如何最大限度地减少 ASP.NET 应用程序的暴露?

如何最大限度地减少 ASP.NET 应用程序的暴露?

我经常需要为部署在不同环境中的 ASP.NET 应用程序授予对文件夹或文件的写权限。

在哪种情况下,向 NETWORK 服务而不是 ASPNET 用户或 IIS_WPG 授予写权限更好/需要?

答案1

在 IIS7 中,我将站点的匿名用户设置为使用应用程序池身份,然后您可以分配应用程序池的身份用户。

在 IIS6 中,我通常建议为应用程序池标识设置自定义用户,但如果服务器上只有几个相互信任的站点,则可以将其保留为网络服务。在 IIS6 中,根据您的模拟设置,将使用应用程序池标识,或者使用站点的匿名用户帐户。(默认情况下,应用程序池为网络服务,匿名帐户为 IUSR_machinename)

您不需要在任何时候为磁盘分配 IIS_WPG 权限,因为这是应用程序池工作进程所在的组帐户。

这是一个介绍 IIS 安全性的简短视频。其重点是IIS7,但概念相似。

相关内容