Iis 7 0
This presentation is the property of its rightful owner.
Sponsored Links
1 / 21

Усовершенствования IIS 7.0: безопасность PowerPoint PPT Presentation


  • 111 Views
  • Uploaded on
  • Presentation posted in: General

Усовершенствования IIS 7.0: безопасность. Александр Шаповал Эксперт по информационной инфраструктуре Microsoft. Содержание. Модульная архитектура IIS7 Анонимный доступ Изоляция приложений Фильтрация запросов URL -авторизация Делегирование и удаленное администрирование.

Download Presentation

Усовершенствования IIS 7.0: безопасность

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Iis 7 0

Усовершенствования IIS 7.0: безопасность

Александр Шаповал

Эксперт по информационной инфраструктуре

Microsoft


Iis 7 0

Содержание

  • Модульная архитектура IIS7

  • Анонимный доступ

  • Изоляция приложений

  • Фильтрация запросов

  • URL-авторизация

  • Делегирование и удаленное администрирование


Iis 7 0

Фундамент безопасности

  • В IIS6 обнаружены 5 уязвимостей, все устранены

    • http://secunia.com/product/1438/?task=advisories

  • В Apache 2.0 обнаруженыболее 35 уязвимостей, 10% из них еще не исправлены*

    • http://secunia.com/product/73/?task=advisories

* - по состоянию на август 2008


Iis 7 0

Новая модульная архитектура

  • IIS7 не устанавливается по умолчанию

  • Только 10 модулей устанавливаются при развертывании роли Web Server

  • Сокращается поверхность для потенциальных атак

  • Снижаются требования к памяти

  • Обеспечивается более гранулированный контроль


Iis 7 01

Компоненты IIS 7.0

  • .Net Environment

  • Configuration API

Нет в Server Core

  • .Net Extensibility

  • ASP.Net

  • Management Console

  • Management Scripting

  • Mgmt Service (WMSVC)


Iis 7 0

Контроль доступа

  • Ограничения по IP и доменным именам

    • Не устанавливается по умолчанию

  • Фильтрация запросов (Request Filtering)

    • Устанавливается по умолчанию

  • Аутентификация

    • По умолчанию доступна только анонимная аутентификация

  • Авторизация

    • По умолчанию доступна только авторизация на основе разрешений NTFS


Iis 7 0

Анонимный доступ

  • Новая учетная запись IUSR

    • Вместо IUSR_<имя компьютера>

  • IUSR – встроенная учетная запись

    • Нельзя использовать для входа в систему

    • Не требует смены пароля

    • Имеет одинаковый SID на всех серверах

      • Не требует переназначения разрешений

  • Новая встроенная группа IIS_IUSRS

    • Вместо IIS_WPG

    • SID этой группы автоматически добавляется в маркер доступа каждого Worker Process


Iis 7 0

Изоляция приложений

  • Application Pool Identity

    • По умолчанию Network Service

    • Для анонимной аутентификации можно использовать учетную запись пула

      • Доступ к любым ресурсам в контексте записи пула приложения

  • Application Pool SID

    • Для каждого пула генерируется уникальный SID IIS APPPOOL\<имя пула>

    • Это SID используется для изоляции

      • ресурсов приложения на основе NTFS-разрешений (настраивается вручную)

      • конфигурационной информации из ApplicationHost.config (автоматически в %SystemDrive%\Inetpub\Temp\Apppools)


Iis 7 0

Анонимный доступ и изоляция приложений

Демонстрация

Александр Шаповал

Microsoft


Iis 7 0

Фильтрация запросов

  • Интегрирована в IIS7, базируется на URLScan

  • Задает ограничения на URL-запросы

    • Блокировать запросы, содержащие “string”

    • Блокировать запросы длиннее “X”

    • Блокировать запросы к определенному содержимому (“.config”, “/bin”)

  • Хранит настройки в секции system.webServer/security/requestFilteringна уровне сайта, приложения, URL

  • Настраивается из командной строки

    • Графический интерфейс доступен в Administration Pack for IIS 7.0


Iis 7 0

Фильтрация запросов

Демонстрация

Александр Шаповал

Microsoft


Iis 7 0

URL-авторизация

  • Контроль доступа к сайтам, папкам, файлам без использования NTFS ACL

  • Использует механизм, схожий с ASP.NET URL Authorization

  • Могут применяться маркеры Windows и .NET-провайдеров

  • Правила хранятся в файлах .config

    • Легко переносятся на другой сервер

  • Не установлена по умолчанию


Iis 7 0

URL-авторизация

Демонстрация

Александр Шаповал

Microsoft


Iis 7 0

Удаленное администрирование

  • Реализуется службой Web Management Service (WMSvc)

  • Использует HTTPS

  • Только администратор может подключиться на уровне всего сервера

    • Доступны все настройки

    • Не требуются явные разрешения

  • Не администраторы могут подключаться только на уровне сайта или приложения

    • Требуются явные разрешения


Iis 7 0

Делегирование

  • Обеспечивает требуемый уровень доступа владельцам сайтов и разработчикам

  • Поддерживаются учетные записи Windows и IIS Manager

  • Настройки, к которым нет доступа, не видны

  • Приложения – самый низкий уровень настроек


Iis 7 0

Делегирование и удаленное администрирование

Демонстрация

Александр Шаповал

Microsoft


Iis 7 0

Рекомендации

  • Удалите все ненужные модули IIS

  • Рассмотрите возможность использования Server Core

  • Настройте делегирование для более четкого контроля прав доступа

  • Используйте возможности .NET для аутентификации и авторизации

  • Выделяйте каждому приложению отдельный пул


Iis 7 0

Итоги

  • Надежный фундамент и расширенная защита веб-серверов

  • Сокращение поверхности для атак за счет модульной архитектуры

  • Повышение уровня изоляции приложений, благодаря встроенным учетным записям и SID

  • Новые возможности удаленного администрирования и делегирования


Iis 7 0

Блог

  • http://blogs.technet.com/ashapo


  • Login