应用程序池标识、用户组和 iis 隔离

Question

我关注了这两个问题：

IIS 7.5 App Pool Identity permission not assigned to folder, but application still can write to its folder?

IIS AppPoolIdentity and file system write access permissions

尝试了解如何隔离 IIS ApplicationPoolIdentity 用户，尽管他们是 Users 组的成员，几乎在任何地方都具有读取权限。

我认为 App Pool\myapp 只能读取站点的内容（或读取/写入其虚拟目录）应该更安全，但是在不删除 Users 组 ACL 的情况下这样做的最佳做法是什么来自四面八方？？我的 Windows 服务器默认设置在卷 acl 上具有“用户”组，具有读取权限并继承到所有文件夹...

Answer 1

Amit - 这仍然不能解决他的网络应用程序几乎可以读取 c:/ 驱动器上的任何文件的问题。但它甚至比这更糟糕。 Web 应用程序可以写入 c:/ 驱动器。因为用户组有权这样做...

这是 Microsoft 设计中的一个基本安全漏洞。我自己一直在寻找解决方案，但还没有找到。

将网站放在不同的分区上是通过默默无闻的安全性...这基本上根本没有安全性-而仅仅是希望他们找不到...

Answer 2

Kev 在您链接到的答案中也回答了这个问题。您最好在单独的非系统驱动器上设置您的 Web 根目录。在那里，您可以从顶层删除 Users 组，并将每个站点的主文件夹的权限仅授予相应的应用程序池标识。