Проблема разрешения IIS7

Question

У меня нормальная установка Windows Server 2008 с II7. Каждый сайт имеет свой собственный пул приложений. Но есть проблема, связанная с безопасностью.

Нет никаких ограничений для приложения asp.net для записи файла в C: или любые другие каталоги. В IIS 6, прежде чем это могло произойти, я должен был установить эти права в разрешениях безопасности папки Windows и позволить ASPNET_Usr сделать это.

Как лучше всего размещать приложения asp.net и не разрешать им писать файлы для чтения, например, в c:?

EDIT

Anonymous Auth. включен, и пользователь указал "ISUR". Все остальные аутентификации отключены. В пуле приложений я использую в качестве удостоверения процесса «Сетевая служба».

Я создал нового пользователя на сервере (не в домене) "www.xyz.test" и удалил все его членства в группах. Изменил удостоверение процесса для этого пользователя, заставил анонимную аутентификацию использовать удостоверение пула приложений и все еще мог записывать в C:.

Изменение уровня доверия в моем случае не вариант, потому что мы используем стороннее приложение

Answer 1

Все зависит от того, под какой учетной записью работает ваш сайт asp.net. То есть это сетевой сервис? Насколько мне известно, если я хочу иметь возможность записи в веб-каталог, я даю своей учетной записи на сайте доступ для записи исключительно в каталог, в который я хочу сохранить файлы. Я использую учетную запись, которая используется для анонимной аутентификации.

т.е. У меня есть сайт под названием mycompany.com. Я создаю эту учетную запись как часть группы пользователей домена. Я добавляю это в качестве учетных данных для анонимной аутентификации и предоставляю ему доступ к корневому веб-сайту, а также доступ для записи во вложенную папку, которую я тоже хочу написать.

Учетная запись пользователя будет называться mycompany.com, поэтому я знаю, что она отвечает только за разрешения, связанные с сетью и конкретным веб-сайтом.

Answer 2

Похоже, что разрешения веб-сайта (в IIS) установлены на
- Проверка подлинности Windows: вы входите в систему с кем-то, у кого есть права доступа к этим папкам
или
- Анонимная проверка подлинности: учетная запись, которая используется для олицетворения, имеет разрешения

Рекомендуется убедиться, что учетная запись, которая используется для доступа к сайту (т. Е. Если windows auth - ваша учетная запись или анонимная, то учетная запись, которая олицетворяется) не имеет разрешений на папки.

Вы также можете повысить уровень доверия до среднего, высокого или полного в machine.config для дополнительных политик обеспечения безопасности, однако используйте их с осторожностью, поскольку это может привести к сбою некоторых приложений ASP.NET.