为什么网站在权限较低的用户帐户(IUSR_ComputerName)下运行?

时间:2010-03-05 22:08:01

标签: security iis web

通常我们定义iis网站,允许匿名身份验证在IUSR_ComputerName帐户下运行,该帐户具有非常有限的权限。例如,我们可能会认为它无法访问文件系统。这如何使我们的网站更安全?用户无论如何都无法在其上运行代码 - 只有我们的网站代码运行,我们确保它不会造成任何伤害。

编辑:我理解为什么安全起见是好事(例如iis exploit)。我的问题是,是否有任何直接原因。例如,如果我永远不会在sql服务器上为访客帐户提供完全权限,因为它会立即允许他完全控制我的服务器。这似乎不是iis的情况。

4 个答案:

答案 0 :(得分:2)

  

我们确保它不会导致任何问题   害

你永远不能确定它不会造成任何伤害。有一天,它可能会被利用,可能是权限较低的用户会保存您的数据。没有冒犯,但没有人写出完美的代码,因此没有代码是无漏洞的。

答案 1 :(得分:1)

如果您有任何网络服务,您应该假设互联网上的某个随机人员在您的计算机上运行该命令提示符作为该服务的所有者。

现在问一下用户的好处是什么?

答案 2 :(得分:0)

通常情况下,您可能需要以一种从安全角度来看比使用域服务器或交换机稍微不那么强化的方式运行您的网站。例如,您可能需要允许FTP访问。显然,需要从Internet访问Internet网站,因此您不能简单地阻止所有访问防火墙。

由于漏洞较高,因此使用权限有限的帐户运行服务是明智的。如果恶意用户成功复制了自己的程序以在您的服务器上运行,那么这些程序将对他们可以做的事情有严重的限制。

答案 3 :(得分:0)

您可以在服务器上运行代码,例如,如果未设置权限,您可以删除目录中的文件。