Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

IIS – лучшие практики для разрешений пула приложений

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Лучшие практики по настройке разрешений пула приложений в IIS
  4. 1. Принципы работы с ApplicationPoolIdentity
  5. 2. Установка NTFS-разрешений для забора
  6. 2.1 Перемещение каталога IIS
  7. 2.2 Удаление группы Users
  8. 2.3 Работа с системными папками
  9. 3. Вопрос об унаследованных разрешениях
  10. Почему на диске C: есть разрешения для группы Users?
  11. 4. Рекомендации по безопасности
  12. 5. Профессиональные ресурсы и ссылки
  13. Заключение

Вопрос или проблема

Мне нужно воссоздать веб-сервер IIS с нуля, и я хотел бы сделать это, следуя лучшим практикам безопасности.

Есть что-то, что я не понимаю относительно NTFS разрешений IIS.

Microsoft рекомендует использовать ApplicationPoolIdentity в качестве учетной записи для пулов приложений, потому что он изолирован и имеет минимальные привилегии, необходимые для работы веб-сайта.

Вот что я понял:

  • Пользователь IIS APPPOOL\MyAppPool по умолчанию включен в группы Authenticated Users и Users системы.
  • Рекомендуется переместить корневую директорию IIS на выделенный диск/раздел.
  • Рекомендуется удалить группу Users из корневой папки IIS, особенно если веб-сервер хостит несколько сайтов.
  • Также рекомендуется удалить группу Users из других потенциально “резервируемых” системных папок.

Так что я не понимаю, почему на чистой установке Windows одно из разрешений для C:\ – это Чтение и выполнение, назначенное группе Users (с наследованием для подпапок и файлов). Или даже лучше, почему IIS APPPOOL\MyAppPool рассматривается как часть группы Users?

Разве это не противоречит? Таким образом, IIS мог бы получить доступ к каждой вновь созданной папке пользователем, поскольку они наследуют настройки разрешений по умолчанию.

Может кто-то предоставить больше информации?

Кроме того, это хорошие рекомендации? https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/iis-best-practices/ba-p/1241577

Заранее спасибо

Ответ или решение

Лучшие практики по настройке разрешений пула приложений в IIS

При создании веб-сервера на базе IIS с соблюдением лучших практик безопасности, правильная настройка разрешений для пулов приложений является критически важной. Рассмотрим ключевые аспекты, касающиеся разрешений NTFS и управления доступом, которые помогут вам обеспечить безопасность вашего веб-сервера.

1. Принципы работы с ApplicationPoolIdentity

Использование ApplicationPoolIdentity является лучшим выбором для управления идентификацией ваших приложений. Это изолированный учетный объект, которому необходимы минимальные привилегии для выполнения веб-приложений. По умолчанию учетная запись пула приложений имеет вид IIS APPPOOL\MyAppPool. Эта учетная запись по умолчанию входит в группы Authenticated Users и Users, что позволяет ей получать некоторые права на доступ к системным ресурсам.

2. Установка NTFS-разрешений для забора

2.1 Перемещение каталога IIS

Рекомендуется перенести корневой каталог IIS на отдельный диск или раздел. Это поможет не только в управлении ресурсами, но и обеспечит лучшее разграничение прав доступа.

2.2 Удаление группы Users

Если вы планируете размещать несколько сайтов на одном сервере, крайне важно удалить группу Users из корневого каталога IIS. Это поможет предотвратить доступ к вашим приложениям со стороны неподобающих учетных записей:

  • Правило: Сократите доступ до минимума, который необходим для выполнения приложений.

2.3 Работа с системными папками

То же самое касается других системных папок: стоит удалить группу Users, чтобы минимизировать риск несанкционированного доступа.

3. Вопрос об унаследованных разрешениях

Почему на диске C: есть разрешения для группы Users?

Да, по умолчанию система Windows предоставляет группе Users права на чтение и выполнение. Это сделано для обеспечения общего доступа к системным ресурсам для стандартных пользователей. Однако, это не противоречит идее безопасности, а скорее реализует политику минимально необходимого доступа.

Важный момент: Проверяйте настройки разрешений для каждого нового каталога. Поскольку IIS APPPOOL\MyAppPool является частью группы Users, он по умолчанию наследует разрешения от родительских папок. Это действительно создает риск, если папки пользователей не защищены должным образом.

4. Рекомендации по безопасности

  • Регулярное аудирование: Проверьте разрешения на своих папках и каталогах. Используйте возможности встроенных инструментов аудита в Windows.
  • Создание отдельных пользователей: Если ваше приложение требует более высокой степени контроля, рассмотрите возможность создания специализированной учетной записи для пула приложений, а не использования ApplicationPoolIdentity.
  • Изолирование приложений: Если вы работаете с несколькими приложениями, обновляйте разрешения для каждого пула приложений, чтобы они имели доступ только к тем ресурсам, которые нужны.

5. Профессиональные ресурсы и ссылки

Вы упомянули статью на TechCommunity Microsoft. Это действительно полезный ресурс, который предоставляет полезные рекомендации по безопасности и настройке IIS.

Заключение

Следование этим лучшим практикам упростит процесс управления доступом и значительно повысит безопасность вашего сервера. Однако ключевым моментом при высокой безопасности является тщательное понимание и настройка разрешений NTFS, чтобы свести к минимуму риски несанкционированного доступа.

Если у вас есть дополнительные вопросы или требуется помощь в настройке вашего веб-сервера IIS, не стесняйтесь обращаться за поддержкой.

iis network-share ntfs permissions windows
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности