범주: 컴퓨터/네트워크 gt; 운영 체제/시스템 오류
분석:
Neork 서비스는 Windows Server 2003에 내장된 계정입니다. Windows 운영 체제의 모든 계정에는 SID(보안 ID)가 할당됩니다. 서버는 SID와 연결된 이름이 아닌 SID로 서버의 모든 계정을 식별합니다. 이것이 바로 귀하와 제가 사용자 인터페이스와 상호 작용하는 방식입니다. 서버에 생성된 대부분의 계정은 로컬 계정이며 해당 계정을 서버 사용자 데이터베이스의 구성원으로 식별하는 고유한 SID를 갖습니다. SID는 서버에 대해서만 고유하므로 다른 시스템에서는 유효하지 않습니다. 따라서 로컬 계정에 파일이나 폴더에 대한 NTFS 권한을 할당한 다음 파일과 해당 권한을 다른 컴퓨터에 복사하면 대상 컴퓨터에는 해당 마이그레이션 SID에 대한 사용자 계정이 없습니다. 같은 이름의 계정이 있습니다. 이로 인해 NTFS 권한이 포함된 콘텐츠 복제가 잠재적으로 문제가 될 수 있습니다.
내장 계정은 시스템 계정, Neork 서비스 및 모든 그룹과 같이 운영 체제에서 생성된 특별한 유형의 계정 또는 그룹입니다. 이러한 개체의 중요한 특징 중 하나는 모든 시스템에서 동일하고 잘 알려진 SID를 갖는다는 것입니다. 기본 제공 계정에 할당된 NTFS 권한이 있는 파일을 복사하면 기본 제공 계정의 SID가 모든 서버에서 동일하기 때문에 해당 권한은 서버 전체에서 유효합니다. Windows Server 2003 서비스의 Neork 서비스 계정은 응용 프로그램에 네트워크에 대한 충분한 액세스 권한을 제공하도록 특별히 설계되었으며 IIS 6에서는 웹 응용 프로그램을 실행하기 위해 권한을 높일 필요가 없습니다. 버퍼 오버플로가 없고, 악의적인 응용 프로그램이 프로세스 ID를 해독할 수 없거나, 응용 프로그램에 대한 공격이 시스템 사용자 환경에 진입할 수 없기 때문에 이는 IIS 보안에 있어 큰 소식입니다. 더 중요한 것은 예를 들어 InProcessIsapiApps 메타베이스 항목을 통해 Iinfo에 로드된 응용 프로그램을 악용하여 시스템 계정에 "백도어"를 형성하는 것이 더 이상 가능하지 않다는 것입니다.
Neork 서비스 계정은 IIS 6 이상의 것을 염두에 두고 만들어졌습니다. 또한 프로세스 ID W3WP.exe에 대한 권한의 전부는 아니지만 대부분을 갖습니다. ASPNET 사용자가 ASP 응용 프로그램을 실행하기 위해 IIS 5 서버의 특정 위치에 액세스해야 하는 것처럼 프로세스 ID W3WP.exe도 유사한 위치에 액세스해야 하며 기본적으로 기본 제공 그룹에 할당되지 않은 일부 권한도 필요합니다. .
관리의 편의를 위해 IIS 6 설치 시 IIS_WPG 그룹(IIS 작업자 프로세스 그룹이라고도 함)이 생성되었으며 해당 구성원에는 로컬 시스템(로컬 시스템), 로컬 서비스(로컬 서비스), Neork 서비스(네트워크 서비스) 및 IWAM 계정. IIS_WPG의 구성원은 적절한 NTFS 권한과 IIS 6의 작업자 프로세스에 대한 프로세스 ID 역할을 하는 데 필요한 사용자 권한을 가지고 있습니다.
다음 위치에는 IIS_WPG에 할당된 권한이 있습니다: windir\help\iishelp\mon – 읽기
? windir\IIS 임시 압축 파일 – 목록, 읽기, 쓰기
isrv\ASP 컴파일된 템플릿 – 읽기
? Ipub\root(또는 콘텐츠 디렉터리) – 읽기, 실행
또한 IIS_WPG에는 다음과 같은 사용자 권한이 있습니다. < /p>
? 순회 검사 무시(SeChangeNotifyPrivilege)
? 일괄 작업으로 로그온(SeBatchLogonRight)
? 네트워크에서 이 컴퓨터에 액세스(SeNeorkLogonRight)
< p> Neork 서비스 계정은 위 위치에 대한 액세스를 제공하고, IIS 6 작업자 프로세스의 프로세스 ID 역할을 할 수 있는 충분한 권한을 가지며, 네트워크에 액세스할 수 있습니다.자세한 내용은 Microsoft 웹사이트(microsoft/china/tech/munity/columns/insider/iisi1203.mspx)를 참조하세요.