我遵循了这两个问题:
IIS AppPoolIdentity and file system write access permissions
尝试了解如何隔离IIS ApplicationPoolIdentity用户,尽管他们是Users组的成员,几乎无处不在。
我认为App Pool\myapp只能读取网站内容(或读取/写入其虚拟目录)应该更加安全,但最佳做法是在不删除{{1}的情况下执行此操作来自各地的组ACL?我的Windows服务器默认设置有"用户"具有读访问权限的卷acl上的组并继承到所有文件夹...
答案 0 :(得分:1)
此问题也在Kev与您联系的答案中得到了回答。您最好将Web根目录设置在单独的非系统驱动器上。在那里,您可以从顶层删除Users组,并将每个站点的主文件夹的权限授予相应的应用程序池标识。
答案 1 :(得分:1)
AMit - 仍然无法解决他的网络应用几乎可以读取c:/驱动器上的任何文件的问题。但它甚至比这更糟糕。 Web应用程序可以写入c:/驱动器。因为用户组有权这样做......
这是微软设计中的一个基本安全漏洞。我自己一直在寻找解决方案,但却找不到解决方案。
将网站放在不同的分区上是安全性的晦涩......基本上没有任何安全性 - 而只是希望他们找不到...