從 Windows 7 與 Windows Server 2008 R2 開始,新增了兩種特殊的帳戶類型��,分別是「受管理的服務帳戶(Managed service accounts)」與「虛擬帳戶(virtual accounts)」�����,可有效隔離各種網路服務以提升安全性��,我今天會集中在講解 IIS 7.5 與虛擬帳戶之間的實際運用與范例���。
要學會設定 IIS 一定要熟悉應用程式集區(Application Pool)與身份識別(Identity)的關系���,我們都知道 IIS6 與 IIS7 預設的應用程式集區身份識別都是 NETWORK SERVICE 這個系統帳戶,不過 NETWORK SERVICE 這個帳戶可不是只有 IIS 在用而已�,還有許多其他系統中與網路有關的服務程序也是用 NETWORK SERVICE 這個身份在運作,例如:SQLEXPRESS 服務���。
這也代表著就算 IIS 沒有淪陷�����,只要有其他使用 NETWORK SERVICE 的網路服務淪陷的話�,也會有可能連帶影響 IIS 的運作。這樣說你可能沒感覺�����,我反過來說����,如果 IIS 被植入木馬程式,駭客可以大搖大擺的利用 NETWORK SERVICE 下載你的 SQLEXPRESS 資料庫備份檔��、刪除備份檔�����、刪除或下載你暫時卸離的資料庫���、甚至于偷天換日將另一組資料庫上傳上去��,讓你完全不知發生何事��。
礙于時間與篇幅我沒辦法說太多�����,如果有機會我可以做很多現場的展示����,包你大開眼界����,資訊安全這檔事真的是博大精深,不瞭解各種細節與原理的人永遠是在霧裡看花���。
有了「虛擬帳戶」的概念���,各種不同的網路服務不需要再共用同一組 NETWORK SERVICE 身份識別,甚至于同一個 IIS 下個別不同的應用程式集區也可以用完全區隔開來的「虛擬帳戶」執行 Web 應用程式�����,除了工作處理程序 (Worker Process) (w3wp.exe) 執行的身份可以完全切開外�,對于不同站臺所操作的檔案或目錄也可以將 NTFS 權限的設定做有效區隔,讓不同工作處理程序之間對系統或檔案安全性的影響降至最低�,非常的有意義����!
首先���,我們先來看看 IIS 7.5 內建的 DefaultAppPool 應用程式集區的 [進階設定]
在這裡你會看到 IIS 7.5 這次才新增的 ApplicationPoolIdentity 內建帳戶�����,而這就是為 IIS 7.5 特別訂製的「虛擬帳戶」��。
