我遵循了以下两个问题:
为了尝试理解如何隔离IIS ApplicationPoolIdentity 用户,尽管他们是具有几乎遍布读取访问权限的 Users 组的成员。
我认为比较安全的做法是 App Pool\myapp 只能读取站点内容(或读/写其虚拟目录),但最好的做法是在不删除 Users 组ACL的情况下实现这一点??我的Windows服务器默认将“users”组放在所有卷的ACL上,并继承到所有文件夹...
应用程序池标识、用户组和IIS隔离
3
- pfab.io
2
2个回答
1
AMit - 这仍然不能解决他的Web应用程序可以读取C:/驱动器上几乎任何文件的问题。但更糟糕的是,Web应用程序可以写入C:/驱动器。因为用户组具有此权限...这是Microsoft设计中的根本安全漏洞。我一直在寻找解决方案,但尚未找到。
将网站放在不同分区中只是通过模糊来保护安全性...这基本上根本没有安全性 - 只是希望他们不要发现...
- Zack A
1
这个问题也在你链接的Kev的答案中得到了解答。最好将网站根目录设置在一个单独的非系统驱动器上。在那里,您可以从顶级中删除“Users”组,并仅向各个站点的主文件夹授予相应应用程序池标识的权限。
- Amit Naidu
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 16 在Power Shell脚本中获取IIS的应用程序池身份标识
- 3 IIS 应用程序池和缓存
- 22 当IIS应用程序池标识设置为ApplicationPoolIdentity时,如何设置应用程序池标识用户区域设置?
- 10 IIS 应用程序池和静态类
- 6 使用IISWASOnlyAesProvider生成加密的IIS应用程序池标识密码
- 11 IIS 8.5: 应用程序池虚拟账户(IIS AppPool\{应用程序池名称})不可用。
- 90 IIS应用程序池、工作进程和应用程序域
- 59 IIS应用程序使用应用程序池标识丢失主令牌?
- 5 使用IIS应用程序池标识帐户配置SQL Server 2008的集成安全性
- 4 无法找到IIS应用程序池标识
Users组具有访问权限的所有数据?”- 您能确认一下吗? - Kev