iis7以上版本权限控制
2018-04-12 12:11 狼人:-) 阅读(1079) 评论(0) 编辑 收藏 举报https://www.cnblogs.com/wawahaha/p/4328858.html
http://www.cnblogs.com/wanernet/archive/2013/06/15/3137060.html
https://blog.csdn.net/wdx1632/article/details/70243971
IIS7.5中(仅win7,win2008 SP2,win2008 R2支持),应用程序池的运行帐号,除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外,还新 增了一种ApplicationPoolIdentify
win7的官方帮助上是这么说的:
动态创建“应用程序池标识”帐户,因此,此帐户对于您的应用程序来说是最安全的。
也就是说"ApplicationPoolIdentity"帐号是系统动态创建的“虚拟”帐号(说它是虚拟的,是因为在用户管理里看不到该用户或用户组,在命令行下输入net user也无法显示,但该帐号又是确实存在的)
如何验证该帐号确实是存在的的?打开任务管理器,观察一下:
w3wp.exe即iis进程,上图中高亮部分表明该iis进程正在以帐号luckty运行(注意这里的luckty即为上图中的应用程序池名称)
好了,搞清楚这个有什么用?
先来做一个测试,比如我们在iis里新建一个站点,主目录设置为c:\2\,应用程序池就指定刚才图中的luckty
假如我们在该站点的default.aspx.cs里写入这样一行代码 :
File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString());
前提是c盘必须先建一个目录TestDir,同时除Administrator,System保留完全控制权外,其它帐号的权限都删除掉
运行后,会提示异常: 对路径“C:\TestDir\1.txt”的访问被拒绝。
原因很明显:该站点运行时是以应用程序池(luckty)对应的虚拟帐号运行的,而这个虚拟帐号不具备c:\TestDir的访问权限
这种情况在web服务器(iis6)安全配置中很常见,比如我们把图片上传目录,常常放在主目录之外,同时以虚拟目录形式挂于站点之下,另外在IIS6中不指定该目录任何执行权限 ,这样即使有人非法上传了asp/aspx木马上去,也无法运行搞不成破坏!
言 归正传,要想让那一行测试代码正常运行,解决办法很简单,把虚拟帐号的权限加入文件夹安全权限中即可,但是问题来了:这个虚拟帐号我们是不可见的,如果你 直接添加名为luckty的用户到文件夹安全帐号里,根本通不过(提示找不到luckty用户),说明这个虚拟帐号名称并不是"luckty"
关键:手动输入 IIS AppPool\luckty (即IIS AppPool\应用程序池名),再确定,这回ok了.
当然除了用"IIS AppPool\应用程序池名"外,windows内部还有一个特殊的用户组Authenticated Users,把这个组加入TestDir的安全权限帐号里也可以,不过个人觉得没有"IIS AppPool\应用程序池名"来得精确.
结束语:
IIS7.5的虚拟帐号设计确实很棒,想想传统IIS6的时候,为了把同一服务器上的各站点权限分开(以防止木马捣乱), 不得不创建一堆iuser_XXX,iwam_XXX帐号并指定密码,再一个个站点分配过去,累死人!而虚拟帐号设计则让这类管理轻松多了,也不用担心密 码过于简单或过期问题。So,还在等什么,赶紧升级到win7/win2008 R2吧!
转载:http://www.cnblogs.com/yjmyzz/archive/2009/10/26/1590033.html
设置完后再设置
选择网站>IIS>身份验证>匿名身份验证>应用程序池标志
WIN2008 R2+IIS7.5 权限设置
代码写完, 发布,上服务器了。
头痛的是第一次接触IIS7.5,一堆的网站目录权限设置,network_service,IUSER等等。还得都给所有权限。顿时崩溃了。
无意间朋友给了篇园子里的文章
IIS7.5中神秘的ApplicationPoolIdentity
顿时舒畅。由于设置过程中有点点小问题,上篇文章描述不是太仔细。
现在重新整理发下。
废话不说,上图
请注意:本文只适合win7,win2008 SP2,win2008 R2支持及以上
第一步:选择应用池,高级
第二步:
第三步:选择站点》身份认证
匿名身份认证,编辑
第四步:设置网站目录权限
请注意:这里必须手工输入 IIS AppPool\ws09(即:IIS AppPool\应用程序池名)
ok,全部搞定
经测试,文件读写,删除,编辑,目录读写、删除、编辑,无任何问题。
注意:多个应用池,需要在网站目录中设置多个虚拟账号
Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置
系统目录
确保所有盘符都是NTFS格式,如果不是,可以用命令 convert d:/fs:ntfs 转换为NTFS格式。
所有磁盘根目录只给system和administrators权限,其它删除。
其中系统盘符会有几个提示,直接确定就可以了。在做这步操作之前,你的运行环境软件必须都安装好以后才能做。不然可能会导致软件安装错误,记住一点所有安全性的操作设置都必须在软件安装完以后才能进行。
站点目录
每个网站对应一个目录,并为这个网站目录加上IUSR和IIS_IUSRS权限,都只给“列出文件夹内容”和“读取”权限。
例如我在D盘根目录下创建了一个wwwroot的目录,再在里面创建了一个blog.postcha.com的目录,这个目录里面放的是我的网站程序。其中wwwroot只要继存d盘的权限即可,而blog.postcha.com这个目录,我们需要再添加二个权限,即IUSR和IIS_IUSRS。
wwwroot权限:
站点目录权限:
一般的网站都有上传文件、图片功能,而用户上传的文件都是不可信的。所以还要对上传目录作单独设置。上传目录还需要给IIS_IUSRS组再添加“修改”、“写入”权限。
经过上面这样设置承在一个执行权限,一旦用户上传了恶意文件,我们的服务器就沦陷了,但是我们这里又不能不给,所以我们还要配合IIS来再设置一下。
在iis7以上版本里,这个设置非常的方便。打开IIS管理器,找到站点,选中上传目录,在中间栏IIS下双击打开“处理程序映射”,再选择“编辑功能权限”,把“脚本”前面的勾掉就可以了。
好了,我们打开upload文件夹看一下,是不是多了一个web.config。
web.config里的内容如下: