我有一个作为一个网站的内容pipe理系统运行的ASP.NET Web应用程序。
它最初是在一个IIS6服务器上。 但是,该Web应用程序最近移到了II7服务器。 移动之后,我的CMS系统不再工作,因为我收到一条错误消息:
访问path“C:\ inetpub \ SITEFOLDER \ FILENAME”被拒绝。
每次我在我的CMS系统中保存页面时,我都需要写入服务器上的aspx文件以及更新服务器上的web.sitemap文件。
我比较了两台服务器之间的文件权限,并注意到旧的IIS6服务器对“networking服务”用户的inetpub文件夹具有写入/修改权限,该权限会传递给服务器上的所有站点文件。
新的服务器没有“networking服务”,在inetpub文件夹上设置了“写入/修改”权限。 这显然是我的CMS系统不能在新服务器上工作的原因。
当然,解决scheme是在新服务器上设置Inetpub文件夹的写入/修改权限,以便ASP.NET具有写入和修改站点内任何文件的适当权限。
我的问题是,这是一个生产Web服务器上的一个非常的解决scheme。 是否有任何安全漏洞通过允许networking服务对inetpub文件夹具有写入/修改权限而打开? 我知道在整个inetpub文件夹中给予IUSER写入/修改权限可能会导致安全问题,您必须小心哪些文件被授予了IUSER的写入权限,我只是不知道是否将相同的规则应用于“networking服务“用户。
默认情况下,在IIS 7.5中,使用applicationpoolidentity(又名i_AppPoolName)。 我不会授予写权限,只需授予支持您的应用程序所需的文件夹。 networking服务是IIS 6中的默认帐户,并不是最好的帐户。 MS在7.x中做了一个改变。
'注意默认的应用程序池名称应该改为任何你拥有的。 ICACLS C:\ inetpub \ wwwroot / grant“IIS AppPool \ DefaultAppPool”:( M)
您可以从r2 / iis 7.5的GUI中执行此操作
另一个选项是授予IIS_IUSRS组修改,上面的应用程序池命令行是最安全的。 我只是不会授予所有文件夹的修改。 就我个人而言,我使用IIS_IUSRS perms体系结构,因为我的服务器不是共享托pipe服务器。