我正在设置一个 Web 服务器,并注意到它赋予IIS_IUSRS对 wwwroot 的读取和执行(并因此列出文件夹内容)权限。我正在努力确保它尽可能安全,只是想知道是否可以离开它?
在我的最后一台服务器(Win2003)上,我只向 wwwroot 上的用户授予“读取”权限,然后根据需要手动添加对文件夹的写入/执行权限。
只是想知道其他人是否保持原样?
AskOverflow.Dev
我正在设置一个 Web 服务器,并注意到它赋予IIS_IUSRS对 wwwroot 的读取和执行(并因此列出文件夹内容)权限。我正在努力确保它尽可能安全,只是想知道是否可以离开它?
在我的最后一台服务器(Win2003)上,我只向 wwwroot 上的用户授予“读取”权限,然后根据需要手动添加对文件夹的写入/执行权限。
只是想知道其他人是否保持原样?
您可以浏览文章http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/。正如 TomTom 所说,是的,与 IIS 6.0 相比,安全性发生了很大变化。这篇文章深入介绍了 IIS 7.0 中发生的用户和组级别的更改。
以下是网站链接和 IIS 7 中可用帮助的一部分。
以下是我的理解:
根据这里:
因此,可以说,无论我们使用哪个帐户作为应用程序池标识,都会在运行时动态隐式地赋予该帐户 IIS_IUSRS 组权限。据称这种所谓的便利性提供了最大的安全性。无论如何,如果帐户作为应用程序池标识运行,谁不想要 IIS_IUSRS 权限。但我只是喜欢一切都在阳光下。
谢谢
我建议您仔细阅读 IIS 7 中的权限处理 - 它与您所知道的完全不同。完全;)
我通常设置: * 每个网站一个用户 * 每个网站的一个应用程序池,以用户身份运行 * 就是这样 - 权限归应用程序用户所有。