我正在使用 Windows 2012,并已将我的 IIS 应用程序池配置为使用我自己的'XXX网' 帐户。我的网站正在使用正确的应用程序池(W3WP 进程也以“XXXWeb”的身份运行)。我配置了“XXXWeb”用户,使其在 Web 目录中没有写入权限。
令我惊讶的是,我发现用户可以在“XXXWeb”用户没有任何权限的目录中写入日志文件。我使用进程监视器检查,发现“WriteFile”操作以“XXXWeb”权限执行,并且成功了。当我以“XXXWeb”身份登录时尝试写入完全相同的文件时,它失败了。
有人知道哪里出了问题吗?当我的 IIS 由于某种原因被黑客入侵时,我不希望 AppPool 具有写入权限以防止安全问题。