我正在运行一个有60多个站点的服务器。 现在所有这些网站都在IUSR帐户下运行。 查看文件夹安全性,IIS_IUSRS组可以访问所有站点的文件夹。 这就带来了一个问题,如果一个网站遭到入侵,所有的网站都会受到攻击,因为一个用户可以访问所有的文件。
是否有可能设置每个网站在自己的用户下运行,如果是这样,我如何设置这样的网站?
我使用IIS版本7.5运行Windows Server 2008 R2 Service Pack 1(内部版本7601)。
是的,你会为每个站点创build一个应用程序池(IIS很可能已经为你做了这个),然后根据你的需要configuration每个池的标识。
是。 Windows 2008 R2的默认设置(以及2008 SP2中提供的function)是使用ApplicationPoolIdentity(低权限自动生成的帐户)运行每个网站。 您也可以将该身份指定为匿名用户帐户。
通过GUI创build的每个网站都会获得一个与之关联的应用程序池,而低权限的用户帐户(App Pool Identity)则是按照生成的sorting顺序(该帐户实际上不存在,但是可计算的SID)以该身份运行时应用程序池。
要更好地隔离您的应用程序
保护每个网站的内容,以便IUSR没有阅读,只有(IIS AppPool \ AppPoolName)身份(+系统+pipe理员+任何经过身份validation的用户)
编辑每个站点的匿名身份validation设置,并将匿名用户设置为应用程序池标识
您几乎需要一次完成所有操作,因此在将来,以这种方式预先configuration它们会更容易。 🙂