色,但是不必特意将账号添加到该组。取而代之的是,当账号被指派为某一应用程序池的身份凭证时,IIS 7会自动将这些账号收入到IIS_IUSRS组。并且和IUSR账号一样,IIS_IUSRS组也是内置的,所以在所有的Windows Server 2008机器上,它总是具有相同的名称和SID,这就让ACL以及其它配置在Windows Server 2008(以及Windows Vista)机器之间是完全可迁移的。

    2.应用程序“沙箱”,实现服务隔离。

    “沙箱”是一个独立的应用系统可以实现服务隔离,这在服务器中具有重要意义。通常情况下,为了节约成本或者便于管理,在一台服务器上运行多个服务是非常普遍的。比如,一台提供Web的服务器同时又在为财务部门提供数据库服务。毫无疑问,如果不采取措施,这些应用服务之间会互相影响,甚至会因为自身问题会殃及池鱼,导致整个服务器宕机。所以将服务器上的各种应用服务隔离开来是至关重要的。

    我们知道,Web应用程序是运行在工作进程下的,这在IIS 6和IIS 7中是相同的,这个工作进程就是w3wp.exe。应用程序池会把Web应用程序映射到工作者进程,一个特定的工作者进程只用于运行作为相同应用程序池的一部分的应用程序,这个过程在IIS 6和IIS 7中有所不同。

    在IIS 6中,新的Web站点和应用程序被放置在相同的应用程序池里,而这个默认的应用程序池运行在“NetworkService”账户下。当然,作为服务器管理员我们可以手动创建新的应用程序池并且把Web应用程序指派给这些池。默认情况下,这些应用程序池也将运行在“NetworkService”账号下。这样就会存在一定的安全隐患,试想,所有的Web应用程序都运行在相同的权限下,那么一个在应用程序池A中的应用程序可以读取应用程序池B的配置信息,甚至有权访问属于应用程序池B的应用程序的内容文件。虽然创建新的应用程序池以及为它们配置自定义账号的任务足够简单,但是随着时间的推移,管理这些账号却并不那么轻松。



    [关闭本页]
  关键词:  挖掘IIS 7新特性 提升Web服务器安全(1)
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证