我正在设置一个 Web 服务器,并注意到它提供了iis_iusrs对 wwwroot 的读取和执行(以及因此列出的文件夹内容)权限。我正在尝试确保其尽可能安全,只是想知道是否可以保留它?
在我的上一台服务器(Win2003)上,我只授予 wwwroot 上的用户“读取”权限,然后根据需要手动添加文件夹上的写入/执行权限。
只是想知道其他人是否都保留原来的权限?
答案1
您可以浏览文章http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/。正如 TomTom 所说,安全性与 IIS 6.0 相比确实发生了很大变化。本文深入介绍了 IIS 7.0 中发生的用户和组级别变化。
以下是网站链接和 IIS 7 中提供的帮助的一部分。
IIS_IUSRS 组已被授予对所有必要文件和系统资源的访问权限,因此当将帐户添加到此组时,该帐户可以无缝地充当应用程序池标识。默认情况下,选择 ApplicationPoolIdentity 帐户。ApplicationPoolIdentity 帐户是在启动应用程序池时动态创建的,因此该帐户为您的应用程序提供了最大的安全性。
答案2
这是我的理解:
根据这里:
IIS 7 还使配置应用程序池标识和进行所有必要更改的过程变得更加容易。当 IIS 启动工作进程时,它需要创建该进程将使用的令牌。创建此令牌后,IIS 7 会在运行时自动将 IIS_IUSRS 成员身份添加到工作进程令牌中。以“应用程序池标识”运行的帐户不再需要明确成为 IIS_IUSRS 组的一部分。此更改可帮助您以更少的障碍设置系统,并使您的整体体验更加令人满意。
因此,可以说无论我们使用哪个帐户作为应用程序池标识,该帐户在运行时都会被赋予 IIS_IUSRS 组权限动态且隐式地。 这所谓的便利性据称提供了最多安全性。无论如何,如果帐户作为应用程序池标识运行,谁不想要 IIS_IUSRS 权限呢。但我就是喜欢让一切都暴露在阳光下。
谢谢
答案3
我建议您仔细阅读 IIS 7 中的权限处理 - 它与您所知道的完全不同。完全不同 ;)
我通常设置:* 每个网站一个用户* 每个网站一个应用程序池,以用户身份运行* 就是这样 - 权限归应用程序用户。