¿Qué es el SERVICIO DE RED?
Categoría: Computadora/Red gt; Sistema operativo/Fallo del sistema
Análisis:
Neork Service es una cuenta integrada en Windows Server 2003. A todas las cuentas del sistema operativo Windows se les asigna un SID (ID de seguridad). El servidor identifica todas las cuentas en el servidor por SID, no por el nombre asociado con el SID, que es como usted y yo interactuamos con la interfaz de usuario. La mayoría de las cuentas creadas en un servidor son cuentas locales y tienen un SID único que identifica la cuenta como miembro de la base de datos de usuarios del servidor. Debido a que el SID es único sólo en relación con el servidor, no es válido en ningún otro sistema. Por lo tanto, si asigna permisos NTFS a una cuenta local en un archivo o carpeta y luego copia el archivo y sus permisos a otra computadora, no habrá ninguna cuenta de usuario para ese SID de migración en la computadora de destino, incluso si lo hace. tener una cuenta con el mismo nombre. Esto hace que la replicación de contenido que contiene permisos NTFS sea potencialmente problemática.
Las cuentas integradas son un tipo especial de cuentas o grupos creados por el sistema operativo, como la cuenta del sistema, el servicio Neork y el grupo Todos. Una de las características importantes de estos objetos es que tienen el mismo SID conocido en todos los sistemas. Cuando copia un archivo que tiene permisos NTFS asignados a una cuenta integrada, los permisos son válidos en todos los servidores porque el SID de la cuenta integrada es el mismo en todos los servidores. La cuenta de Neork Service en los servicios de Windows Server 2003 está diseñada específicamente para proporcionar a las aplicaciones suficiente acceso a la red, y en IIS 6, las aplicaciones web no necesitan estar elevadas para ejecutarse. Esta es una gran noticia para la seguridad de IIS porque no hay desbordamiento del búfer, una aplicación maliciosa no puede descifrar la identidad del proceso o un ataque a la aplicación no puede ingresar al entorno del usuario del sistema. Más importante aún, ya no es posible formar una "puerta trasera" en la cuenta del Sistema, por ejemplo, explotando una aplicación cargada en Iinfo a través de la entrada de la metabase InProcessIsapiApps.
La cuenta de Neork Service se creó pensando en algo más que IIS 6. También tiene la mayoría, pero no todos, los permisos de la identidad del proceso W3WP.exe. Así como el usuario de ASPNET necesita acceso a ciertas ubicaciones en el servidor IIS 5 para ejecutar aplicaciones ASP, la identidad del proceso W3WP.exe también necesita acceso a ubicaciones similares y también necesita algunos permisos que no están asignados a grupos integrados de forma predeterminada. .
Para facilitar la administración, al instalar IIS 6 se creó el grupo IIS_WPG (también conocido como Grupo de procesos de trabajo de IIS), y sus miembros incluyen Sistema local (sistema local), Servicio local (Servicio local), Servicio Neork (Servicio de Red) y cuentas IWAM. Los miembros de IIS_WPG tienen los permisos NTFS adecuados y los permisos de usuario necesarios para servir como identidad de proceso para los procesos de trabajo en IIS 6.
Las siguientes ubicaciones tienen permisos asignados a IIS_WPG: windir\help\iishelp\mon – Leer
? windir\IIS Archivos comprimidos temporales – Listar, leer, escribir
? Plantilla compilada isrv\ASP: leer
Ipub\root (o directorio de contenido): leer, ejecutar
Además, IIS_WPG tiene los siguientes derechos de usuario:
? Ignorar comprobaciones transversales (SeChangeNotifyPrivilege)
? Iniciar sesión como un trabajo por lotes (SeBatchLogonRight)
? Acceder a esta computadora desde la red (SeNeorkLogonRight)
Por lo tanto, la cuenta del Servicio Neork proporciona acceso a la ubicación anterior, tiene permisos suficientes para actuar como la identidad del proceso de trabajo de IIS 6 y tiene acceso a la red.
Para obtener más detalles, visite el sitio web de Microsoft: microsoft/china/tech/munity/columns/insider/iisi1203.mspx