ИНВЕСТИЦИОННЫЙ ПОРТАЛ ВОЛГОГРАДСКОЙ ОБЛАСТИ

что такое индивидуальный инвестиционный счет и зачем он нужен

ИИС — это специальный счет, с помощью которого можно покупать ценные бумаги и валюту на бирже, а также получать часть инвестированных денег обратно — в виде налоговых вычетов от государства. Есть два типа вычетов по ИИС.

Тип А — вы пополняете ИИС рублями, а на следующий год получаете от налоговой 13% от суммы пополнения. Так за год можно получить до 52 000 ₽, но не более суммы НДФЛ, которую вы заплатили в бюджет в год пополнения ИИС.

Если ваш доход выше 5 000 000 ₽ и вы платите 15% НДФЛ, то максимальная сумма вычета увеличивается до 60 000 ₽. Подробнее про увеличенный вычет

Тип Б — вы открываете счет, пополняете его рублями и инвестируете в ценные бумаги. При закрытии счета весь доход от продажи ценных бумаг на ИИС, а также купонный доход от облигаций будет освобожден от уплаты налога в размере 13%. Это выгодно, если вы планируете активно торговать на бирже, а также если у вас статус самозанятого или ИП (люди, которые не платят НДФЛ, не смогут получить вычет типа А).

Вывести деньги с ИИС можно только при его закрытии. Но если закрыть такой счет в течение 3 лет с даты его открытия, то все налоговые вычеты придется вернуть. То есть нужно быть готовым держать деньги на ИИС не менее 3 лет. После этого срока все преимущества ИИС продолжат действовать, при этом закрыть счет и вывести деньги вы сможете в любой момент — ждать еще 3 года не придется.

Открыть ИИС

Для тех, кому неудобно читать, рассказали о главных особенностях ИИС от Тинькофф Инвестиций в 12-минутном видео:

Содержание и тайм-коды видео

00:00 — Что такое ИИС и как им пользоваться

00:52 — Кому подходит ИИС

01:34 — ИИС: 2 типа вычета

03:48 — Преимущества ИИС

06:31 — Ограничения ИИС

08:08 — Что выбрать: ИИС или брокерский счет

09:03 — Как открыть ИИС в Тинькофф

09:48 — Как получить вычет по ИИС в Тинькофф

10:30 — Сколько инвестировать

11:11 — Итог (главные мысли из видео)

Для чего нужен ИИС?

С помощью ИИС можно получить налоговый вычет: гарантированный доход за пополнение инвестиционного счета или освобождение от налога с продажи ценных бумаг. Это делает ИИС отличным инструментом и для только начинающих, и для инвесторов с опытом.

Если платите НДФЛ по ставке 13%, то за пополнение ИИС можете ежегодно получать от налоговой до 52 000 ₽ — для этого в течение года на счет нужно положить не менее 400 000 ₽.

Если платите НДФЛ по ставке 15%, то за пополнение ИИС на сумму от 400 000 ₽ можно получить до 60 000 ₽. Ставка 15% применяется на доход выше 5 000 000 ₽. Подробнее про увеличенный вычет

Если не платите НДФЛ, то получить возврат от налоговой не выйдет. Но вам доступен второй тип вычета — освобождение от налога со сделок с ценными бумагами. Также этот вариант выгоднее, если выбранная вами инвестстратегия приносит больше 400 000 ₽ в год. Как работает налоговый вычет по ИИС

Если же вы получаете возврат за пополнение счета, то с прибыльных операций на ИИС будет удержан налог. Но и тут есть плюсы: этот налог будет удержан только при закрытии счета, а не каждый год, как на брокерском счете.

Это хорошо: пока деньги не ушли в налоговую, их можно продолжать инвестировать, чтобы получать дополнительный доход.

Помимо этого, ИИС в Тинькофф Инвестициях обладает и другими преимуществами. Вот лишь некоторые из них.

Все инвестиции у вас в телефоне. С Тинькофф вам не придется устанавливать сложные программы для работы на бирже и долго разбираться в том, как они устроены. У мобильного приложения Тинькофф Инвестиций понятный интерфейс со всеми необходимыми функциями. Оно будет удобно и тем, кто делает только первые шаги на фондовом рынке, и инвесторам с опытом. Скачать приложение Тинькофф Инвестиций

Приложение Тинькофф Инвестиций продолжает работу. Но пока его нельзя скачать из App StoreЧтобы купить ценные бумаги в приложении Тинькофф Инвестиций, просто выберите понравившийся актив в списке, укажите нужное количество и нажмите

Быстрое открытие счета. На заполнение заявки онлайн уйдет всего несколько минут. Наш представитель сам приедет с необходимыми документами — куда и когда вам удобно.

Если у вас уже есть дебетовая карта Тинькофф, встреча не понадобится: документы можно подписать кодом из СМС, а счет откроется практически сразу после оформления заявки. Если на бирже выходной или вы оставили заявку после 19:00 по московскому времени, откроем счет в ближайший рабочий день. Заполнить заявку на ИИС

Простые тарифы. На тарифе «Инвестор» есть только комиссия за сделки — всё остальное бесплатно. На тарифе «Трейдер» небольшая ежемесячная плата, но минимальная комиссия на любые виды сделок.

Ввели плату 0,25% в месяц за хранение валюты суммой свыше 100 000 $ и €. Она распространяется только на валюту и не затрагивает валютные ценные бумаги. Подробнее про комиссию на валютные позиции

Низкий порог входа. Можно начать инвестировать даже с 10 ₽ — примерно столько стоит один пай фондов «Вечного портфеля» от управляющей компании Тинькофф Капитал. Большинство облигаций стоят около 1000 ₽.

Помощь в подборе активов. Подборки акций и облигаций можно найти в приложении в разделе «Что купить». Там наши аналитики собирают данные о самых привлекательных компаниях — например, тех, что занимаются облачными вычислениями, производством роботов или разработкой вакцины от COVID-19.

Также с подбором ваших первых ценных бумаг поможет наш робот-советник. Ответьте всего на три вопроса, и он сформирует готовый список активов, которые лучше всего подходят именно вам. Как работает робот-советник

А если вы точно знаете, что ищете, подберите акции в скринере — это специальный фильтр, помогающий отобрать бумаги по множеству параметров: по дивидендному доходу, капитализации, финансовому рынку или принадлежности к производственному сектору.

Широкий диапазон ценных бумаг и валюты. Со счетом в Тинькофф Инвестициях можно купить 8 валют, акции, облигации и еврооблигации российских компаний, биржевые фонды, а также акции компаний из США, Китая и многих других стран.

Как новые санкции повлияют на инвесторов

Мы переносим иностранные ценные бумаги, торгующиеся на СПБ Бирже, в неподсанкционную компанию. Во избежание риска блокировки, а также чтобы осуществить все необходимые действия для переноса, мы временно приостанавливаем торговлю иностранными ценными бумагами. В течение одной‑трех недель планируем запустить торги. Подробнее

Круглосуточная поддержка. Если у вас останутся вопросы, вы можете задать их в чате приложения Тинькофф Инвестиций или в личном кабинете на сайте tinkoff.ru. Отвечаем круглосуточно, в любой день недели — без праздников и выходных.

Открыть ИИС

Чем отличается брокерский счет от ИИС?

Оба счета используются для сделок с ценными бумагами и валютой, но у ИИС есть дополнительные преимущества и ограничения.

tableRow»>

	ИИС	Брокерский счет
Налоговые вычеты	Вычет типа А: можно получить возврат денег за пополнение ИИС. Вычет типа Б: можно освободиться от налога с продажи ценных бумаг независимо от даты их покупки. Как работает налоговый вычет по ИИС	Можно освободиться от налога с продажи ценных бумаг, если непрерывно продержать их на своем счете более 3 лет
Вывод со счета	Вывести деньги можно только при закрытии ИИС. Если закрыть ИИС, не продержав его 3 года, то налоговые вычеты придется вернуть	Вывести деньги можно в любой момент
Пополнение счета	Только в рублях и до 1 000 000 ₽ в год	Можно пополнять в разных валютах, а сумма пополнения не ограничена
Количество счетов	ИИС должен быть только один. Если открыть два ИИС даже у разных брокеров, то права на налоговый вычет не будет	В Тинькофф Инвестициях можно открыть до 10 брокерских счетов, независимо от количества ваших счетов у других брокеров
Удержание налога	Если выбрали вычет типа Б, то налога от продажи ценных бумаг не будет. Если хотя бы один раз получили возврат за пополнение, то у вас ИИС типа А — тогда налог с дохода от сделок удержится, но только в момент закрытия счета. Пока деньги не ушли в налоговую, можно продолжать покупать на них ценные бумаги и получать доход	Налог от продажи бумаг удерживается в конце каждого календарного года

Налоговые вычеты

ИИС

Вычет типа А: можно получить возврат денег за пополнение ИИС.

Вычет типа Б: можно освободиться от налога с продажи ценных бумаг независимо от даты их покупки. Как работает налоговый вычет по ИИС

Брокерский счет

Можно освободиться от налога с продажи ценных бумаг, если непрерывно продержать их на своем счете более 3 лет

Вывод со счета

ИИС

Вывести деньги можно только при закрытии ИИС. Если закрыть ИИС, не продержав его 3 года, то налоговые вычеты придется вернуть

Брокерский счет

Вывести деньги можно в любой момент

Пополнение счета

ИИС

Только в рублях и до 1 000 000 ₽ в год

Брокерский счет

Можно пополнять в разных валютах, а сумма пополнения не ограничена

Количество счетов

ИИС

ИИС должен быть только один. Если открыть два ИИС даже у разных брокеров, то права на налоговый вычет не будет

Брокерский счет

В Тинькофф Инвестициях можно открыть до 10 брокерских счетов, независимо от количества ваших счетов у других брокеров

Удержание налога

ИИС

Если выбрали вычет типа Б, то налога от продажи ценных бумаг не будет.

Если хотя бы один раз получили возврат за пополнение, то у вас ИИС типа А — тогда налог с дохода от сделок удержится, но только в момент закрытия счета. Пока деньги не ушли в налоговую, можно продолжать покупать на них ценные бумаги и получать доход

Брокерский счет

Налог от продажи бумаг удерживается в конце каждого календарного года

Уже существующий у вас брокерский счет превратить в индивидуальный инвестиционный счет не получится — нужно отдельно открывать именно ИИС. Какие ограничения есть у ИИС

Как заработать на ИИС?

На ИИС можно заработать двумя способами: получать налоговые вычеты от государства, а также торговать на бирже, как и с обычным брокерским счетом.

Налоговый вычет. Можно гарантированно получать до 52 000 ₽ в год, если вы платите НДФЛ и пополняете ИИС каждый год на 400 000 ₽ и больше. Если вы платите НДФЛ по ставке 15%, то размер вычета увеличивается до 60 000 ₽. Подробнее про налоговый вычет

Другой вариант вычета: можно освободить ваш доход по сделкам от налога. Этот вариант подойдет даже тем, кто не платит НДФЛ. Какие есть типы ИИС

Торговля на бирже. С помощью ИИС вы можете покупать и продавать валюту и ценные бумаги, а также получать по ним выплаты — купоны и дивиденды.

Налоговый вычет по ИИС — простой способ заработать на инвестициях, даже если вы только знакомитесь с миром биржевой торговли. Про то, о чем важно знать на этому пути, рассказали в бесплатном курсе «А как инвестировать». Из него вы узнаете, как избежать самых частых ошибок начинающих инвесторов, как защитить деньги от инфляции и собрать свой первый диверсифицированный портфель. Посмотреть курс

Как получить налоговый вычет?

Алгоритм действий будет зависеть от того, какой тип налогового вычета вы оформляете.

Вычет типа А (возврат денег за пополнение ИИС) — можно получить через личный кабинет на tinkoff.ru. Либо с помощью декларации 3-НДФЛ, которую можно подать на сайте ФНС или при личном визите в отделение налоговой. Подробнее про процесс получения вычета

Вычет типа Б (освобождение дохода от налога) — его можно получить через брокера при закрытии ИИС. Либо в налоговой инспекции — лично или онлайн.

Кому подойдет ИИС?

ИИС подойдет как только начинающим, так и опытным инвесторам, потому что он позволяет получать гарантированный доход в виде налогового вычета в качестве дополнения к основному доходу от инвестиционных сделок.

Начинающие инвесторы могут покупать на ИИС государственные облигации, акции крупных компаний и паи инвестиционных фондов. Опытные инвесторы — иностранные акции, высокодоходные облигации и фьючерсы.

Открыть ИИС может любой гражданин России старше 18 лет, который платит налоги в России и имеет статус налогового резидента РФ. Для этого необязательно иметь постоянную регистрацию (прописку), достаточно находиться на территории России не менее 183 дней в году. Открыть ИИС

Вы не сможете открыть ИИС без гражданства РФ, даже если вы живете на территории России и платите налоги в ее казну.

На сколько лет открывается ИИС?

ИИС открывается минимум на три года. Если вы захотите закрыть его до истечения этого срока, то потеряете право на налоговый вычет. А тот вычет, который уже успели получить, придется вернуть.

Например, если ИИС открыт 1 июня 2020 года, то без потери вычетов его можно закрыть 2 июня 2023 года или позже.

При этом через три года счет не закроется автоматически. Вы можете и дальше пользоваться индивидуальным инвестиционным счетом и продолжать получать ежегодные налоговые вычеты. Либо торговать на бирже с возможностью не платить налог при закрытии ИИС, если вы не оформляли по нему налоговый вычет на взносы.

Как открыть ИИС?

Заполните короткую форму онлайн — весь процесс займет всего несколько минут. В конце подпишите заявление-анкету кодом из СМС.

Подождите, пока мы проверим ваши данные и откроем счет: на это уйдет около часа, а в редких случаях — до одного рабочего дня. Когда ИИС будет готов, отправим вам СМС и письмо на электронную почту. Кто может открыть ИИС

Если у вас еще нет продуктов Тинькофф, в течение 1—2 дней наш представитель привезет вам договор и карту Tinkoff Black — она нужна, чтобы круглосуточно и без комиссии пополнять ИИС. Пока карту не привезли, можно пополнить ИИС с карты другого банка и сразу начать инвестировать.

Открыть ИИС

Какой тип ИИС выбрать?

Тип ИИС не обязательно выбирать сразу — это можно сделать даже через три года после открытия счета. Тогда вы сможете оценить доходность своих инвестиций и посчитать, какой тип налогового вычета будет выгоднее.

Выбор типа ИИС происходит в момент, когда вы подаете документы на получение налогового вычета по вашему индивидуальному инвестиционному счету. Как выбрать тип ИИС

Есть ли какая-то стратегия инвестирования, которой стоит придерживаться на ИИС?

Самая простая и очевидная стратегия — пополнять ИИС каждый год и получать доход в виде налогового вычета. А чтобы деньги не лежали без дела и приносили дополнительный доход, можно покупать государственные облигации ОФЗ — это самый низкорисковый инструмент на финансовом рынке. Кроме того, ОФЗ будут приносить дополнительный доход в виде регулярных купонных выплат.

Подробнее про ОФЗ

Что такое ДУ ИИС? В Тинькофф есть доверительное управление инвестиционным счетом?

Доверительное управление ИИС — это договор между вами и брокером, по которому брокер совершает сделки на вашем ИИС с целью получить доход. За это брокер берет определенное денежное вознаграждение.

В Тинькофф Инвестициях нет услуг по доверительному управлению активами.

Если вы не хотите уделять инвестициям много времени, откройте ИИС и пополняйте его раз в год, чтобы получать гарантированные налоговые вычеты. А чтобы деньги не лежали на счете без дела и приносили доход, купите фонды Тинькофф Капитал. Например, у нас есть фонды «Вечного портфеля» в рублях, долларах и евро. Они следуют стратегии покупки разных типов активов в равных долях: золота, акций, облигаций и валюты. Эти активы балансируют друг друга: когда какие‑то из них теряют в цене, другие, наоборот, растут. В итоге такая стратегия помогает получать прибыль в любых условиях: при росте, стагнации или спаде в экономике.

Один пай фонда от Тинькофф Капитал стоит около 10 ₽, а клиенты Тинькофф Инвестиций могут торговать такими паями без комиссии за сделки. Подробнее про фонды от Тинькофф Капитал

Что лучше: ИИС или ПИФ?

ИИС — это специальный инвестиционный счет со льготным налоговым режимом, которым вы управляете самостоятельно.

ПИФ — это паевой инвестиционный фонд, то есть отдельная организация, которой вы даете свои деньги, и уже она вкладывает их, следуя определенной стратегии. При этом вы не можете напрямую управлять активами фонда и менять состав портфеля. А за покупку и продажу паев, как правило, есть дополнительные надбавки в несколько процентов со стороны управляющей компании.

С другой стороны, паи некоторых фондов можно купить и на ИИС. Для этого придумали биржевые паевые инвестиционные фонды (БПИФ) — они торгуются на бирже как обычные акции, а один пай является частичкой всего имущества фонда.

Например, паи фондов «Вечного портфеля» от управляющей компании Тинькофф Капитал следуют стратегии покупки разных типов активов с целью получить доход при любой фазе рынка: росте, падении или застое в экономике. Один пай фонда стоит около 10 ₽, а клиенты Тинькофф Инвестиций могут торговать такими паями без комиссии за сделки. Подробнее про фонды от Тинькофф Капитал

Как обезопасить себя, чтобы не потерять деньги?

Пройдите наш бесплатный курс «А как инвестировать» — из него вы узнаете, как избежать самых частых ошибок начинающих инвесторов. Но если коротко, то вот несколько советов.

Диверсифицируйте — не вкладывайте все деньги в один актив, а лучше разложите их по разным инструментам. Собрать портфель из нескольких бумаг вам поможет наш робот-советник, а еще вы можете поискать варианты для вложений в разделе «Что купить» — в приложении Тинькофф Инвестиций и в личном кабинете на сайте tinkoff.ru. Как работает робот-советник

Инвестиционные идеи, подборки ценных бумаг от специалистов Тинькофф, а также другие инструменты, чтобы собрать свой первый инвестиционный портфель

Купите акции фондов — вместо того, чтобы покупать отдельные ценные бумаги. Это один из самых безопасных видов вложений для начинающего инвестора. Управляющие фондами имеют большой опыт работы на бирже, они сами подбирают и покупают ценные бумаги согласно заявленной стратегии.

Например, фонды от Тинькофф Капитал следуют за «Вечным портфелем» — это стратегия, базирующаяся на портфеле с равными долями активов, которые должны приносить доход независимо от текущего состояния на финансовых рынках. Подробнее про фонды от Тинькофф Капитал

Используйте торговые приказы — в приложении Тинькофф Инвестиций, а также в личном кабинете и в торговом терминале можно настроить специальные команды «стоп‑лосс» и «тейк‑профит». Они помогают ограничить убытки, когда ценные бумаги дешевеют, и вовремя зафиксировать прибыль, когда стоимость активов начинает расти. Подробнее про виды биржевых заявок

Как закрыть ИИС?

Закрыть счет можно в любой момент. Для этого в приложении Тинькофф Инвестиций на вкладке «Главная» нажмите на ваш ИИС → на экране этого счета в правом верхнем углу нажмите на значок ⚙️ → «Закрыть счет».

Если в момент закрытия ИИС на нем будут активы или деньги, мы автоматически откроем для вас отдельный брокерский счет в Тинькофф и переведем активы и деньги с ИИС туда.

Обычно процесс перевода занимает до нескольких рабочих дней, но иногда может занять и до 30 дней — в это время продать активы не получится даже в случае резкого изменения стоимости.

Помните, что если закрыть ИИС раньше, чем через 3 полных года с момента его открытия, вы потеряете право на налоговый вычет. А уже полученный вычет придется вернуть. Подробнее о том, как вывести деньги и закрыть ИИС

Получилось найти ответ?

Открыть индивидуальный инвестиционный счёт (ИИС) онлайн в «Открытие Инвестиции» для быстрого начала долгосрочного инвестирования

ИИС — брокерский счёт с налоговыми преимуществами

Особый инвестиционный счёт, владелец которого ежегодно может получать налоговые льготы от государства

Особенности

ИИС, помимо дохода от инвестиций, позволяет получить налоговую льготу на выбор — 13% от суммы взноса в виде вычета или освобождение дохода от НДФЛ

Откройте счёт прямо сейчас

С тарифом «Всё включено».
Без минимальных платежей. Подходит для быстрого старта.

Акции и облигации

0,08%

Обслуживание

0 ₽

O. InveStore!™

до 8% кэшбэк

Открыть счёт

Частые вопросы про индивидуальный инвестиционный счёт

Кто и как может открыть ИИС?

ИИС может открыть любой гражданин РФ, которому исполнилось 18 лет и который обладает статусом налогового резидента. В законодательстве нет ограничений на открытие ИИС госслужащими или их родственниками.

Можно ли открыть два ИИС для разных типов вычета?

Один человек одновременно может владеть только одним ИИС. По закону, если вы открыли второй ИИС, то в течение месяца обязаны закрыть первый счёт.

Как выбрать тип вычета?

Вычет типа А подходит тем, у кого есть постоянный доход, с которого уплачивается НДФЛ. С помощью вычета можно будет ежегодно получать дополнительный доход от государства: вам будут возвращать те самые 13% подоходного налога.
Вычет типа Б выбирают те, кто не платит НДФЛ или планирует получить прибыль от владения ИИС больше 400 000 ₽ в год.

Когда я получу вычет?

Вы можете получать вычет типа А ежегодно по мере пополнения ИИС или через три года, сразу за весь срок. Обычно от подачи декларации до получения денег на счёт проходит около 4 месяцев.

 

Когда нужно выбрать тип вычета?

Вы не обязаны выбирать тип вычета при открытии счёта. Можно подумать и посчитать,
какой тип вычета принесёт больше выгоды, уже в процессе владения счётом. Но не
затягивайте с решением: если выберете тип А, сможете получить вычет максимум за 3
прошедших года.
Если выберете тип Б, подавать декларацию и заявление на вычет вы сможете уже через
год. Но будьте внимательны: если затем закроете ИИС раньше установленных 3 лет,
полученные ранее вычеты придётся вернуть.

Могу ли я поменять тип вычета?

Поменять уже выбранный тип вычета не получится. Если вы хотите применить другой тип
вычета, придётся открыть другой ИИС, а текущий закрыть в течение месяца.

Обязательно ли через 3 года закрывать ИИС?

Нет, вы можете владеть ИИС так долго, как захотите. На длительной дистанции ИИС работает не хуже, чем в первые три года.

Как получить налоговый вычет по ИИС?

Вычет можно получить через брокера или управляющего – нужно лишь предоставить справку из налоговой службы (ИФНС) до закрытия ИИС. 
Также вы можете оформить вычет самостоятельно, предоставив декларацию 3-НДФЛ в налоговую инспекцию по истечении календарного года, когда вы закрыли ИИС.

Как подать налоговую декларацию в электронном виде?

После получения необходимых для оформления налогового вычета документов в электронном виде следует войти в личный кабинет налогоплательщика на сайте Федеральной налоговой службы (возможен вход через портал «Госуслуги»).

Подробная пошаговая инструкция доступна по ссылке.

Как подать в ФНС налоговую декларацию на бумаге?

Подробная пошаговая инструкция по ссылке

 

В какие сроки нужно подать декларацию для получения вычета?

После выбора вычета вы можете претендовать на него уже на следующий год. Подайте декларацию 3-НДФЛ и приложите подтверждающие документы. Для каждого года действует разная форма декларации.

Декларацию можно предоставить в течение 3 лет после истечения налогового периода. Например, декларацию за 2019 год можно подать до 2022 года.

Общие сведения о встроенных учетных записях пользователей и групп в IIS 7

Редактировать

Твиттер LinkedIn Фейсбук Электронная почта

• Статья
• 14.05.2020

by Saad Ladki

Введение

В более ранних версиях IIS во время установки создается локальная учетная запись с именем IUSR_MachineName. IIS использовал учетную запись IUSR_MachineName по умолчанию всякий раз, когда была включена анонимная проверка подлинности. Это использовалось службами FTP и HTTP.

Также существовала группа под названием IIS_WPG, которая использовалась в качестве контейнера для всех идентификаторов пула приложений. Во время установки IIS всем соответствующим ресурсам в системе были предоставлены правильные права пользователя для группы IIS_WPG, поэтому администратору нужно было только добавить свое удостоверение в эту группу при создании новой учетной записи пула приложений.

Эта модель работала хорошо, но имела свои недостатки: учетная запись IUSR_MachineName и группа IIS_WPG были локальными по отношению к системе, в которой они были созданы. Каждой учетной записи и группе в Windows присваивается уникальный номер, называемый идентификатором безопасности (SID), который отличает их от других учетных записей. При создании ACL используется только SID. В более ранних версиях IIS IUSR_MachineName был включен в файл metabase.xml, так что если вы попытаетесь скопировать файл metabase.xml с одного компьютера на другой, он не сработает. Учетная запись на другом компьютере будет иметь другое имя.

Кроме того, вы не могли ‘xcopy /o’ списки ACL с одного компьютера на другой, так как идентификаторы SID различались от компьютера к компьютеру. Одним из обходных путей было использование учетных записей домена, но для этого требовалось добавить активный каталог в инфраструктуру. У группы IIS_WPG были аналогичные проблемы с правами пользователя. Если вы настроите ACL в файловой системе одного компьютера для IIS_WPG и попытаетесь ‘xcopy /o’ их перенести на другой компьютер, это не удастся. Этот опыт был улучшен в IIS 7 и более поздних версиях за счет использования встроенной учетной записи и группы.

Операционная система гарантирует, что встроенная учетная запись и группа всегда будут иметь уникальный SID. IIS 7 и более поздние версии пошли дальше и гарантируют, что фактические имена, используемые новой учетной записью и группой, никогда не будут локализованы. Например, независимо от языка устанавливаемой Windows имя учетной записи IIS всегда будет IUSR, а имя группы — IIS_IUSRS.

Итак, IIS 7 и выше предлагают следующее:

• Встроенная учетная запись IUSR заменяет учетную запись IUSR_MachineName.
• Встроенная группа IIS_IUSRS заменяет группу IIS_WPG.

Учетной записи IUSR больше не требуется пароль, поскольку это встроенная учетная запись. Логически вы можете думать об этом так же, как об учетных записях NETWORKSERVICE или LOCALSERVICE. Как новая учетная запись IUSR, так и группа IIS_IUSRS более подробно обсуждаются в следующих разделах.

Общие сведения о новой учетной записи IUSR

Учетная запись IUSR заменяет учетную запись IUSR_MachineName в IIS 7 и выше. Учетная запись IUSR_MachineName по-прежнему будет создана и использоваться, если вы установите сервер, совместимый с FTP 6, который входит в состав Windows Server 2008. Если вы не установите FTP-сервер, включенный в состав Windows Server 2008, эта учетная запись не будет создана.

Для этой встроенной учетной записи не требуется пароль, и она будет использоваться по умолчанию, когда включена анонимная проверка подлинности. Если вы посмотрите в файл applicationHost.config, вы увидите следующее определение:

Это указывает IIS использовать новую встроенную учетную запись для всех анонимных запросов проверки подлинности. Самые большие преимущества заключаются в том, что вы можете:

• Установить разрешения файловой системы для учетной записи IUSR с помощью проводника Windows или любого из множества инструментов командной строки.
• Больше не нужно беспокоиться об истечении срока действия паролей для этой учетной записи.
• Используйте xcopy /o для беспрепятственного копирования файлов вместе с информацией об их владении и ACL на разные компьютеры.

Примечание

Учетная запись IUSR похожа на LOCALSERVICE в том смысле, что она действует анонимно в сети. Учетные записи NETWORKSERVICE и LOCALSYSTEM могут действовать как удостоверение компьютера, но учетная запись IUSR не может, поскольку для этого потребуется повышение прав пользователя. Если вам нужно, чтобы анонимная учетная запись имела права в сети, вы должны создать новую учетную запись пользователя и установить имя пользователя и пароль вручную, как вы делали в прошлом для анонимной аутентификации.

Чтобы предоставить права анонимной учетной записи в сети с помощью диспетчера IIS:

1. Нажмите Пуск , введите INetMgr.exe , а затем нажмите Введите . При появлении запроса нажмите Продолжить , чтобы повысить свои разрешения.
2. В разделе Connections нажмите кнопку + рядом с именем вашего компьютера.
3. В диспетчере IIS дважды щелкните сайт, которым вы хотите управлять.
4. В представлении функций дважды щелкните Аутентификация .
5. Выберите Анонимная аутентификация и нажмите Изменить на панели Действия .
6. В диалоговом окне Редактировать учетные данные анонимной аутентификации выберите параметр Конкретный пользователь , а затем щелкните Задать .
7. В диалоговом окне Set Credentials введите желаемое имя пользователя и пароль, а затем нажмите OK .

Общие сведения о новой группе IIS_IUSRS

Группа IIS_IUSRS заменяет группу IIS_WPG. Эта встроенная группа имеет доступ ко всем необходимым файловым и системным ресурсам, поэтому учетная запись, добавленная в эту группу, может беспрепятственно выступать в качестве удостоверения пула приложений.

Как и встроенная учетная запись, эта встроенная группа устраняет несколько препятствий при развертывании xcopy. Если вы установите разрешения для своих файлов для группы IIS_WPG (которая была доступна в системах IIS 6.0) и попытаетесь скопировать эти файлы на другой компьютер Windows, SID группы будет отличаться на разных компьютерах, и конфигурации вашего сайта будут нарушены.

Поскольку SID группы в IIS 7 и более поздних версиях одинаков во всех системах под управлением Windows Server 2008, вы можете использовать «xcopy /o», чтобы сохранить списки управления доступом и информацию о владельце при перемещении файлов с компьютера на компьютер. Это упрощает развертывание xcopy.

IIS 7 и более поздние версии также упрощают процесс настройки удостоверения пула приложений и упрощают все необходимые изменения. Когда IIS запускает рабочий процесс, ему необходимо создать токен, который будет использоваться процессом. Когда этот токен создается, IIS автоматически добавляет членство в IIS_IUSRS к токену рабочих процессов во время выполнения. Учетные записи, работающие как «удостоверения пула приложений», больше не должны быть явной частью группы IIS_IUSRS. Это изменение поможет вам настроить ваши системы с меньшим количеством препятствий и сделает ваш общий опыт более благоприятным.

Если вы хотите отключить эту функцию и вручную добавить учетные записи в группу IIS_IUSRS, отключите эту новую функцию, задав для параметра manualGroupMembership значение « true ». В следующем примере показано, как это можно сделать для defaultAppPool :

 
    <добавить имя="DefaultAppPool">
        
    

 

удостоверений пула приложений | Microsoft Learn

• Статья
• 14. 06.2022

Томас Демл

Независимо от того, используете ли вы свой сайт на собственном сервере или в облаке, безопасность должна стоять на первом месте в вашем списке приоритетов. Если это так, вы будете рады узнать, что IIS имеет функцию безопасности, называемую идентификатором пула приложений. Эта функция была представлена ​​в пакете обновления 2 (SP2) для Windows Server 2008 и Windows Vista. Удостоверение пула приложений позволяет запускать пул приложений под уникальной учетной записью без необходимости создавать доменные или локальные учетные записи и управлять ими. Имя учетной записи пула приложений соответствует имени пула приложений. На изображении ниже показан рабочий процесс IIS (W3wp.exe), работающий в качестве удостоверения DefaultAppPool.

Учетные записи удостоверений пула приложений

Рабочие процессы в IIS 6.0 и IIS 7 по умолчанию запускаются как сетевая служба. Сетевая служба — это встроенный идентификатор Windows. Он не требует пароля и имеет только права пользователя; то есть он относительно низко привилегирован. Запуск от имени учетной записи с низким уровнем привилегий является хорошей практикой безопасности, поскольку тогда злоумышленник не сможет использовать программную ошибку для захвата всей системы.

Однако со временем возникла проблема, поскольку все больше и больше системных служб Windows начинали работать как сетевые службы. Это связано с тем, что службы, работающие как сетевые службы, могут вмешиваться в работу других служб, работающих под тем же идентификатором. Поскольку рабочие процессы IIS по умолчанию запускают сторонний код (классический код ASP, ASP.NET, PHP), пришло время изолировать рабочие процессы IIS от других системных служб Windows и запускать рабочие процессы IIS под уникальными идентификаторами. Операционная система Windows предоставляет функцию, называемую «виртуальными учетными записями», которая позволяет IIS создавать уникальные идентификаторы для каждого из своих пулов приложений. Дополнительные сведения о виртуальных учетных записях см. в разделе Пошаговое руководство по учетным записям служб.

Настройка удостоверений пула приложений IIS

Если вы используете IIS 7.5 на Windows Server 2008 R2 или более позднюю версию IIS, вам не нужно ничего делать, чтобы использовать новое удостоверение. Для каждого создаваемого пула приложений свойство Identity нового пула приложений по умолчанию имеет значение ApplicationPoolIdentity . Процесс администрирования IIS (WAS) создаст виртуальную учетную запись с именем нового пула приложений и по умолчанию запустит рабочие процессы пула приложений под этой учетной записью.

Чтобы использовать эту виртуальную учетную запись при запуске IIS 7.0 на Windows Server 2008, необходимо изменить свойство Identity создаваемого пула приложений на ApplicationPoolIdentity . Вот как:

1. Откройте консоль управления IIS (INETMGR.MSC).

2. Откройте узел Application Pools под узлом Machine. Выберите пул приложений, который вы хотите изменить для запуска под автоматически сгенерированным идентификатором пула приложений.

3. Щелкните правой кнопкой мыши пул приложений и выберите Дополнительные параметры

4. Выберите элемент списка Identity и щелкните многоточие (кнопка с тремя точками).

5. Появится следующее диалоговое окно:

6. Нажмите кнопку Встроенная учетная запись, а затем выберите тип удостоверения ApplicationPoolIdentity в поле со списком.

Чтобы выполнить тот же шаг с помощью командной строки, вы можете вызвать инструмент командной строки appcmd следующим образом:

 %windir%\system32\inetsrv\appcmd.exe установить AppPool <ваш AppPool> -processModel.identityType:ApplicationPoolIdentity
 

Защита ресурсов

Всякий раз, когда создается новый пул приложений, процесс управления IIS создает идентификатор безопасности (SID), представляющий имя самого пула приложений. Например, если вы создаете пул приложений с именем «MyNewAppPool», в системе безопасности Windows создается идентификатор безопасности с именем «MyNewAppPool». С этого момента ресурсы могут быть защищены с помощью этого удостоверения. Однако личность не является реальной учетной записью пользователя; он не будет отображаться как пользователь в консоли управления пользователями Windows.

Вы можете попробовать это, выбрав файл в проводнике Windows и добавив идентификатор «DefaultAppPool» в список управления доступом (ACL) файла.

1. Открыть проводник Windows

2. Выберите файл или каталог.

3. Щелкните файл правой кнопкой мыши и выберите Свойства

4. Выберите вкладку Безопасность

5. Нажмите кнопку Изменить , а затем кнопку Добавить

6. Нажмите кнопку Locations и убедитесь, что вы выбрали свой компьютер.

7. Введите IIS AppPool\DefaultAppPool в поле Введите имена объектов для выбора: .

8. Нажмите кнопку Проверить имена и нажмите OK .

Сделав это, выбранный файл или каталог теперь также будет разрешать доступ к идентификатору DefaultAppPool .

Это можно сделать через командную строку с помощью инструмента ICACLS. В следующем примере предоставляется полный доступ к удостоверению DefaultAppPool.

 ICACLS test.txt /grant "IIS AppPool\DefaultAppPool:F"
 

Для получения дополнительной информации см. ICACLS.

В Windows 7 и Windows Server 2008 R2, а также в более поздних версиях Windows по умолчанию пулы приложений запускаются в качестве удостоверения пула приложений. Для этого был введен новый тип удостоверения с именем «AppPoolIdentity». Если выбран тип удостоверения «AppPoolIdentity» (по умолчанию в Windows 7 и Windows Server 2008 R2 и более поздних версиях), IIS будет запускать рабочие процессы в качестве удостоверения пула приложений. Для любого другого типа удостоверения идентификатор безопасности будет внедрен только в токен доступа процесса. Если идентификатор введен, контент все еще может быть включен в ACL для ApplicationPoolIdentity, но владелец маркера, вероятно, не уникален. Дополнительные сведения об этой концепции см. в записи блога Новое в IIS 7 — изоляция пула приложений.

Доступ к сети

Использование учетной записи сетевой службы в доменной среде имеет большое преимущество. Рабочий процесс, работающий как сетевая служба, получает доступ к сети как учетная запись компьютера. Учетные записи компьютеров создаются, когда компьютер присоединяется к домену. Выглядят они так:

 \$,
 

Например:

 мойдомен\машина1$
 

Хорошая вещь в этом заключается в том, что сетевые ресурсы, такие как общие файловые ресурсы или базы данных SQL Server, могут быть включены в ACL, чтобы разрешить доступ этой учетной записи компьютера.

Как насчет удостоверений пула приложений?

Хорошей новостью является то, что удостоверения пула приложений также используют учетную запись компьютера для доступа к сетевым ресурсам. Никаких изменений не требуется.

Проблемы совместимости с идентификаторами пула приложений

Руководящая документация

Самая большая проблема совместимости с идентификаторами пула приложений, вероятно, связана с более ранними руководящими документами, в которых явно рекомендуется использовать ресурсы ACL для сетевой службы, то есть идентификатор по умолчанию DefaultAppPool в IIS 6.0. и ИИС 7.0. Клиенты должны будут изменить свои сценарии на ACL для «IIS AppPool\DefaultAppPool» (или другое имя пула приложений) при работе в IIS 7.5 или более поздней версии (см. приведенный выше пример, как это сделать).

Профиль пользователя

IIS не загружает профиль пользователя Windows, но некоторые приложения все равно могут использовать его для хранения временных данных.