從 Windows 7 與 Windows Server 2008 R2 開始,新增了兩種特殊的帳戶類型,分別是「受管理的服務帳戶(Managed service accounts)」與「虛擬帳戶(virtual accounts)」,可有效隔離各種網路服務以提升安全性,我今天會集中在講解 IIS 7.5 與虛擬帳戶之間的實際運用與范例。
要學會設定 IIS 一定要熟悉應用程式集區(Application Pool)與身份識別(Identity)的關系,我們都知道 IIS6 與 IIS7 預設的應用程式集區身份識別都是 NETWORK SERVICE 這個系統帳戶,不過 NETWORK SERVICE 這個帳戶可不是只有 IIS 在用而已,還有許多其他系統中與網路有關的服務程序也是用 NETWORK SERVICE 這個身份在運作,例如:SQLEXPRESS 服務。
這也代表著就算 IIS 沒有淪陷,只要有其他使用 NETWORK SERVICE 的網路服務淪陷的話,也會有可能連帶影響 IIS 的運作。這樣說你可能沒感覺,我反過來說,如果 IIS 被植入木馬程式,駭客可以大搖大擺的利用 NETWORK SERVICE 下載你的 SQLEXPRESS 資料庫備份檔、刪除備份檔、刪除或下載你暫時卸離的資料庫、甚至于偷天換日將另一組資料庫上傳上去,讓你完全不知發生何事。
礙于時間與篇幅我沒辦法說太多,如果有機會我可以做很多現場的展示,包你大開眼界,資訊安全這檔事真的是博大精深,不瞭解各種細節與原理的人永遠是在霧裡看花。
有了「虛擬帳戶」的概念,各種不同的網路服務不需要再共用同一組 NETWORK SERVICE 身份識別,甚至于同一個 IIS 下個別不同的應用程式集區也可以用完全區隔開來的「虛擬帳戶」執行 Web 應用程式,除了工作處理程序 (Worker Process) (w3wp.exe) 執行的身份可以完全切開外,對于不同站臺所操作的檔案或目錄也可以將 NTFS 權限的設定做有效區隔,讓不同工作處理程序之間對系統或檔案安全性的影響降至最低,非常的有意義!
首先,我們先來看看 IIS 7.5 內建的 DefaultAppPool 應用程式集區的 [進階設定]
在這裡你會看到 IIS 7.5 這次才新增的 ApplicationPoolIdentity 內建帳戶,而這就是為 IIS 7.5 特別訂製的「虛擬帳戶」。
當我們的 ASP.NET 程式需要上傳或寫入檔案到 Web Server 時,就必須要設定目錄的 NTFS 權限讓工作處理程序能夠寫入檔案,在以往我們要設定的是 NETWORK SERVICE 帳戶,但現在要輸入的卻是一組特殊的「虛擬帳戶」,我們在檔案總管設定權限時「虛擬帳戶」是無法被選取的,只能手動輸入這組特殊的帳戶名稱,IIS 應用程式集區的虛擬帳戶名稱表示方式為:【IIS AppPool/應用程式集區名稱】,例如內建的應用程式名稱就稱為: 【IIS AppPool/DefaultAppPool】,如果你新增了一個應用程式集區名為 MyAppPool 的話,虛擬帳戶的表示法就是:【IIS AppPool/MyAppPool】。
如下圖示,在設定 NTFS 權限選取使用者時需先手動輸入虛擬帳戶帳號
當按下 [檢查名稱] 或 [Check Names] 時,名稱若出現「底線」就代表該「虛擬帳戶」是有效的:
最后,我們看一下 [工作管理員] 中呈現的工作處理程序 (w3wp.exe) 的執行身份也是虛擬帳戶DefaultAppPool 這個身份。
我覺得虛擬帳戶這個概念實在是太棒了,以后在設定多個站臺時也不需要新增一堆無意義的系統帳戶或人工管理這堆系統帳戶的密碼與到期日,對于系統的可管理性也增強了,當你不需要虛擬帳戶時,也可以選擇原本的 NetworkService 或自行指定帳戶執行。
---
虛擬帳戶雖然在 Windows 7 與 Windows Server 2008 R2 才出現,但 Windows Server 2008 在更新到 Service Pack 2 (SP2) 之后也會支援虛擬帳戶的設定,只是經我實測后發現 Windows Server 2008 SP2 雖然有支援虛擬帳戶,在 IIS 7 的應用程式集區 [進階設定] 視窗中也會看到 ApplicationPoolIdentity 的選項,但在檔案總管中設定 NTFS 權限時卻無法透過 [檢查名稱] 或 [Check Names] 按鈕進行名稱檢查,因此你將無法透過 GUI 介面設定授權給虛擬帳戶,只能透過 icacls 工具設定檔案或目錄權限,使用范例如下:
?設定 UploadFiles 目錄授予 IIS AppPool/DefaultAppPool 虛擬帳戶擁有完全控制(Full)權限
icacls C:/Inetpub/wwwroot/UploadFiles /grant "IIS AppPool/DefaultAppPool":F
