IIS7 - (Sicherheits-) Konfiguration der Webs und AppPools

07/05/2008 - 09:14 von Thomas Bandt | Report spam
Morgen zusammen,

ich richte gerade einen Windows Webserver 2008 ein
und versuche bei der Gelegenheit gleichmal meine
bisherigen Konfigurationsschemas zu hinterfragen.

Bisher habe ich folgendes gemacht (IIS6):

1. Neuen Windows-Nutzer angelegt: WWW_xyz.de
2. Diesen in IIS_WPG hinzugefügt, "Benutzer" entfernt
3. Rechte für diesen Nutzer im Web gesetzt
4. Neuen AppPool angelegt, der mit diesem Nutzer làuft
5. Neue Website angelegt, anonymen Zugriff über diesen
Nutzer.

Das hat(te) mehrere Vorteile:

+ Verbindung zum SQL Server (lokal) via Win-Auth
+ Im Zweifelsfall keinerlei Rechte außerhalb des
eigenen Webroots
+ Pool làsst sich im TaskManager anhand des
Usernamens eindeutig zuordnen.

Soweit so gut, das erscheint mir auch jetzt noch
sinnvoll (andere Meinungen?). Allerdings hat MS ja
nun die Gruppe IIS_WPG bzw. den alten IUSR
abgeschafft und jeweils durch "interne" Konten
ersetzt, die keine maschinenabhàngige SID mehr
besitzen, womit man letztlich per xcopy ein gesamtes
Web auf einen anderen Server schieben könnte.

Lege ich nun wieder einen eigenen Nutzer an, hebele
ich diesen Vorteil ja von vornherein wieder aus.

Daher die Frage: wie geht ihr hier vor, wie konfiguriert
ihr eure Websites, und was spricht außer dem genannten
xcopy-Vorteil noch dafür, alle Webs standardmàßig mit
dem einen IUSR-Account laufen zu lassen?

Gruß, Thomas [MVP ASP/ASP.NET]
http://www.69grad.de - Beratung, Entwicklung
http://www.dotnetjob.de - .NET-Stellenbörse
https://www.xing.com/net/asp.net/ - ASP.NET bei XING
http://blog.thomasbandt.de - Thomas goes .NET
 

Lesen sie die antworten

#1 Lutz Elßner
07/05/2008 - 11:15 | Warnen spam

Soweit so gut, das erscheint mir auch jetzt noch
sinnvoll (andere Meinungen?). Allerdings hat MS ja
nun die Gruppe IIS_WPG bzw. den alten IUSR
abgeschafft und jeweils durch "interne" Konten
ersetzt, die keine maschinenabhàngige SID mehr
besitzen, womit man letztlich per xcopy ein gesamtes
Web auf einen anderen Server schieben könnte.

Lege ich nun wieder einen eigenen Nutzer an, hebele
ich diesen Vorteil ja von vornherein wieder aus.





Es kommt darauf an, ob du "Shared Hosting" betreibst.
Wenn untereinander fremde Leute Webs auf dem Server haben, sollten sie eigene Windows Konten haben.
Das selbe Konto kann dann für den eigenen AppPool und den anonymen Zugriff benutzt werden, habe ich auf www.iis.net gelesen.
Es gibt ja nun auch den Haken: AppPool als anonymen User verwenden.
Für den Upload mit ftp kann man nun "non Windows" User verwenden.

Aus der Gruppe Users habe ich die auch entfernt, aber das bringt nicht viel, weil sie über die Hintertür ("Authentifizierte
Benutzer", "INTERAKTIV") trotzdem noch in Users drin sind. Oder soll man diese 2 Autoritàten auch aus Users entfernen?

Die neuen integrierten Konten haben nur Sinn, wenn du mehrere Webserver betreibst und die sich gegenseitig replizieren sollen.
Das trifft dann wieder auf Firmen zu, die ihre eigene riesige Webanwendung ausfallsicher betreiben wollen.
Das hat wohl Microsoft am meisten für sich selber (die Microsoft Webseiten) erfunden...

Lutz

Ähnliche fragen