Назвіть рахунки IUSR та IWAM в IIS?

23

Я шукаю гарне пояснення облікових записів IUSR та IWAM, використовуваних IIS, щоб допомогти мені краще налаштувати наше середовище хостингу:

  • Чому вони там?
  • Яка різниця між ними?
  • Чи імена означають щось значиме?
  • Чи варто змінити найкращу практику?
  • IIS також дає мені можливості запускати пули програм у вигляді мережевої служби, локальної служби або локальної системи. Чи я повинен?
  • Мій веб-сервер є частиною домену, як це змінюється?

Здається, звичайно створювати власні версії цих облікових записів під час розгортання декількох сайтів на сервері, що викликає додаткові питання:

  • Коли я можу створити власні акаунти IUSR та IWAM?
  • Як мені створити ці додаткові облікові записи, щоб вони мали правильні дозволи?

Я використовую як IIS 6, так і IIS 7 з переважно конфігураціями за замовчуванням.

windows  security  iis 
Загальна помилка
джерело

Відповіді:

33

IUSR та IWAM датуються дуже ранніми днями IIS, коли ви встановлювали його окремо (не як компонент ОС). За замовчуванням, якщо веб-сайт дозволяє анонімну автентифікацію, обліковий запис IUSR використовується стосовно дозволів на ОС. Це можна змінити за замовчуванням. Існують деякі рекомендації щодо безпеки принаймні перейменувати обліковий запис, тому це не "відомий" обліковий запис, так само, як є рекомендація щодо перейменування облікового запису адміністратора на сервері. Ви можете дізнатися більше про IUSR та аутентифікацію на MSDN .

IWAM був розроблений для будь-яких програм, що не входять у процес, і використовується лише в IIS 6.0, коли ви перебуваєте в режимі ізоляції IIS 5.0. Ви зазвичай бачили це з об'єктами COM / DCOM.

Що стосується ідентифікацій пулу додатків, типовим є запуск мережевої служби. Ви не повинні працювати як локальна система, оскільки цей обліковий запис має права, більші за права адміністратора. Таким чином, це в основному залишає вас мережевим сервісом, локальним сервісом або локальним обліковим записом / доменом, крім цих двох.

Що робити, це залежить. Однією з переваг залишити його як мережевий сервіс - це обмежений обліковий запис привілеїв на сервері. Однак, коли він отримує доступ до ресурсів через мережу, він відображається як Domain \ ComputerName $, тобто ви можете призначити дозволи, які дозволяють обліковому запису Network Service отримувати доступ до таких ресурсів, як SQL Server, що працює в іншому полі. Крім того, оскільки він відображається як обліковий запис комп’ютера, Якщо ви ввімкнули автентифікацію Kerberos, SPN вже існує, якщо ви отримуєте доступ до веб-сайту за іменем сервера.

Випадок, коли ви бажаєте змінити пул додатків до певного облікового запису домену Windows, якщо ви хочете, щоб певний обліковий запис здійснював доступ до мережевих ресурсів, наприклад, обліковий запис служби, що здійснює доступ до SQL Server для веб-програми. В рамках ASP.NET є й інші варіанти зробити це без зміни ідентичності пулу додатків, тому це більше не є строго необхідним. Ще одна причина, по якій ви хочете скористатися обліковим записом користувача домену - це те, що ви робили автентифікацію Kerberos і у вас було кілька веб-серверів, які обслуговували веб-додаток. Хороший приклад - якщо у вас було два або більше веб-серверів, які обслуговували служби звітування SQL Server. Передній кінець, ймовірно, має загальну URL-адресу, наприклад, report.mydomain.com або report.mydomain.com. У цьому випадку SPN можна застосувати лише до одного облікового запису в межах AD. Якщо у вас є пули додатків, які працюють під мережевою службою на кожному сервері, це не працюватиме, оскільки, коли вони залишають сервери, вони відображаються як Домен \ ComputerName $, тобто у вас буде стільки облікових записів, скільки у вас були сервери, що обслуговували додаток Рішення полягає в тому, щоб створити обліковий запис домену, встановити ідентифікацію пулу додатків на всіх серверах на один і той же обліковий запис користувача домену та створити одну SPN, тим самим дозволяючи автентифікацію Kerberos. У випадку такого додатка, як SSRS, де ви можете передати облікові дані користувачів на сервер бази даних, тоді автентифікація Kerberos є обов'язковою, оскільки тоді вам доведеться налаштувати делегування Kerberos. буду мати стільки облікових записів, скільки у вас були сервери, які обслуговували додаток. Рішення полягає в тому, щоб створити обліковий запис домену, встановити ідентифікацію пулу додатків на всіх серверах на один і той же обліковий запис користувача домену та створити одну SPN, тим самим дозволяючи автентифікацію Kerberos. У випадку такого додатка, як SSRS, де ви можете передати облікові дані користувачів на сервер бази даних, тоді автентифікація Kerberos є обов'язковою, оскільки тоді вам доведеться налаштувати делегування Kerberos. буду мати стільки облікових записів, скільки у вас були сервери, які обслуговували додаток. Рішення полягає в тому, щоб створити обліковий запис домену, встановити ідентифікацію пулу додатків на всіх серверах на один і той же обліковий запис користувача домену та створити одну SPN, тим самим дозволяючи автентифікацію Kerberos. У випадку такого додатка, як SSRS, де ви можете передати облікові дані користувачів на сервер бази даних, тоді автентифікація Kerberos є обов'язковою, оскільки тоді вам доведеться налаштувати делегування Kerberos.

Я знаю, що багато чого потрібно взяти, але коротка відповідь, крім локальної системи, залежить.

К. Брайан Келлі
джерело
Варто зазначити, що рекомендації щодо перейменування цих облікових записів не надходять від Microsoft. Системні акаунти мають статичні та добре задокументовані SID та їх легко зламати незалежно від відображуваної назви.
Томас
9

IUSR = Користувач Інтернету, тобто будь-який анонімний, неаутентифікований відвідувач вашого веб-сайту (тобто майже всі)

IWAM = Менеджер веб-додатків Інтернету, тобто всі ваші програми ASP і .NET працюватимуть під цим обліковим записом

Взагалі, IUSR та IWAM повинні ТІЛЬКИ мати доступ до саме того, що їм потрібно. Їм ніколи не можна отримувати доступ до чогось іншого, у випадку, якщо ці акаунти стають порушеними, тоді вони не можуть отримати доступ до нічого критичного.

Ось про все, що я можу допомогти у вирішенні вашого списку питань, інші, хто має більше досвіду в адміністрації IIS, можуть допомогти вам далі!

Марк Хендерсон
джерело
7

Я завжди вдаюся до цього посібника -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

На iis.net ви можете багато чого знайти

Простіше кажучи - IUSR просто вийшов із скриньки гостьових облікових записів, які мають дозволи на c: \ inetpub \ wwwroot за замовчуванням.

Вільям Гілсум
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.