Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

La sicurezza profonda di IIS 6

Le novità in tema di sicurezza di IIS 6 e i problemi di compatibilità con il vecchio IIS 5
Le novità in tema di sicurezza di IIS 6 e i problemi di compatibilità con il vecchio IIS 5
Link copiato negli appunti

IIS 6.0, è stato totalmente reingegnerizzato supportando nativamente Asp.NET. Microsoft, quindi, ha rilasciato un
web server molto più performante e affidabile.

Rispetto a IIS 5.0 sono stati migliorati tutti gli aspetti legati alla sicurezza. In IIS 5.0 tutti i processi
(eccetto eccezioni particolari) venivano processati all'interno di inetinfo.exe, che veniva eseguito con i
permessi di "Local System Account", che ha più permessi addirittura di administrator. Era chiaro che in caso di
un bug del server web e di un buffer overrun, con relativa apertura di nuova sessione, l'utente era local
system account e aveva l'assoluto controllo del sistema
! Con IIS 6.0 è stata ricostruita completamente
tutta la struttura del web server come mostra la figura sottostante.

Figura 14. Processo di richiesta di pagina Web

Processo di richiesta di pagina Web

Come si può vedere dall'immagine, ogni richiesta Web viene accettata dal processo http.sys che lavora in modalità
Kernel Mode e non più in modalità User Mode come nel IIS 5.0 con Inetinfo.exe.  Questo processo accetta e accoda
tutte le richieste in arrivo e le passa al gestore dei Pool, cioè al Was (Web Administration
Service
), che si occupa di controllare e  monitare lo stato delle applicazioni web e di riclicare i
worker process (overlapping).

Ogni Pool di processi può essere costituito da uno o più worker process. I pool di processi gestiscono la
configurazione dei siti web e permettono di gestire le impostazioni e configurazioni per il riciclo, lo stato e
le prestazioni dei singoli worker process. La situazione ottimale (predefinita) si ha quando si associa ad ogni
pool di applicazioni un solo sito web, in quanto un suo malfunzionamento non implicherebbe un degrado delle
prestazioni anche degli altri nello stesso pool.

Worker process

Sono i processi finali in cui girano le aplicazioni, i filtri ISAPI ed eventuali estensioni. Il processo che
esegue ciascun worker process è W3WP.EXE, ossia  il sostituto in IIS 6.0 di DLLHOST.EXE di IIS 5.0.  Le richieste
sono controllate e gestite mediante una coda di tipo FIFO (First In, First Out, cioè il primo che arriva è il
primo ad essere servito, come agli sportelli delle banche o della posta, ci si mette in coda fino al proprio
turno).

Sempre rispetto al suo predecessore IIS 6.0 è configurato in maniera più sicura in quanto molte delle
impostazioni che in IIS 5.0 era necessario disabilitare qui lo sono già. Ad esempio, la dimensione dei file
pubblicabili sul web via browser è di default molto piccola (200 Kb).

Poichè essistono ancora alcune applicazioni che giravano in "modalità isolamento" di IIS 5.0 (Isolation Mode) e
che non funzionerebbero usando i worker process di IIS 6 è possibile eseguire l'Isolation mode di IIS 6 come se
fosse l'Isolation mode di IIS 5.0. Cliccando con il tasto destro sulla voce Siti web si sceglie Proprietà e rispetto
alle schede del singolo sito web si trova la scheda Service. Si
selezioni Esegui il servizio WWW in modalità isolamento IIS 5.0. In
questo modo anche quelle rare applicazioni che non avrebbero girato su IIS 6 ora lo faranno.


Ti consigliamo anche