0

我正在寻找来自 Microsoft 的最佳实践、受支持的指南或相同的博主/开发人员指南。或两者。

我正在设置一些用于托管的服务器,并且我想为它们配置足够的权限。我之前已经这样做了,我修改了中信任并赋予它数据库权限等,但我只是简要介绍了它。

我想设置具有人们使用的相应通用权限的可靠机器。是否有资源可以详细解释每个信任级别默认具有的内容?这样我就可以比较并从那里开始。

为了启动安全性,我在我的机器上制定了一条规则,即我只为每个站点/用户创建专用的应用程序池。我知道微软说每个网站实际上都是独立的,即使在共享应用程序池空间中也是如此,但我就是不相信它。

我也知道我不应该在完全信任下运行,因为我正在向各种攻击开放我的服务器。

我对此有一些了解,但还不够,所以希望你们能帮助我。我不想被勺子喂食该做什么,我没有问题弄清楚,我只是找不到开始的信息。

我感谢您的帮助。

安东尼

我正在运行:Windows 2008 RC2 64 位,带有 IIS7.5 以及 2.0/3.5 和 4.0 应用程序池的组合。

4

1 回答 1

0

严格的最佳实践是“不要让任何事情对任何事情做任何事情”,但这通常会适得其反——如果您不接受 HTTP 请求,那么您就没有工作的 HTTP 应用程序服务器。

也就是说,您的问题非常笼统且非常模糊。第一个关键问题是“这是一种什么样的托管方案?” 例如,完全信任在专用场景中不一定是坏事,甚至在应该相互信任的“友好”应用程序之间共享服务器。但在酒店服务器情况下,您有随机客人共享空间,这很糟糕。

第二个问题是您托管什么样的应用程序?根据您所做的事情,您的正面完全不同——垃圾邮件发送者不会像窃贼那样努力。间谍更加努力。

于 2011-03-08T00:41:29.293 回答