IIS 7.5与虚拟帐户：提升Web服务安全性的新特性

"本文主要介绍了IIS 7.5中的应用程序池和新增的虚拟帐户特性，强调了这些改变在提升网络安全性和服务隔离方面的作用。文章指出，虚拟帐户允许不同网络服务拥有独立的身份，降低了服务间的相互影响，提高了整体安全性。通过示例，解释了如何设置和使用虚拟帐户，以及它如何改变IIS的工作方式，特别是对NTFS权限的管理和降低工作进程间的安全风险。" 在IIS 7.5中，应用程序池（Application Pool）与身份识别（Identity）是配置的关键部分。传统的IIS 6和7，默认使用NETWORK SERVICE账户作为应用程序池的身份，但这个账户也被许多其他网络服务共享，存在安全隐患。一旦某个服务受到攻击，可能会威胁到使用同一账户的IIS。 Windows 7和Windows Server 2008 R2引入了新的账户类型，包括受管理的服务帐户（Managed Service Accounts）和虚拟帐户（Virtual Accounts）。虚拟帐户旨在为每个应用程序池提供一个独特的、独立的账户身份，这样即使一个应用遭受攻击，也不会影响其他应用，增强了系统的安全性。 虚拟帐户的概念使得每个Web应用程序可以在完全隔离的环境中运行，减少了因权限共享导致的安全问题。例如，在IIS 7.5的DefaultAppPool中，可以看到新引入的ApplicationPoolIdentity，这是一个专为IIS定制的虚拟帐户。使用这个账户，每个应用池的工作进程（w3wp.exe）将具有独立的身份，能够根据需要为不同的站点设置特定的NTFS权限，进一步限制了潜在的安全风险。 配置IIS 7.5时，理解并正确使用虚拟帐户至关重要。这不仅涉及身份的设置，还包括对每个应用程序池的权限控制，确保不同工作进程间的安全隔离。通过这样的设置，可以显著提高IIS托管Web应用的整体安全水平，避免单一漏洞影响整个服务器。虚拟帐户的使用，让网络安全策略更为精细，也让系统的管理更加灵活和可控。