Идентификация пула приложений, группа пользователей и изоляция iis

Я следовал этим двум вопросам:

Пул приложений IIS 7.5 Разрешение на доступ к папке не назначено, но приложение по-прежнему может писать в свою папку?

IIS AppPoolIdentity и права доступа на запись файловой системы

Попытаться понять, как можно изолировать пользователей IIS ApplicationPoolIdentity, хотя они являются членами группы Users, имеющей доступ на чтение практически везде.

Я думаю, что должно быть более безопасно, чтобы App Pool\myapp мог только читать содержимое сайта (или читать/записывать его виртуальный каталог), но как лучше всего сделать это, не удаляя ACL группы Users отовсюду?? по умолчанию мой сервер Windows имеет группу «пользователи» на томах acl с доступом для чтения и наследует все папки ...


security acl iis applicationpoolidentity
person paolofabio    schedule 09.09.2013    source источник
comment
У меня возникли проблемы с пониманием вопроса, начинающегося со слов «Правда ли, что сайты и вообще...», не могли бы вы переписать это. Я думаю, вы пытаетесь спросить: Как мне запретить пользователю удостоверения пула приложений читать данные везде на сервере, к которому у группы Users есть доступ? - вы можете это подтвердить?   -  person Kev    schedule 10.09.2013
comment
отбросить это, да, я подтверждаю :)   -  person paolofabio    schedule 10.09.2013

Ответы (2)


arrow_upward
1
arrow_downward

На этот вопрос также ответил Кев в ответе, на который вы ссылаетесь. Вам желательно настроить свой веб-корень на отдельном несистемном диске. Там вы можете удалить группу Users с верхнего уровня и предоставить права на домашнюю папку каждого сайта только соответствующим идентификаторам пула приложений.

person Amit Naidu    schedule 20.03.2014

arrow_upward
1
arrow_downward

AMit — это все еще не решает проблему, что его веб-приложение может читать практически любой файл на диске c:/. Но это еще хуже. Веб-приложение может ЗАПИСАТЬ на диск c:/. Поскольку у группы пользователей есть разрешение на это...

Это фундаментальный недостаток безопасности в дизайне Microsoft. Я сам искал решение и пока не нашел его.

Размещение веб-сайта в другом разделе - это безопасность через неизвестность ... Что, по сути, вообще не является безопасностью - скорее простая надежда на то, что они не найдут ...

person Zack A    schedule 14.01.2016