Регистрация Войти
Рейтинг:0
Shlomi avatar Server

Попытка понять разрешения IIS

флаг it
Shlomi

Я пытаюсь понять, как работают разрешения IIS, потому что сегодня у меня был странный сценарий.

Итак, один из разработчиков установил на сервер IIS 10 и создал сайт в папке C:\WebSites\Site1.

Теперь этот конкретный сайт также записывает некоторые файлы журнала txt в C:\Site1-Logs.

Пул приложений Site1 работает как ApplicationPoolIdentity.

Теоретически пользователь, запустивший сайт (IIS AppPool\Site1), должен иметь разрешение на запись/создание текстовых файлов в каталоге C:\Site1-Logs без ручной установки разрешения для этого?

Потому что я не смог найти на вкладке «Безопасность» что-либо, связанное с группой IIS_USRS или пользователем «IIS AppPool\Site1».

Когда я попытался переместить запись журналов в другой раздел (E :), мне пришлось дать разрешение на запись «IIS AppPool\Site1», и я действительно вижу разрешение на вкладке «Безопасность».

Так может я что-то упускаю? По умолчанию IIS устанавливается как системная служба и ему уже предоставлены права на запись в C:?

Есть ли лучшая практика для этого с точки зрения безопасности? можно ли запускать веб-приложения под C:?

Спасибо и извините за плохое объяснение: P

icacls C:\Site1-Logs
C:\Site1-Logs NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                         ВСТРОЕННЫЕ\Администраторы:(I)(OI)(CI)(F)
                         ВСТРОЕННЫЕ\Пользователи:(I)(OI)(CI)(RX)
                         ВСТРОЕННЫЕ\Пользователи:(I)(CI)(AD)
                         ВСТРОЕННЫЕ\Пользователи:(I)(CI)(WD)
                         СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(I)(OI)(CI)(IO)(F)
55
0 + 0
iis
флаг cn
Peter Hahndorf
Можете ли вы добавить разрешения NTFS для C:\site1-logs, например `icacls C:\site1-logs`, на свой вопрос?
1
Ответить
Shlomi avatar
флаг it
Shlomi
Да, но я не понимаю, как мой пул приложений уже имеет доступ для записи в папки в C:\ без предоставления конкретных разрешений.
0
Ответить
флаг cn
Peter Hahndorf
И я пытаюсь объяснить вам, почему это так, но для этого вы должны перечислить разрешения здесь.
0
Ответить
Shlomi avatar
флаг it
Shlomi
лол, извините, мой плохой :) Добавил разрешения к моему сообщению.
0
Ответить
Рейтинг:1
avatar Server
флаг cn
Peter Hahndorf

Группа ВСТРОЕННЫЕ\Пользователи имеет доступ для записи к вашему C:\Site1-Журналы каталог.

Пользователь IIS AppPool\Site1 автоматически становится членом Пользователи group, потому что это специальная группа в Windows.

Вот почему ваш веб-сайт имеет доступ для записи.

Вы не можете удалить IIS AppPool\Site1 от пользователи, но вы можете удалить разрешения пользователи группы из справочника.

0 + 0
Shlomi avatar
флаг it
Shlomi
Большое вам спасибо, теперь понятно, как у пользователя уже было разрешение на запись. С точки зрения безопасности, можно ли оставить BUILTIN\Users доступ на запись к C:? или я должен удалить это и дать каждому отдельному пользователю определенные разрешения?
0
Ответить
флаг cn
Peter Hahndorf
Это зависит от вашего окружения.Если вы хотите убедиться, что один сайт никогда не сможет читать файлы, принадлежащие другому сайту, вы должны удалить разрешения «пользователей» и использовать учетные записи отдельных сайтов для разрешений NTFS.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.