1 / 21

Усовершенствования IIS 7.0: безопасность

Усовершенствования IIS 7.0: безопасность. Александр Шаповал Эксперт по информационной инфраструктуре Microsoft. Содержание. Модульная архитектура IIS7 Анонимный доступ Изоляция приложений Фильтрация запросов URL -авторизация Делегирование и удаленное администрирование.

tanek-vega
Download Presentation

Усовершенствования IIS 7.0: безопасность

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Усовершенствования IIS 7.0: безопасность Александр Шаповал Эксперт по информационной инфраструктуре Microsoft

  2. Содержание • Модульная архитектура IIS7 • Анонимный доступ • Изоляция приложений • Фильтрация запросов • URL-авторизация • Делегирование и удаленное администрирование

  3. Фундамент безопасности • В IIS6 обнаружены 5 уязвимостей, все устранены • http://secunia.com/product/1438/?task=advisories • В Apache 2.0 обнаруженыболее 35 уязвимостей, 10% из них еще не исправлены* • http://secunia.com/product/73/?task=advisories * - по состоянию на август 2008

  4. Новая модульная архитектура • IIS7 не устанавливается по умолчанию • Только 10 модулей устанавливаются при развертывании роли Web Server • Сокращается поверхность для потенциальных атак • Снижаются требования к памяти • Обеспечивается более гранулированный контроль

  5. Компоненты IIS 7.0 • .Net Environment • Configuration API Нет в Server Core • .Net Extensibility • ASP.Net • Management Console • Management Scripting • Mgmt Service (WMSVC)

  6. Контроль доступа • Ограничения по IP и доменным именам • Не устанавливается по умолчанию • Фильтрация запросов (Request Filtering) • Устанавливается по умолчанию • Аутентификация • По умолчанию доступна только анонимная аутентификация • Авторизация • По умолчанию доступна только авторизация на основе разрешений NTFS

  7. Анонимный доступ • Новая учетная запись IUSR • Вместо IUSR_<имя компьютера> • IUSR – встроенная учетная запись • Нельзя использовать для входа в систему • Не требует смены пароля • Имеет одинаковый SID на всех серверах • Не требует переназначения разрешений • Новая встроенная группа IIS_IUSRS • Вместо IIS_WPG • SID этой группы автоматически добавляется в маркер доступа каждого Worker Process

  8. Изоляция приложений • Application Pool Identity • По умолчанию Network Service • Для анонимной аутентификации можно использовать учетную запись пула • Доступ к любым ресурсам в контексте записи пула приложения • Application Pool SID • Для каждого пула генерируется уникальный SID IIS APPPOOL\<имя пула> • Это SID используется для изоляции • ресурсов приложения на основе NTFS-разрешений (настраивается вручную) • конфигурационной информации из ApplicationHost.config (автоматически в %SystemDrive%\Inetpub\Temp\Apppools)

  9. Анонимный доступ и изоляция приложений Демонстрация Александр Шаповал Microsoft

  10. Фильтрация запросов • Интегрирована в IIS7, базируется на URLScan • Задает ограничения на URL-запросы • Блокировать запросы, содержащие “string” • Блокировать запросы длиннее “X” • Блокировать запросы к определенному содержимому (“.config”, “/bin”) • Хранит настройки в секции system.webServer/security/requestFilteringна уровне сайта, приложения, URL • Настраивается из командной строки • Графический интерфейс доступен в Administration Pack for IIS 7.0

  11. Фильтрация запросов Демонстрация Александр Шаповал Microsoft

  12. URL-авторизация • Контроль доступа к сайтам, папкам, файлам без использования NTFS ACL • Использует механизм, схожий с ASP.NET URL Authorization • Могут применяться маркеры Windows и .NET-провайдеров • Правила хранятся в файлах .config • Легко переносятся на другой сервер • Не установлена по умолчанию

  13. URL-авторизация Демонстрация Александр Шаповал Microsoft

  14. Удаленное администрирование • Реализуется службой Web Management Service (WMSvc) • Использует HTTPS • Только администратор может подключиться на уровне всего сервера • Доступны все настройки • Не требуются явные разрешения • Не администраторы могут подключаться только на уровне сайта или приложения • Требуются явные разрешения

  15. Делегирование • Обеспечивает требуемый уровень доступа владельцам сайтов и разработчикам • Поддерживаются учетные записи Windows и IIS Manager • Настройки, к которым нет доступа, не видны • Приложения – самый низкий уровень настроек

  16. Делегирование и удаленное администрирование Демонстрация Александр Шаповал Microsoft

  17. Рекомендации • Удалите все ненужные модули IIS • Рассмотрите возможность использования Server Core • Настройте делегирование для более четкого контроля прав доступа • Используйте возможности .NET для аутентификации и авторизации • Выделяйте каждому приложению отдельный пул

  18. Итоги • Надежный фундамент и расширенная защита веб-серверов • Сокращение поверхности для атак за счет модульной архитектуры • Повышение уровня изоляции приложений, благодаря встроенным учетным записям и SID • Новые возможности удаленного администрирования и делегирования

  19. Блог • http://blogs.technet.com/ashapo

More Related