3

我遵循了这两个问题:

IIS 7.5 App Pool Identity 权限未分配给文件夹,但应用程序仍然可以写入其文件夹?

IIS AppPoolIdentity 和文件系统写访问权限

尝试了解如何隔离 IISApplicationPoolIdentity用户,尽管他们是Users几乎在任何地方都具有读取访问权限的组的成员。

我认为App Pool\myapp只能读取站点的内容(或读取/写入其虚拟目录)应该更安全,但是在不Users从任何地方删除组 ACL 的情况下做到这一点的最佳做法是什么?我的 Windows 服务器默认设置在卷 acl 上具有“用户”组,具有读取访问权限并继承到所有文件夹...

4

2 回答 2

1

Kev 在您链接到的答案中也回答了这个问题。您最好在单独的非系统驱动器上设置您的 Web 根目录。在那里,您可以从顶级删除Users组,并将每个站点的主文件夹的权限授予各自的应用程序池标识。

于 2014-03-20T23:09:29.293 回答
1

AMit - 这仍然不能解决他的网络应用程序几乎可以读取 c:/ 驱动器上的任何文件的问题。但它甚至比这更糟糕。Web 应用程序可以写入 c:/ 驱动器。因为用户组有权这样做......

这是微软设计中的一个基本安全漏洞。我自己一直在寻找解决方案,但还没有找到。

将网站放在不同的分区上是通过默默无闻的安全性......这基本上根本没有安全性 - 而仅仅是希望他们找不到......

于 2016-01-14T21:58:01.343 回答