我遵循了这两个问题:
尝试了解如何隔离 IISApplicationPoolIdentity
用户,尽管他们是Users
几乎在任何地方都具有读取访问权限的组的成员。
我认为App Pool\myapp
只能读取站点的内容(或读取/写入其虚拟目录)应该更安全,但是在不Users
从任何地方删除组 ACL 的情况下做到这一点的最佳做法是什么?我的 Windows 服务器默认设置在卷 acl 上具有“用户”组,具有读取访问权限并继承到所有文件夹...
我遵循了这两个问题:
尝试了解如何隔离 IISApplicationPoolIdentity
用户,尽管他们是Users
几乎在任何地方都具有读取访问权限的组的成员。
我认为App Pool\myapp
只能读取站点的内容(或读取/写入其虚拟目录)应该更安全,但是在不Users
从任何地方删除组 ACL 的情况下做到这一点的最佳做法是什么?我的 Windows 服务器默认设置在卷 acl 上具有“用户”组,具有读取访问权限并继承到所有文件夹...
Kev 在您链接到的答案中也回答了这个问题。您最好在单独的非系统驱动器上设置您的 Web 根目录。在那里,您可以从顶级删除Users
组,并将每个站点的主文件夹的权限授予各自的应用程序池标识。
AMit - 这仍然不能解决他的网络应用程序几乎可以读取 c:/ 驱动器上的任何文件的问题。但它甚至比这更糟糕。Web 应用程序可以写入 c:/ 驱动器。因为用户组有权这样做......
这是微软设计中的一个基本安全漏洞。我自己一直在寻找解决方案,但还没有找到。
将网站放在不同的分区上是通过默默无闻的安全性......这基本上根本没有安全性 - 而仅仅是希望他们找不到......