slide1
Download
Skip this Video
Download Presentation
Усовершенствования IIS 7.0: безопасность

Loading in 2 Seconds...

play fullscreen
1 / 21

Усовершенствования IIS 7.0: безопасность - PowerPoint PPT Presentation


  • 189 Views
  • Uploaded on

Усовершенствования IIS 7.0: безопасность. Александр Шаповал Эксперт по информационной инфраструктуре Microsoft. Содержание. Модульная архитектура IIS7 Анонимный доступ Изоляция приложений Фильтрация запросов URL -авторизация Делегирование и удаленное администрирование.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Усовершенствования IIS 7.0: безопасность ' - tanek-vega


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
iis 7 0

Усовершенствования IIS 7.0: безопасность

Александр Шаповал

Эксперт по информационной инфраструктуре

Microsoft

slide3
Содержание
  • Модульная архитектура IIS7
  • Анонимный доступ
  • Изоляция приложений
  • Фильтрация запросов
  • URL-авторизация
  • Делегирование и удаленное администрирование
slide4
Фундамент безопасности
  • В IIS6 обнаружены 5 уязвимостей, все устранены
    • http://secunia.com/product/1438/?task=advisories
  • В Apache 2.0 обнаруженыболее 35 уязвимостей, 10% из них еще не исправлены*
    • http://secunia.com/product/73/?task=advisories

* - по состоянию на август 2008

slide5
Новая модульная архитектура
  • IIS7 не устанавливается по умолчанию
  • Только 10 модулей устанавливаются при развертывании роли Web Server
  • Сокращается поверхность для потенциальных атак
  • Снижаются требования к памяти
  • Обеспечивается более гранулированный контроль
iis 7 01
Компоненты IIS 7.0
  • .Net Environment
  • Configuration API

Нет в Server Core

  • .Net Extensibility
  • ASP.Net
  • Management Console
  • Management Scripting
  • Mgmt Service (WMSVC)
slide7
Контроль доступа
  • Ограничения по IP и доменным именам
    • Не устанавливается по умолчанию
  • Фильтрация запросов (Request Filtering)
    • Устанавливается по умолчанию
  • Аутентификация
    • По умолчанию доступна только анонимная аутентификация
  • Авторизация
    • По умолчанию доступна только авторизация на основе разрешений NTFS
slide8
Анонимный доступ
  • Новая учетная запись IUSR
    • Вместо IUSR_<имя компьютера>
  • IUSR – встроенная учетная запись
    • Нельзя использовать для входа в систему
    • Не требует смены пароля
    • Имеет одинаковый SID на всех серверах
      • Не требует переназначения разрешений
  • Новая встроенная группа IIS_IUSRS
    • Вместо IIS_WPG
    • SID этой группы автоматически добавляется в маркер доступа каждого Worker Process
slide9
Изоляция приложений
  • Application Pool Identity
    • По умолчанию Network Service
    • Для анонимной аутентификации можно использовать учетную запись пула
      • Доступ к любым ресурсам в контексте записи пула приложения
  • Application Pool SID
    • Для каждого пула генерируется уникальный SID IIS APPPOOL\<имя пула>
    • Это SID используется для изоляции
      • ресурсов приложения на основе NTFS-разрешений (настраивается вручную)
      • конфигурационной информации из ApplicationHost.config (автоматически в %SystemDrive%\Inetpub\Temp\Apppools)
slide10

Анонимный доступ и изоляция приложений

Демонстрация

Александр Шаповал

Microsoft

slide11
Фильтрация запросов
  • Интегрирована в IIS7, базируется на URLScan
  • Задает ограничения на URL-запросы
    • Блокировать запросы, содержащие “string”
    • Блокировать запросы длиннее “X”
    • Блокировать запросы к определенному содержимому (“.config”, “/bin”)
  • Хранит настройки в секции system.webServer/security/requestFilteringна уровне сайта, приложения, URL
  • Настраивается из командной строки
    • Графический интерфейс доступен в Administration Pack for IIS 7.0
slide12

Фильтрация запросов

Демонстрация

Александр Шаповал

Microsoft

slide13
URL-авторизация
  • Контроль доступа к сайтам, папкам, файлам без использования NTFS ACL
  • Использует механизм, схожий с ASP.NET URL Authorization
  • Могут применяться маркеры Windows и .NET-провайдеров
  • Правила хранятся в файлах .config
    • Легко переносятся на другой сервер
  • Не установлена по умолчанию
slide14

URL-авторизация

Демонстрация

Александр Шаповал

Microsoft

slide15
Удаленное администрирование
  • Реализуется службой Web Management Service (WMSvc)
  • Использует HTTPS
  • Только администратор может подключиться на уровне всего сервера
    • Доступны все настройки
    • Не требуются явные разрешения
  • Не администраторы могут подключаться только на уровне сайта или приложения
    • Требуются явные разрешения
slide16
Делегирование
  • Обеспечивает требуемый уровень доступа владельцам сайтов и разработчикам
  • Поддерживаются учетные записи Windows и IIS Manager
  • Настройки, к которым нет доступа, не видны
  • Приложения – самый низкий уровень настроек
slide17

Делегирование и удаленное администрирование

Демонстрация

Александр Шаповал

Microsoft

slide18
Рекомендации
  • Удалите все ненужные модули IIS
  • Рассмотрите возможность использования Server Core
  • Настройте делегирование для более четкого контроля прав доступа
  • Используйте возможности .NET для аутентификации и авторизации
  • Выделяйте каждому приложению отдельный пул
slide19
Итоги
  • Надежный фундамент и расширенная защита веб-серверов
  • Сокращение поверхности для атак за счет модульной архитектуры
  • Повышение уровня изоляции приложений, благодаря встроенным учетным записям и SID
  • Новые возможности удаленного администрирования и делегирования
slide20
Блог
  • http://blogs.technet.com/ashapo
ad