Почему «СЕТЕВАЯ СЛУЖБА» по ​​умолчанию не имеет разрешения на «C: \ inetpub \ wwwroot»?

Question

Я даю разрешение NETWORK SERVICE вручную, чтобы иметь доступ к C:\inetpub\wwwroot, поэтому ASP.NET может делать что-то вроде чтения и записи локальных файлов.

Существует ли причина безопасности, по которой это разрешение не было предоставлено по умолчанию?

Answer 1

Это происходит из-за принципа глубокоэшелонированной защиты - не дает разрешения, если не предоставлено явно.

Такие значения по умолчанию обеспечивают более безопасную IIS и операционную систему.

Несколько лет назад Microsoft сделала очень большой шаг к обеспечению безопасности окон по умолчанию - этот параметр является частью этого толчка.

Answer 2

В соответствии с этой статьей на MSDN :

У учетной записи сетевой службы есть разрешения на чтение и выполнение в корневой папке сервера IIS по умолчанию.Корневая папка сервера IIS называется Wwwroot.Это означает, что приложение ASP.NET, развернутое в корневой папке, уже имеет разрешения на чтение и выполнение для своих папок приложения.Однако если вашему приложению ASP.NET необходимо использовать файлы или папки в других местах, вы должны специально разрешить доступ.

Answer 3

обычно на веб-сервере разрешено писать только несколько папок, чтобы избежать потенциальных пробелов в безопасности.