Network Service帐户在创建时不仅仅考虑了在IIS6.0中的应用。它还具有进程标识W3WP.exe的绝大部分(并不是全部)权限。如同ASPNET用户为了运行ASP.net应用程序,需要具有IIS6.0服务器上某些位置的访问权限,进程标识 W3WP.exe 也需要具有类似位置的访问权限,而且还需要一些默认情况下没有指派给内置组的权限。
二、为了管理的方便,在安装IIS6.0时创建了"IIS_WPG"组(也称为IIS工作进程组,IIS Worker Process Group),而且它的成员包括Local System (本地系统)、Local Service(本地服务)、Network Service(网络服务)和IWAM帐户。IIS_WPG 的成员具有适当的NTFS的Acls权限和必要的用户权限,可以充当IIS 6.0中工作进程的进程标识。
三、因此,Network Service帐户提供了访问上述位置的权限,具有充当 IIS 6 工作进程的进程标识的充足权限,以及具有访问网络的权限。Msdn上说:在Windows Server 2003中,用户上下文称为NETWORK SERVICE。这些用户帐户是在 .NET Framework安装过程中创建的,它具有唯一的不易破解的密码,并仅被授予有限的权限。ASPNET或NETWORK SERVICE用户只能访问运行Web应用程序所需的特定文件夹,如Web应用程序存储 已编译文件的\bin 目录。要将进程标识设置为特定用户名,以取代ASPNET或NETWORK SERVICE用户标识,您提供的用户名和密码都必须存储在machine.config 文件中。但是根据实际情况,asp.net的system.io可以无限制访问不设防的服务器路径。不知道这算不算一个ms的重大漏洞。而且根本不能使iis以machine.config的用户执行asp.net程序。
四、如何解决呢?答案就是—应用程序池。
IIS 6.0在被称为应用程序隔离模式(隔离模式)的两种不同操作模式下运行,它们是:工作进程隔离模式和IIS 5.0隔离模式。这两种模式都要依赖于HTTP.sys作为超文本传输协议(HTTP)侦听程序;然而,它们内部的工作原理是截然不同的。
工作进程隔离模式利用IIS 6.0的重新设计的体系结构并且使用工作进程的核心组件。IIS 5.0隔离模式用于依赖IIS 5.0的特定功能和行为的应 用程序。该隔离模式由IIs5Isolation ModeEnabled配置数据库属性指定。
您所选择的IIS应用程序隔离模式对性能、可*性、安全性和功能可用性都会产生影响。工作进程隔离模式是IIS 6.0操作的推荐模式,因为它为 应用程序提供了更可*的平台。工作进程隔离模式也提供了更高级别的安全性,因为运行在工作进程中的应用程序的默认标识为NetworkService。 以IIS 5.0隔离模式运行的应用程序的默认标识为LocalSystem,该标识允许访问并具有更改计算机上几乎所有资源的能力。
IIS 功能 IIS 5.0隔离模式宿主/组件 工作进程隔离模式宿主/组件
工作进程管理 N/A Svchost.exe/WWW 服务
工作进程 N/A W3wp.exe/工作进程
运行进程内ISAPI 扩展 Inetinfo.exe W3wp.exe
运行进程外ISAPI 扩展 DLLHost.exe N/A(所有的 ISAPI 扩展都在进程内)
运行ISAPI筛选器 Inetinfo.exe W3wp.exe
HTTP.sys 配置 Svchost.exe/WWW 服务 Svchost.exe/WWW 服务
HTTP 协议支持 Windows内核/HTTP.sys Windows 内核/HTTP.sys
IIS配置数据库 Inetinfo.exe Inetinfo.exe
FTP Inetinfo.exe Inetinfo.exe
NNTP Inetinfo.exe Inetinfo.exe
SMTP Inetinfo.exe Inetinfo.exe
由此可见,我们只能使用工作进程隔离模式解决.net的安全问题。默认情况下,IIS 6.0在工作进程隔离模式下运行,在这种模式中,对于每一个Web应用,IIS 6.0都用一个独立的w3wp.exe的实例来运行它。w3wp.exe也称为工作进程(Worker Process),或W3Core。
可*性和安全性。可*性的提高是因为一个Web应用的故障不会影响到其他Web应用,也不会影响http.sys,每一个Web应用由W3SVC单独地监视 其健康状况。安全性的提高是由于应用程序不再象IIS 5.0和IIS 4.0的进程内应用那样用System帐户运行,默认情况下,w3wp.exe的所有实例都在一个权限有限的“网络服务”帐户下运行,必要时,还可以将工作进程配置成用其他用户帐户运行。
上一页 [1] [2] [3] 下一页
【
| 0 |
 |
