PROSAGA码农传奇-天网安防-IIS AppPoolIdentity和文件系统写入访问权限

0# 我头上有犄角 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”>
  <OL>
    <LI>
      
        右键单击文件夹。
      
    </LI>
    <LI>
      
        单击属性
      
    </LI>
    <LI>
      
        单击安全选项卡。你会看到这样的事情：
      
    </LI>
  </醇>
  
    <a href="https://i.stack.imgur.com/FlPIc.jpg" rel="noreferrer">
      <img src =“https://i.stack.imgur.com/FlPIc.jpg”alt =“在此处输入图片说明”/>
    </A>
  
  <ol start =“4”>
    <LI>
      点击上面屏幕中的“编辑...”按钮。你会看到这样的事情：
    </LI>
  </醇>
  
    <a href="https://i.stack.imgur.com/C58r1.jpg" rel="noreferrer">
      <img src =“https://i.stack.imgur.com/C58r1.jpg”alt =“在此输入图片说明”/>
    </A>
  
  <ol start =“5”>
    <LI>
      点击上面屏幕中的“添加...”按钮。你会看到这样的事情：
    </LI>
  </醇>
  
    <a href="https://i.stack.imgur.com/e5v38.jpg" rel="noreferrer">
      <img src =“https://i.stack.imgur.com/e5v38.jpg”alt =“在此处输入图片说明”/>
    </A>
  
  <ol start =“6”>
    <LI>
      点击上面屏幕中的“位置...”按钮。你会看到这样的东西。现在，转到此树结构的顶部并选择您的计算机名称，然后单击“确定”。
    </LI>
  </醇>
  
    <a href="https://i.stack.imgur.com/t8Fc9.jpg" rel="noreferrer">
      <img src =“https://i.stack.imgur.com/t8Fc9.jpg”alt =“在此输入图片说明”/>
    </A>
  
  <ol start =“7”>
    <LI>
      现在输入“iis apppool \ your_apppool_name”并单击“检查名称”按钮。如果apppool存在，您将在文本框中看到您的apppool名称，并在其中加下划线。单击确定按钮。
    </LI>
  </醇>
  
    <a href="https://i.stack.imgur.com/1oweH.jpg" rel="noreferrer">
      <img src =“https://i.stack.imgur.com/1oweH.jpg”alt =“在此处输入图片说明”/>
    </A>
  
  <ol start =“8”>
    <LI>
      
        选中/取消选中您需要授予帐户的任何访问权限
      
    </LI>
    <LI>
      
        单击Apply按钮，然后单击OK。
      
    </LI>
  </醇>
</DIV>

1# 筱梨 | 2019-08-31 10-32

2# 听风～ | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”>
  
    该
     <code>
 ApplicationPoolIdentity
 </code>
     被分配了会员资格
     <code>
 Users
 </code>
     小组以及
     <code>
 IIS_IUSRS
 </code>
     组。乍一看，这可能看起来有些令人担忧，但是
     <code>
 Users
 </code>
     集团的NTFS权利有限。
  
  
    例如，如果您尝试在中创建一个文件夹
     <code>
 C:\Windows
 </code>
     文件夹然后你会发现你不能。该
     <code>
 ApplicationPoolIdentity
 </code>
     仍然需要能够从Windows系统文件夹中读取文件（否则工作进程将如何能够动态加载必要的DLL）。
  
  
    关于你能否写信给你的观察
     <code>
 c:\dump
 </code>
     夹。如果您查看高级安全性设置中的权限，您将看到以下内容：
  
  
    <img src =“https://i.stack.imgur.com/2UnXC.png”alt =“在此处输入图片说明”/>
  
  
    请参阅继承的特殊权限
     <code>
 c:\
 </code>
    ：
  
  
    <img src =“https://i.stack.imgur.com/ZLam7.png”alt =“在此处输入图片说明”/>
  
  
    这就是你网站的原因
     <code>
 ApplicationPoolIdentity
 </code>
     可以阅读和
    
      写
    
     到那个文件夹。这项权利是继承自的
     <code>
 c:\
 </code>
     驾驶。
  
  
    在一个共享环境中，您可能拥有数百个站点，每个站点都有自己的应用程序池和应用程序池标识，您可以将站点文件夹存储在已拥有该站点的文件夹或卷中。
     <code>
 Users
 </code>
     删除组并设置权限，以便只有Administrators和SYSTEM帐户具有访问权限（具有继承权）。
  
  
    然后，您将分别为每个分配必需的权限
     <code>
 IIS AppPool\[name]
 </code>
     需要它的站点根文件夹。
  
  
    您还应确保您创建的存储潜在敏感文件或数据的任何文件夹都具有
     <code>
 Users
 </code>
     组被删除。您还应该确保您安装的任何应用程序都不会在其中存储敏感数据
     <code>
 c:\program files\[app name]
 </code>
     文件夹，他们使用用户配置文件文件夹。
  
  
    所以，是的，乍一看它看起来像
     <code>
 ApplicationPoolIdentity
 </code>
     拥有比它应有的权利更多的权利，但它实际上没有权利，而不是它的集团成员资格。
  
  
    一个
     <code>
 ApplicationPoolIdentity
 </code>
    可以使用SysInternals检查组成员资格
    <a href="http://technet.microsoft.com/en-us/sysinternals/bb896653">
      Process Explorer工具
    </A>
    。找到您感兴趣的应用程序池标识运行的工作进程（您必须添加
     <code>
 User Name
 </code>
     列到要显示的列的列：
  
  
    <img src =“https://i.stack.imgur.com/xUQcp.png”alt =“在此输入图片说明”/>
  
  
    例如，我在这里有一个名为的池
     <code>
 900300
 </code>
     其应用程序池标识为
     <code>
 IIS APPPOOL\900300
 </code>
    。右键单击该流程的属性，然后选择“安全”选项卡，我们会看到：
  
  
    <img src =“https://i.stack.imgur.com/D9Zqu.png”alt =“在此处输入图片说明”/>
  
  
    我们可以看到
     <code>
 IIS APPPOOL\900300
 </code>
     是该成员
     <code>
 Users
 </code>
     组。
  
</DIV>