Op eenvoudige manier IIS user accounts updaten?

Verwijderd schreef op vrijdag 26 juni 2009 @ 18:01:
Hi all,

Ik heb sinds kort een IIS6 server in beheer gekregen waarop een redelijk aantal (> 100) websites draait. Mij is opgevallen dat anonymous access voor deze sites allemaal onder dezelfde user is geconfigureerd: IUSR_IIS03. Natuurlijk is het wenselijker om elke site een andere username toe te wijzen, maar ik kan niet vinden hoe ik dit makkelijk automatisch kan doen.

Waarom zou dat wenselijk zijn in jouw ogen?
Is dat een spontaan idee? Want de IUSR_ accounts hebben namelijk een bepaalde rol op een systeem, en je vraag doet mij vermoeden dat de werking je misschien niet geheel duidelijk is.

IIS is een iets ander beestje dan de Indiaan ja.
Maar wat bedoel je precies met:

Nu is het mogelijk om via ASP files van een andere site uit te lezen, aangezien de sites onder dezelfde user draaien.

Dat zou betekenen dat er e.e.a. in de config niet helemaal juist zit.

Verwijderd schreef op vrijdag 26 juni 2009 @ 22:55:
Ehm, misschien had ik erbij moeten vertellen dat de websites door meerdere mensen worden beheerd en dat het niet wenselijk is dat ze elkaars website kunnen beinvloeden. Nu is het mogelijk om via ASP files van een andere site uit te lezen, aangezien de sites onder dezelfde user draaien.

Of projecteer ik mijn Linux-ervaring nu te veel op IIS?

Het klopt inderdaad dat indien je een standaard installatie hebt van je server, je met een beetje scripting ervaring niet alleen de home directories van de andere websites kan bereiken maar zelfs de hele server. Uiteraard wil je dit niet.

Zowiezo moet je voor IIS elke website best onder zijn eigen gebruiker laten draaien. Bovendien is het aangeraden om ook elke website zijn eigen Application Pool te geven (ook wegens veiligheidsredenen). Uiteraard moet je hiervoor wel even nagaan of er voldoende RAM geheugen beschikbaar is.

Indien je gebruik maakt van een control panel zoals bv Plesk of DotNetPanel wordt bij de aanmaak van een nieuwe website bovenstaande zowiezo automatisch voor je gedaan.

Om echter bestaande websites via scripting te gaan aanpassen is niet zo evident denk ik. Je moet zowiezo voor elke website een unieke gebruiker genereren + deze linken aan de correcte website + correcte NTFS permissies per home directory gaan zetten.

Je vertelt niet of deze webserver via internet toegankelijk is, maar indien dit zo is, zou ik zowiezo eens even een audit doen van de NTFS permissies op de gehele server. Standaard is Windows 2003 namelijk niet echt veilig om aan het internet te hangen.

Indien 1 of meerdere websites gebruik maken van ASP.NET kan je best ook eens kijken of deze in Medium Trust kunnen draaien. Anders zijn deze websites ook vatbaar voor inbraak van buitenaf.

Ik zou de IIS 6.0 Resource kit er eerst eens bijpakken