Enregistrement des services réseau / Changer les autorisations pour le dossier Inetpub Problèmes de sécurité possibles

J'ai une application web asp.net, Qui fonctionne comme système de gestion de contenu pour un site Web.

Initialement, il était sur le serveur IIS6. Cependant, l'application Web a récemment été déplacée sur le serveur. II7. Après avoir déplacé mon système CMS arrêté de fonctionner comme j'ai reçu un message d'erreur:

Accès au chemin 'C: \ inetpub \ SITEFOLDER \ FILENAME' interdit.

Chaque fois que je garde une page dans mon système CMS, J'ai besoin d'écrire dans le fichier aspx Sur le serveur, ainsi que mettre à jour le fichier web.sitemap sur le serveur.

J'ai comparé les droits d'accès aux fichiers entre deux serveurs et remarqué que l'ancien serveur IIS6 eu le droit d'enregistrer / Changement de dossier inetpub Pour l'utilisateur "Services de réseau", qui ont été transférés dans tous les fichiers de site sur le serveur.

Sur le nouveau serveur, il n'y a pas de "Services de réseau" avec des autorisations d'enregistrement / Modifier le jeu de fichiers pour le dossier inetpub. C'est évidemment la raison pour laquelle mon système CMS Cela ne fonctionne pas sur un nouveau serveur.

La décision, bien sûr, est d'installer des permis d'enregistrement / Changement pour le dossier Inetpub sur un nouveau serveur à ASP.NET Il y avait des autorisations correspondantes pour enregistrer et modifier tout fichier sur le site.

Ma question: Est-ce une solution exceptionnelle pour le serveur Web de fabrication. Y a-t-il des trous de sécurité que j'ouvris, permettant aux services de réseau d'avoir des permis d'écriture / Changement de dossier inetpub? Je sais cette disposition IUSER permis d'enregistrement / Changer pour l'ensemble du dossier inetpub peut conduire à des problèmes de sécurité et vous devez faire attention que les fichiers ont des permis d'enregistrement pour IUSER, Je ne savais tout simplement pas si la même règle est appliquée aux services "Réseau" "utilisateur.
Invité:

Blanche

Confirmation de:

Par défaut B. IIS 7.5 Identificateur de pool d'applications d'occasion (aussi connu sous le nom i_AppPoolName). Je ne fournirais pas la permission d'écrire et de fournir uniquement les dossiers nécessaires pour prendre en charge votre demande. Le service réseau était le compte par défaut IIS 6 Et n'était pas le meilleur compte. MS fait des changements à 7.x.

Veuillez noter que le nom du pool d'applications par défaut doit être remplacé par ce que vous avez. ICACLS C: \ inetpub \ wwwroot / grant "IIS AppPool \ DefaultAppPool" :( M)

Vous pouvez le faire à partir de l'interface graphique dans r2 / iis 7.5

Une autre variante - Fournir un changement de groupe IIS_IUSRS, La ligne de commande mentionnée ci-dessus du pool d'applications est la plus sécurisée. Je ne laisserais tout simplement pas que tous les dossiers changent. Personnellement, j'utilise Perms-Architecture IIS_IUSRS, Étant donné que mes serveurs ne sont pas des serveurs d'hébergement communs.

Pour répondre aux questions, connectez-vous ou registre