Предоставление IIS_IUSRS доступа к папке веб-приложения

475
Chris Becke

Попытка добавить папку на D: \ в качестве виртуального каталога на веб-сайт в IIS.

«Очевидно», мне нужно добавить ACL в папку для субъекта безопасности, который использует IIS. Похоже, что в большинстве случаев это так IIS_IUSRS.

Я собирался сделать это

icacls D:\sites /grant:r "IIS_IUSRS":(OI)(OC)RX

но сначала я пошел, чтобы проверить, что IIS сделал для C: \ Inetpub \ wwwroot, но при запуске icacls c:\Inetpub\wwwrootя получил следующее

 BUILTIN\IIS_IUSRS:(RX) BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)

Поэтому мне было интересно, какова эффективная разница между (GR, GE) и RX? и / или если есть «более правильный» способ убедиться, что для папки задан правильный набор разрешений, который будет использоваться в качестве корня содержимого IIS.

И, как продолжение: если я указываю виртуальный каталог на, скажем, «D: \ test», IIS очень рад обслуживать содержимое из этой папки, несмотря на отсутствие явных IIS_IUSRSзаписей. Исследуя ACL, я получаю это:

test BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) NT AUTHORITY\Authenticated Users:(I)(M) NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)

Какие учетные записи мне нужно удалить, чтобы я мог продолжить безопасное резервное копирование и развертывание в этой папке, но IIS на самом деле отличием IIS_IUSRS?

0

1 ответ на вопрос

0
harrymc

Эти разрешения не совпадают. RX сильнее, но разница не может быть значимой для вас.

GR и GE являются общими разрешениями, которые включают чтение, запись и обход. RX также включает разрешение на «чтение расширенных атрибутов», которое не требуется для IIS. Расширенные атрибуты определяются программами, поэтому могут различаться, и, скорее всего, у вас их нет.

В вашем случае оба будут работать, хотя они не идентичны. Однако всегда желательно ограничить разрешения для папок IIS до самого предела, поскольку некоторые разрешения могут использоваться хакерами непредвиденным образом.

Смотрите эту статью, которая рассекает все разрешения NTFS.

Что касается минимальных разрешений, я вижу, что IIS даже не заботится о IIS_IUSRS для «случайных» папок. Поэтому мне нужно выяснить как минимальное разрешение для подачи заявки на IIS_IUSRS, так и разрешения для сброса / удаления, чтобы IIS их соблюдал. Chris Becke 5 лет назад 0
Я предлагаю копировать именно IIS по умолчанию, потому что они самые безопасные. harrymc 5 лет назад 0

Похожие вопросы