Webserver sikkerhed forbedret med AppPoolIdentity

Jeg har i et stykke tid ignoreret den “nye” brugerkonto i Internet Information Server 7+ som hedder AppPoolIdentity, hvorfor nu sådan en ny fætter. Vi levede jo lykkeligt med “Network Service” eller hvad?

Åbenbart ikke alle, og jeg kan sagtens se fordelene med AppPoolIdentity kontoen. Lad os se om jeg kan overbevise dig om, at det en ret god idé.

Lidt om sikkerhed i IIS

Når jeg i IIS 5 og 6 skulle styre eksekveringen af server-side kode med .NET, brugte jeg altid den system konto som hedder “Network Service” eller “Netværkstjeneste”. Udfordringen er at i hostingsystemer er det så den samme bruger (samme sikkerhed) som alle webløsninger i hosting centeret kører som. IKKE SÆRLIG SMART! Med mindre at hosting systemer lavede en bruger-konto pr. website så ville du faktisk have mulighed for at arbejde på et website på samme server, hvis du ville kunne finde ud af hvad de lokale mapper og filer hedder på serveren.

iis 6 network service

Forbedringerne med AppPoolIdentity

Hvis vi istedet lader vores Application Pool køre som AppPoolIdentity istedet for NetworkService kontoen, så giver det nu mulighed for at vi med navnet på Application Pool’en kan give den nogle rettigheder, som om det var en almindelig brugerkonto. Det sparer os jo for en masse bruger-konti, nu skal der så bare oprettes Application Pools, når der skal system isoleres – DET ER SMART!

Her vælges AppPoolIdentity som konto for din Application Pool:

iis 7 AppPoolIdentity

Her kan du se, hvordan du får sat rettigheder op på din Application Pool:

iis 7 AppPoolIdentity security

Hvis du ikke kan få den til at tilføje din ApplicationPool til din mappe eller fil så brug kommandoen:

ICACLS test.txt /grant “IIS AppPool\DefaultAppPool”:F

Links

http://learn.iis.net/page.aspx/624/application-pool-identities/
http://learn.iis.net/page.aspx/764/ensure-security-isolation-for-web-sites/

, ,

3 Kommentarer

Skriv et svar

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>