Усовершенствования IIS 7.0: безопасность

Microsoft TechDayshttp://www.techdays.ru

Усовершенствования IIS 7.0: безопасность

Александр ШаповалЭксперт по информационной инфраструктуре Microsoft


Содержание

Модульная архитектура IIS7Анонимный доступИзоляция приложенийФильтрация запросовURL-авторизацияДелегирование и удаленное администрирование


Фундамент безопасности

В IIS6 обнаружены 5 уязвимостей, все устранены

http://secunia.com/product/1438/?task=advisories

В Apache 2.0 обнаружены более 35 уязвимостей, 10% из них еще не исправлены*


* - по состоянию на август 2008






Новая модульная архитектура

IIS7 не устанавливается по умолчанию Только 10 модулей устанавливаются при развертывании роли Web Server Сокращается поверхность для потенциальных атак Снижаются требования к памяти Обеспечивается более гранулированный контроль


Application Development

.NET Extensibility

ISAPIFilter

ISAPIExtension

CGI

FastCGI

ServerSideIncludes

ASP

ASP.Net

.Net Extensibility

Компоненты IIS 7.0

Security

AnonymousAuthentication

BasicAuthentication

DigestAuthentication

WindowsAuthentication

UrlAuthorization

CertificateMappingADCertificateMappi

ngRequestFiltering

IPRestriction

Health and Diagnostics

HttpLogging

CustomLogging

RequestMonitor

HttpTracing

ODBCLogging

LoggingLibraries

PublishingFTPServer

FTP Management

WebDavModule

PerformanceStaticCompression

DynamicCompression

Management

Management Console

Management Scripting

Mgmt Service (WMSVC)

IIS6 Config (Metabase)

IIS6 WMI Provider

IIS6ScriptingIIS6 Management

Snap-in

Core HTTP Server ComponentsDirBrowsing

Process Model (Windows Process Activation Service) ProcessModel

Нет в Server Core

ASP.Net

.Net Environment Configuration API

Management Console

Management Scripting

Mgmt Service (WMSVC)


Контроль доступа

Ограничения по IP и доменным именам

Не устанавливается по умолчанию Фильтрация запросов (Request Filtering)

Устанавливается по умолчанию Аутентификация

По умолчанию доступна только анонимная аутентификация

Авторизация По умолчанию доступна только авторизация на основе разрешений NTFS


Анонимный доступ

Новая учетная запись IUSRВместо IUSR_<имя компьютера>

IUSR – встроенная учетная запись Нельзя использовать для входа в системуНе требует смены пароля Имеет одинаковый SID на всех серверах

Не требует переназначения разрешений

Новая встроенная группа IIS_IUSRSВместо IIS_WPGSID этой группы автоматически добавляется в маркер доступа каждого Worker Process


Изоляция приложений

Application Pool Identity По умолчанию Network Service Для анонимной аутентификации можно использовать учетную запись пула

Доступ к любым ресурсам в контексте записи пула приложения

Application Pool SIDДля каждого пула генерируется уникальный SID IIS APPPOOL\<имя пула>Это SID используется для изоляции

ресурсов приложения на основе NTFS-разрешений (настраивается вручную) конфигурационной информации из ApplicationHost.config (автоматически в %SystemDrive%\Inetpub\Temp\Apppools)


Анонимный доступ и изоляция приложений

Александр ШаповалMicrosoft

Демонстрация


Фильтрация запросов

Интегрирована в IIS7, базируется на URLScanЗадает ограничения на URL-запросы

Блокировать запросы, содержащие “string”Блокировать запросы длиннее “X”Блокировать запросы к определенному содержимому (“.config”, “/bin”)

Хранит настройки в секции system.webServer/security/requestFiltering на уровне сайта, приложения, URL Настраивается из командной строки

Графический интерфейс доступен в Administration Pack for IIS 7.0


Фильтрация запросов




URL-авторизация

Контроль доступа к сайтам, папкам, файлам без использования NTFS ACL Использует механизм, схожий с ASP.NET URL AuthorizationМогут применяться маркеры Windows и .NET-провайдеров Правила хранятся в файлах .config

Легко переносятся на другой сервер Не установлена по умолчанию


URL-авторизация




Удаленное администрирование

Реализуется службой Web Management Service (WMSvc)Использует HTTPS Только администратор может подключиться на уровне всего сервера

Доступны все настройки Не требуются явные разрешения

Не администраторы могут подключаться только на уровне сайта или приложения

Требуются явные разрешения


Делегирование

Обеспечивает требуемый уровень доступа владельцам сайтов и разработчикам Поддерживаются учетные записи Windows и IIS Manager Настройки, к которым нет доступа, не видныПриложения – самый низкий уровень настроек


Делегирование и удаленное администрирование




Рекомендации

Удалите все ненужные модули IISРассмотрите возможность использования Server CoreНастройте делегирование для более четкого контроля прав доступаИспользуйте возможности .NET для аутентификации и авторизации Выделяйте каждому приложению отдельный пул


Итоги

Надежный фундамент и расширенная защита веб-серверовСокращение поверхности для атак за счет модульной архитектуры Повышение уровня изоляции приложений, благодаря встроенным учетным записям и SIDНовые возможности удаленного администрирования и делегирования


Блог

http://blogs.technet.com/ashapo

http://blogs.technet.com/ashapo

Усовершенствования IIS 7.0: безопасность

Documents

Transcript of Усовершенствования IIS 7.0: безопасность