从 Windows 7 与 Windows Server 2008 R2 开始,新增了两种特殊的帐户类型,分别是「受管理的服务帐户(Managed service accounts)」与「虚拟帐户(virtual accounts)」,可有效隔离各种网路服务以提升安全性,我今天会集中在讲解 IIS 7.5 与虚拟帐户之间的实际运用与范例。
要学会设定 IIS 一定要熟悉应用程式集区(Application Pool)与身份识别(Identity)的关系,我们都知道 IIS6 与 IIS7 预设的应用程式集区身份识别都是 NETWORK SERVICE 这个系统帐户,不过 NETWORK SERVICE 这个帐户可不是只有 IIS 在用而已,还有许多其他系统中与网路有关的服务程序也是用 NETWORK SERVICE 这个身份在运作,例如:SQLEXPRESS 服务。
这也代表著就算 IIS 没有沦陷,只要有其他使用 NETWORK SERVICE 的网路服务沦陷的话,也会有可能连带影响 IIS 的运作。这样说你可能没感觉,我反过来说,如果 IIS 被植入木马程式,骇客可以大摇大摆的利用 NETWORK SERVICE 下载你的 SQLEXPRESS 资料库备份档、删除备份档、删除或下载你暂时卸离的资料库、甚至于偷天换日将另一组资料库上传上去,让你完全不知发生何事。
碍于时间与篇幅我没办法说太多,如果有机会我可以做很多现场的展示,包你大开眼界,资讯安全这档事真的是博大精深,不瞭解各种细节与原理的人永远是在雾裡看花。
有了「虚拟帐户」的概念,各种不同的网路服务不需要再共用同一组 NETWORK SERVICE 身份识别,甚至于同一个 IIS 下个别不同的应用程式集区也可以用完全区隔开来的「虚拟帐户」执行 Web 应用程式,除了工作处理程序 (Worker Process) (w3wp.exe) 执行的身份可以完全切开外,对于不同站台所操作的档案或目录也可以将 NTFS 权限的设定做有效区隔,让不同工作处理程序之间对系统或档案安全性的影响降至最低,非常的有意义!
首先,我们先来看看 IIS 7.5 内建的 DefaultAppPool 应用程式集区的 [进阶设定]