深入剖析IIS 6.0(6)(转)

由于http.sys是一个操作系统的驱动程序，而不是一个IIS组件，因此该驱动程序的配置在注册表而不是IIS配置数据中进行。当前，还有许多http.sys的注册表设置项目尚无正式的说明文档，它可能意味着微软不鼓励用户修改这些设置，因为这些设置项目将来可能会有变化。http.sys驱动程序的注册表设置项目位于HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTP下面，在这里可添加各种注册键（默认配置中不包含这些注册键），诸如：

　　⑴ EnableNonUTF8：如果加入EnableNonUTF8子键，并将它的值设置成0，http.sys只接受UTF-8编码的URL。UTF-8的全称是Universal Character Set（UCS）Transformation Format 8，这是一种字符集标准，标准全文在http://www.ietf.org/rfc/rfc2279.txt，它允许使用多国语言的字符集。默认情况下，EnableNonUTF8的值是1，表示IIS接受UTF-8、ANSI、双字节字符集（DBCS）编码的URL。

　　⑵ PercentUAllowed：当这个子键设置成1时（默认值），http.sys认可那些部分字符用％uNNNN表示的URL，其中NNNN是一组表示实际字符的数字。当PercentUAllowed设置成0时，IIS 6.0将拒绝那些部分字符用这种方式表示的URL。

　　％uNNNN是一种不太常用的Unicode符号，不要将它与常见的UTF-8表示形式混淆。在UTF-8表示形式中，％20表示一个空格，例如http://www.iisanswers.com/new article.htm相当于http://www.iisanswers.com/new％20article.htm，两者之间的转换由IE浏览器自动完成，不管EnableNonUTF8和PercentUAllowed设置成了什么值，IIS 6.0都会接受。

　　这两项设置，再加上其他可以在IIS 6.0文档中找到的设置项目，从一个侧面反映了IIS 6.0在URL解析方面的改进。在IIS 5.0中，一些重大的安全问题与Web服务器解析URL的方式有密切的关系，现在微软终于解决了原先存在的缺陷，同时作出了一些改进，允许管理员更加明确地定义IIS 6.0解析URL的规则。在天生具有国际化特点的Internet上，多国语言并存，这些改进之处尤其具有重要意义。

　　关于Unicode的更多信息，请参见http://www.unicode.org；关于IIS 5.0缺陷的更多信息，请参见 http://www.wiretrip.net/rfp/p/doc.asp/i5/d57.htm。在Windows Server 2003 Resource Kit中可以找到一个帮助配置http.sys的工具。

　　■ W3Core

　　默认情况下，IIS 6.0在工作进程隔离模式下运行，如图五所示。在这种模式中，对于每一个Web应用，IIS 6.0都用一个独立的w3wp.exe的实例来运行它。w3wp.exe也称为工作进程（Worker Process），或W3Core。

图五

mydear 发表于:2007.08.01 20:16 ::分类: ( 一般分类 ) ::阅读:(1次) :: 评论 (0)

--&gt

===========================================================

深入剖析IIS 6.0(7)(转)

===========================================================

　因此，工作进程隔离模式不存在进程内（In-Process）应用程序存在的问题，有效地提高了可靠性和安全性。可靠性的提高是因为一个Web应用的故障不会影响到其他Web应用，也不会影响http.sys，每一个Web应用由W3SVC单独地监视其健康状况。安全性的提高是由于应用程序不再象IIS 5.0和IIS 4.0的进程内应用那样用System帐户运行，默认情况下，w3wp.exe的所有实例都在一个权限有限的“ 网络 服务”帐户下运行，如图六所示，必要时，还可以将工作进程配置成用其他用户帐户运行。

图六

　　如果缓冲区溢出攻击成功入侵了一个Web应用，攻击者只能访问当时运行工作进程的帐户有权访问的资源，默认的网络服务帐户不能写入Inetpub文件夹，执行权限也极其有限，所以象CodeRed蠕虫之类的攻击根本不可能得逞。

　　某些Web应用，特别是有些Internet Server API（ISAPI）筛选器，在进程外运行时可能会遇到问题。在IIS 5.0和IIS 4.0中，ISAPI筛选器总是在Inetinfo之内运行，它们的设计目标本来就不是在进程外运行，正是由于这个原因，某些筛选器在IIS 6.0的工作进程隔离模式中运行时可能会出现问题——特别地，调用SF_READ_RAW_DATA或SF_SEND_RAW_DATA的筛选器尤其明显。为此，IIS 6.0还提供了第二种操作模式，称为IIS 5.0隔离模式。如果ISAPI筛选器不能在工作进程隔离模式下正常运行，在IIS 5.0隔离模式下应该没有问题。在这第二种操作模式中，应用程序仍旧能够从IIS 6.0的许多改进中获益，例如http.sys驱动程序带来的性能、可靠性的提高。

　　在IIS 6.0文档中，可以看到一种叫做“应用程序池”的新特性。一个应用程序池包含一个或者一组工作进程，而且应用程序池是可以命名的。应用程序池可以从下列角度理解：在IIS 5.0中，我们可以将应用程序保护设置为低级（IIS进程）、中级（缓冲池）、高级（隔离），这个功能虽然很有用，但如果我们想要在一个池（一个dllhost.exe的实例）中运行两个应用程序，在另一个池（另一个dllhost.exe的实例？）中运行另外两个应用，该怎么办？IIS 5.0没有提供命名dllhost.exe实例的途径，因而也就不能将两个特定的应用放入某个池运行。IIS 6.0的应用程序池允许指定名称，如图七，通过网站“属性”对话框的“主目录”页，可以方便地将Web网站或目录放入应用程序池。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/7178747/viewspace-161960/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/7178747/viewspace-161960/