Вопрос: Каковы учетные записи IUSR и IWAM в IIS?


Я ищу хорошее объяснение учетных записей IUSR и IWAM, используемых IIS, чтобы помочь мне лучше настроить нашу среду хостинга:

  • Почему они там?
  • В чем разница между ними?
  • Знают ли имена что-то значимое?
  • Есть ли какие-либо передовые практики, которые я должен сделать?
  • IIS также дает мне возможность запускать пулы приложений как Network Service, Local Service или Local System. Нужно ли мне?
  • Мой веб-сервер является частью домена, как это меняет ситуацию?

Похоже, что вы создаете свои собственные версии этих учетных записей при развертывании нескольких сайтов на сервере, что вызывает дополнительные вопросы:

  • Когда я могу создать собственные учетные записи IUSR и IWAM?
  • Как мне создать эти дополнительные учетные записи, чтобы у них были правильные разрешения?

Я использую как IIS 6, так и IIS 7 с основными конфигурациями по умолчанию.


19
2017-08-05 01:48


Источник




Ответы:


IUSR и IWAM относятся к самым ранним дням IIS, когда вы устанавливали его отдельно (не как компонент ОС). По умолчанию, если веб-сайт разрешает анонимную аутентификацию, учетная запись IUSR используется в отношении разрешений на ОС. Это можно изменить по умолчанию. Некоторые рекомендации по безопасности, по крайней мере, переименовывают учетную запись, поэтому она не является «известной» учетной записью, так же как и рекомендация переименовать учетную запись администратора на сервере. Вы можете узнать больше о IUSR и аутентификация в MSDN,

IWAM был разработан для любых внепроцессных приложений и используется только в IIS 6.0, когда вы находитесь в режиме изоляции IIS 5.0. Обычно вы видели его с объектами COM / DCOM.

Что касается идентификаторов пула приложений, то по умолчанию используется как сетевая служба. Вы не должны запускаться как локальная система, потому что у этой учетной записи есть права, превышающие права администратора. Таким образом, это в основном оставляет вас к службе сети, локальной службе или локальной / доменной учетной записи, отличной от этих двух.

Что касается того, что делать, это зависит. Одно из преимуществ оставить его в качестве Сетевой службы - это ограниченная учетная запись пользователя на сервере. Однако, когда он обращается к ресурсам по сети, он отображается как Domain \ ComputerName $, что означает, что вы можете назначать разрешения, позволяющие учетной записи сетевой службы получать доступ к таким ресурсам, как SQL Server, работающим в другом блоке. Кроме того, поскольку он отображается как учетная запись компьютера, если вы включите аутентификацию Kerberos, SPN уже существует, если вы получаете доступ к веб-сайту по имени сервера.

Случай, когда вы решили изменить пул приложений на конкретную учетную запись домена Windows, если хотите, чтобы конкретная учетная запись получала доступ к сетевым ресурсам, таким как учетная запись службы, доступ к SQL Server для веб-приложения. В ASP.NET существуют другие варианты для этого, не изменяя идентификатор пула приложений, так что это не является абсолютно необходимым. Еще одна причина, по которой вы бы хотели использовать учетную запись пользователя домена, - это проверка подлинности Kerberos, и у вас было несколько веб-серверов, обслуживающих веб-приложение. Хорошим примером является наличие двух или более веб-серверов, обслуживающих службы отчетов SQL Server. Передняя часть, вероятно, будет иметь общий URL-адрес, такой как reports.mydomain.com или report.mydomain.com. В этом случае SPN может применяться только к одной учетной записи в AD. Если у вас есть пулы приложений, запущенные в Network Service на каждом сервере, это не сработает, потому что когда они покидают серверы, они отображаются как Domain \ ComputerName $, что означает, что у вас будет столько учетных записей, сколько серверов, обслуживающих приложение. Решение состоит в том, чтобы создать учетную запись домена, установить идентификатор пула приложений на всех серверах в одну учетную запись пользователя домена и создать один SPN, тем самым разрешив проверку подлинности Kerberos. В случае такого приложения, как SSRS, где вы можете передать учетные данные пользователя на внутренний сервер базы данных, аутентификация Kerberos является обязательной, потому что вам придется настроить делегирование Kerberos.

Я знаю, что это очень много, но короткий ответ, за исключением Local System, зависит.


28
2017-08-07 04:47



Стоит отметить, что рекомендации по переименованию этих учетных записей не поступают от Microsoft. Системные учетные записи имеют статические и хорошо документированные идентификаторы безопасности и могут быть легко взломаны независимо от отображаемого имени. - Thomas


IUSR = пользователь Интернета, то есть любой анонимный, не прошедший проверку подлинность посетитель вашего веб-сайта (т. Е. Почти все)

IWAM = Internet Web Application Manager, т. Е. Все ваши приложения ASP и .NET будут запускаться под этой учетной записью

Как правило, IUSR и IWAM должны ТОЛЬКО иметь доступ к тому, что им нужно. Им никогда не следует предоставлять доступ ко всему остальному, если эти учетные записи становятся скомпрометированными, тогда они не могут получить доступ к чему-либо критическому.

Это все, что я могу вам помочь, вне зависимости от вашего списка вопросов, другие, имеющие больше опыта в администрировании IIS, могут помочь вам в дальнейшем!


7
2017-08-05 02:06





Я всегда прибегаю к этому руководству -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

Вы можете найти много на iis.net

проще говоря - IUSR - это просто из окна гостевых учетных записей, которые по умолчанию имеют права на c: \ inetpub \ wwwroot.


5
2017-08-07 07:43