Что такое учетные записи IUSR и IWAM в IIS?

23

Я ищу хорошее объяснение учетных записей IUSR и IWAM, используемых IIS, чтобы помочь мне лучше настроить нашу среду хостинга:

  • Почему они там?
  • Какая разница между ними?
  • Названия означают что-то значимое?
  • Есть ли какие-то изменения в лучших практиках, которые я должен сделать?
  • IIS также дает мне возможность запускать пулы приложений как сетевая служба, локальная служба или локальная система. Нужно ли мне?
  • Мой веб-сервер является частью домена, как это меняет дело?

Похоже, что при развертывании нескольких сайтов на сервере часто создаются собственные версии этих учетных записей, что вызывает некоторые дополнительные вопросы:

  • Когда я захочу создать свои собственные учетные записи IUSR и IWAM?
  • Как мне создать эти дополнительные учетные записи, чтобы они имели правильные разрешения?

Я использую как IIS 6, так и IIS 7 в основном с конфигурациями по умолчанию.

windows  security  iis 
Общая ошибка
источник

Ответы:

33

IUSR и IWAM относятся к самым ранним дням IIS, когда вы устанавливали его отдельно (не как компонент ОС). По умолчанию, если веб-сайт разрешает анонимную аутентификацию, учетная запись IUSR используется в отношении разрешений в ОС. Это можно изменить по умолчанию. Существуют некоторые рекомендации по безопасности, по крайней мере, для переименования учетной записи, так что это не «известная» учетная запись, очень похоже на рекомендацию переименовать учетную запись администратора на сервере. Вы можете узнать больше о IUSR и аутентификации на MSDN .

IWAM был разработан для любых внепроцессных приложений и используется только в IIS 6.0, когда вы находитесь в режиме изоляции IIS 5.0. Вы обычно видели это с объектами COM / DCOM.

Что касается идентификаторов пула приложений, по умолчанию используется сетевая служба. Вы не должны работать как локальная система, потому что эта учетная запись обладает правами, превышающими права администратора. Таким образом, это в основном оставляет вам сетевую службу, локальную службу или учетную запись локального / домена, отличную от этих двух.

От того, что делать, зависит. Одно из преимуществ использования его в качестве сетевой службы - это учетная запись с ограниченными правами на сервере. Однако, когда он получает доступ к ресурсам по сети, он отображается как Domain \ ComputerName $, что означает, что вы можете назначать разрешения, которые позволяют учетной записи сетевой службы получать доступ к таким ресурсам, как SQL Server, запущенный в другом окне. Кроме того, поскольку он отображается как учетная запись компьютера, если вы включите проверку подлинности Kerberos, SPN уже используется, если вы заходите на веб-сайт по имени сервера.

Случай, когда вы захотите изменить пул приложений на конкретную учетную запись домена Windows, если вы хотите, чтобы определенная учетная запись осуществляла доступ к сетевым ресурсам, таким как учетная запись службы для доступа к SQL Server для веб-приложения. В ASP.NET есть и другие варианты, позволяющие сделать это без изменения идентификатора пула приложений, поэтому в этом больше нет необходимости. Еще одна причина, по которой вам стоит подумать об использовании учетной записи пользователя домена, заключается в том, что вы выполняете аутентификацию Kerberos и у вас есть несколько веб-серверов, обслуживающих веб-приложение. Хороший пример - если у вас есть два или более веб-сервера, обслуживающих службы отчетов SQL Server. Внешний интерфейс, вероятно, будет с общим URL-адресом, таким как reports.mydomain.com или reports.mydomain.com. В этом случае SPN может применяться только к одной учетной записи в AD. Если на каждом сервере у вас есть пулы приложений, запущенные в разделе «Сетевая служба», это не будет работать, поскольку, когда они покидают серверы, они отображаются как Domain \ ComputerName $, то есть у вас будет столько учетных записей, сколько серверов обслуживают серверы. приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos. У меня будет столько учетных записей, сколько серверов обслуживает приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos. У меня будет столько учетных записей, сколько серверов обслуживает приложение. Решение состоит в том, чтобы создать учетную запись домена, установить удостоверение пула приложений на всех серверах для одной и той же учетной записи пользователя домена и создать одно имя участника-службы, тем самым разрешив проверку подлинности Kerberos. В случае приложения, такого как SSRS, где вы можете захотеть передать учетные данные пользователя на внутренний сервер базы данных, тогда аутентификация Kerberos является обязательной, поскольку тогда вам придется настроить делегирование Kerberos.

Я знаю, что это много, но краткий ответ, за исключением локальной системы, зависит.

К. Брайан Келли
источник
Стоит отметить, что рекомендации по переименованию этих учетных записей не исходят от Microsoft. Системные учетные записи имеют статичные и хорошо документированные идентификаторы безопасности и могут быть легко взломаны независимо от отображаемого имени.
Томас
9

IUSR = Интернет-пользователь, то есть любой анонимный, не прошедший проверку подлинности посетитель вашего сайта (т.е. почти все)

IWAM = Internet Web Application Manager, т.е. все ваши приложения ASP и .NET будут работать под этой учетной записью

Как правило, IUSR и IWAM должны иметь ТОЛЬКО доступ к тому, что им нужно. Им никогда не следует предоставлять доступ ни к чему другому, если эти учетные записи будут взломаны, они не смогут получить доступ к чему-либо критическому.

Это все, что я могу помочь из вашего списка вопросов, другие, кто имеет больше опыта в администрировании IIS, могут помочь вам в дальнейшем!

Марк Хендерсон
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.