¿Es posible hacer una especie de ‘chroot’ con IIS 6.0?

Esta fue una de las preguntas que recibí en webcast del pasado día 19 de enero. He aquí la respuesta:

En Windows no  se puede ejecutar un servicio de forma idéntica a como se ejecutaría un servicio que realiza la llamada  chroot en Linux, puesto que esta función no está implementada en Sistemas Windows. 

En Windows se pueden utilizar aproximaciones para determinados servicios, realizando su ejecución bajo un determinado usuario (ver runas) y estableciendo los permisos adecuados

sobre los diferentes directorios y unidades.

Chroot es una llamada al sistema, que permite especificar un directorio raíz diferente del directorio raíz del sistema para un servicio determinado (Ej. Apache, ftpd, DNS, etc) De esta forma el Kernel fija como directorio raíz el especificado, e impide que éste acceda a directorios superiores. Ejecutar un servicio como chroot,  es útil para securizar un servicio. En caso de que éste sea  atacado, se impide el acceso a archivos del sistema u otras aplicaciones, evitando así ataques tales como “directory transversal” en IIS en el que intentan ejecutar comandos del sistema,  con diferentes fines,  utilizando  “cmd.exe”.