深入剖析IIS 6.0(7)_Windows教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!
       因此,工作進(jìn)程隔離模式不存在進(jìn)程內(nèi)(In-Process)應(yīng)用程序存在的問題,有效地提高了可靠性和安全性?煽啃缘奶岣呤且?yàn)橐粋(gè)Web應(yīng)用的故障不會(huì)影響到其他Web應(yīng)用,也不會(huì)影響http.sys,每一個(gè)Web應(yīng)用由W3SVC單獨(dú)地監(jiān)視其健康狀況。安全性的提高是由于應(yīng)用程序不再象IIS 5.0和IIS 4.0的進(jìn)程內(nèi)應(yīng)用那樣用System帳戶運(yùn)行,默認(rèn)情況下,w3wp.exe的所有實(shí)例都在一個(gè)權(quán)限有限的“網(wǎng)絡(luò)服務(wù)”帳戶下運(yùn)行,如圖六所示,必要時(shí),還可以將工作進(jìn)程配置成用其他用戶帳戶運(yùn)行。



      圖六

        如果緩沖區(qū)溢出攻擊成功入侵了一個(gè)Web應(yīng)用,攻擊者只能訪問當(dāng)時(shí)運(yùn)行工作進(jìn)程的帳戶有權(quán)訪問的資源,默認(rèn)的網(wǎng)絡(luò)服務(wù)帳戶不能寫入Inetpub文件夾,執(zhí)行權(quán)限也極其有限,所以象CodeRed蠕蟲之類的攻擊根本不可能得逞。

        某些Web應(yīng)用,特別是有些Internet Server API(ISAPI)篩選器,在進(jìn)程外運(yùn)行時(shí)可能會(huì)遇到問題。在IIS 5.0和IIS 4.0中,ISAPI篩選器總是在Inetinfo之內(nèi)運(yùn)行,它們的設(shè)計(jì)目標(biāo)本來就不是在進(jìn)程外運(yùn)行,正是由于這個(gè)原因,某些篩選器在IIS 6.0的工作進(jìn)程隔離模式中運(yùn)行時(shí)可能會(huì)出現(xiàn)問題——特別地,調(diào)用SF_READ_RAW_DATA或SF_SEND_RAW_DATA的篩選器尤其明顯。為此,IIS 6.0還提供了第二種操作模式,稱為IIS 5.0隔離模式。如果ISAPI篩選器不能在工作進(jìn)程隔離模式下正常運(yùn)行,在IIS 5.0隔離模式下應(yīng)該沒有問題。在這第二種操作模式中,應(yīng)用程序仍舊能夠從IIS 6.0的許多改進(jìn)中獲益,例如http.sys驅(qū)動(dòng)程序帶來的性能、可靠性的提高。

        在IIS 6.0文檔中,可以看到一種叫做“應(yīng)用程序池”的新特性。一個(gè)應(yīng)用程序池包含一個(gè)或者一組工作進(jìn)程,而且應(yīng)用程序池是可以命名的。應(yīng)用程序池可以從下列角度理解:在IIS 5.0中,我們可以將應(yīng)用程序保護(hù)設(shè)置為低級(jí)(IIS進(jìn)程)、中級(jí)(緩沖池)、高級(jí)(隔離),這個(gè)功能雖然很有用,但如果我們想要在一個(gè)池(一個(gè)dllhost.exe的實(shí)例)中運(yùn)行兩個(gè)應(yīng)用程序,在另一個(gè)池(另一個(gè)dllhost.exe的實(shí)例?)中運(yùn)行另外兩個(gè)應(yīng)用,該怎么辦?IIS 5.0沒有提供命名dllhost.exe實(shí)例的途徑,因而也就不能將兩個(gè)特定的應(yīng)用放入某個(gè)池運(yùn)行。IIS 6.0的應(yīng)用程序池允許指定名稱,如圖七,通過網(wǎng)站“屬性”對(duì)話框的“主目錄”頁,可以方便地將Web網(wǎng)站或目錄放入應(yīng)用程序池。



      圖七

      來源:網(wǎng)絡(luò)搜集//所屬分類:Windows教程/更新時(shí)間:2013-04-15
      相關(guān)Windows教程