深入剖析IIS 6.0(7)

來源:互聯網
上載者:User
iis  因此,背景工作處理序隔離模式不存在進程內(In-Process)應用程式存在的問題,有效地提高了可靠性和安全性。可靠性的提高是因為一個Web應用的故障不會影響到其他Web應用,也不會影響http.sys,每一個Web應用由W3SVC單獨地監視其健康情況。安全性的提高是由於應用程式不再象IIS 5.0和IIS 4.0的進程內應用那樣用System帳戶運行,預設情況下,w3wp.exe的所有執行個體都在一個許可權有限的“網路服務”帳戶下運行,如圖六所示,必要時,還可以將背景工作處理序配置成用其他使用者帳戶運行。



圖六

  如果緩衝區溢位攻擊成功入侵了一個Web應用,攻擊者只能訪問當時運行背景工作處理序的帳戶有權訪問的資源,預設的網路服務帳戶不能寫入Inetpub檔案夾,執行許可權也極其有限,所以象CodeRed蠕蟲之類的攻擊根本不可能得逞。

  某些Web應用,特別是有些Internet Server API(ISAPI)篩選器,在進程外運行時可能會遇到問題。在IIS 5.0和IIS 4.0中,ISAPI篩選器總是在Inetinfo之內運行,它們的設計目標本來就不是在進程外運行,正是由於這個原因,某些篩選器在IIS 6.0的背景工作處理序隔離模式中運行時可能會出現問題——特別地,調用SF_READ_RAW_DATA或SF_SEND_RAW_DATA的篩選器尤其明顯。為此,IIS 6.0還提供了第二種操作模式,稱為IIS 5.0隔離模式。如果ISAPI篩選器不能在背景工作處理序隔離模式下正常運行,在IIS 5.0隔離模式下應該沒有問題。在這第二種操作模式中,應用程式仍舊能夠從IIS 6.0的許多改進中獲益,例如http.sys驅動程式帶來的效能、可靠性的提高。

  在IIS 6.0文檔中,可以看到一種叫做“應用程式集區”的新特性。一個應用程式集區包含一個或者一組背景工作處理序,而且應用程式集區是可以命名的。應用程式集區可以從下列角度理解:在IIS 5.0中,我們可以將應用程式保護設定為低級(IIS進程)、中級(緩衝池)、進階(隔離),這個功能雖然很有用,但如果我們想要在一個池(一個dllhost.exe的執行個體)中運行兩個應用程式,在另一個池(另一個dllhost.exe的執行個體?)中運行另外兩個應用,該怎麼辦?IIS 5.0沒有提供命名dllhost.exe執行個體的途徑,因而也就不能將兩個特定的應用放入某個池運行。IIS 6.0的應用程式集區允許指定名稱,如圖七,通過網站“屬性”對話方塊的“主目錄”頁,可以方便地將Web網站或目錄放入應用程式集區。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。