Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Службы IIS по умолчанию максимизируют безопасность веб-сервера с минимальным объемом памяти веб-сервера и автоматической изоляцией приложений.
Минимизация объема веб-сервера
Администраторы могут зависеть от IIS для более безопасного размещения веб-приложений. Службы IIS были переработаны с нуля, чтобы включить модульную архитектуру, которая позволяет администраторам настраивать свои веб-серверы путем выборочной установки или удаления модулей. Администраторы могут устанавливать только те компоненты, которые отвечают потребностям бизнеса, устраняя при этом снижение производительности сервера и риски безопасности, связанные с запуском неиспользуемых функций сервера. Администраторы могут легко свести к минимуму область атак и обслуживания, а также уменьшить объем памяти процесса. По умолчанию в IIS устанавливаются только модули, необходимые для запуска СЛУЖБ IIS в качестве сервера статических образов. Установка по умолчанию позволяет ИТ-администратору начать с наиболее безопасной базы, добавляя модули только по мере необходимости для приложений и служб, размещенных на веб-сервере.
Поддержка Основных компонентов Windows Server
Чтобы дополнительно ограничить уязвимость системы безопасности, администраторы могут установить минимальную среду с параметром установки основных серверных компонентов Windows Server 2008. Основные серверные компоненты пропускают графические службы и большинство библиотек, а вместо этого используется урезаная система, управляемая командной строкой. Серверные ядра можно администрировать локально с помощью служебной программы командной строки IIS AppCmd или удаленно с помощью инструментария WMI. Так как основные серверные компоненты имеют определенное количество ролей, они могут повысить безопасность и уменьшить занимаемое место операционной системы. При меньшем количестве файлов, установленных и запущенных на сервере, в сети предоставляется меньше векторов атак; таким образом, существует меньше направлений атак. Администраторы могут устанавливать только определенные службы, необходимые для конкретного сервера, сохраняя риск раскрытия до абсолютного минимума.
Автоматическая изоляция веб-сайта
СЛУЖБЫ IIS обеспечивают большую изоляцию приложений, предоставляя рабочим процессам совершенно уникальные удостоверения и изолированную конфигурацию по умолчанию, что еще больше снижает риски безопасности. СЛУЖБЫ IIS включают автоматическую изоляцию пула приложений и могут песочница тысяч веб-сайтов на одном сервере. Это позволяет каждому веб-сайту работать в собственном пространстве памяти с автоматически созданным уникальным удостоверением, что позволяет гарантировать, что приложения не будут затронуты другими сбоями или нарушениями безопасности приложений, работающих на том же сервере. Эта возможность позволяет организациям консолидировать больше веб-сайтов на меньшем количестве серверов, а также повышает безопасность и надежность всех веб-сайтов, работающих на общем узле.