了解 IUSR_帐户

了解 IUSR_帐户

即为该帐户设置读/写权限与在 IIS(Windows 2003,所以如果我没记错的话应该是 IIS6)中授予读/写访问权限有何不同。

问题如下:我们似乎进行了一次安全扫描,结果 IUSR 帐户在所有地方都失去了写入权限。一大堆旧式 ASP 网站根本不喜欢这种情况...

我非常肤浅的理解是,在 IIS 控制台中拒绝写访问就足以保护网站免受某人将随机文件放入其中的侵害,并且 IUSR 访问仅对在服务器端运行的应用程序脚本有效,因此可以安全地重新授予写访问权限。

编辑:

有问题的应用程序显然需要对其自己的 Web 文件夹具有写访问权限,否则这根本不是问题。问题是如何配置 IIS/应用程序以既满足安全性又使其正常工作。我的第一反应是更改用于运行应用程序池的帐户。但是该帐户已设置为 NETWORK_SERVICE,并且该人已经拥有对有问题文件夹的完全访问权限。

答案1

大多数人很难理解 IIS 的匿名用户(IUSR_...)和用于执行二进制文件的帐户(应用程序池帐户)之间的区别。

当用户未在服务器上进行身份验证时,将使用 IUSR 帐户,对于“普通”网站而言,这是默认用例。对于内部网站,您可以禁用对 IIS 服务器的匿名访问,并让用户(自动)提交其网络/域凭据。

匿名账户文件和文件夹的权限决定了普通 Web 用户可以访问该服务器上的哪些资源(文件)。通常所有(静态)文件都是只读的,并且不允许列出文件夹内容。

应用程序池标识(例如网络服务帐户)有所不同。它是执行脚本或程序集的帐户,即进程标识。例如,如果您的应用程序要写入某个文件夹(例如C:\temp),则该帐户必须具有修改该文件夹中文件的文件系统权限。

以下是一些可获取更多信息的链接:

答案2

IUSR 帐户是内置用户帐户,默认情况下在 IIS6 中用作匿名用户。默认情况下,它不是一个功能强大的帐户,通常我建议我的用户尽可能不要使用它。这样做的主要原因是隔离原则。您不希望其他管理员的溢出影响使您的应用程序不高兴。

相关内容