Concedendo acesso IIS_IUSRS a uma pasta de aplicativo da Web

0

Tentando adicionar uma pasta em D: \ como um diretório virtual a um site no IIS.

"Obviamente", preciso adicionar uma ACL à pasta para o uso da principal de segurança do IIS. Isso parece, na maioria das vezes, ser IIS_IUSRS .

Eu estava prestes a fazer isso

icacls D:\sites /grant:r "IIS_IUSRS":(OI)(OC)RX

mas primeiro fui verificar o que o IIS fazia para C: \ Inetpub \ wwwroot, mas quando executei o icacls c:\Inetpub\wwwroot obtive o seguinte

    BUILTIN\IIS_IUSRS:(RX)
    BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)

Então, eu queria saber qual é a diferença efetiva entre (GR, GE) e RX? e / ou se houver uma maneira "mais correta" de garantir que uma pasta tenha a permissão correta configurada para ser usada como uma raiz de conteúdo do IIS.

E, como acompanhamento - Se eu apontar um diretório virtual para, por exemplo, "D: \ test", o IIS ficará feliz em exibir conteúdo dessa pasta, apesar de não haver entradas explícitas de IIS_IUSRS . Sondando a ACL eu recebo isso:

test BUILTIN\Administrators:(I)(F)
     BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
     NT AUTHORITY\SYSTEM:(I)(F)
     NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
     NT AUTHORITY\Authenticated Users:(I)(M)
     NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
     BUILTIN\Users:(I)(RX)
     BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)

Quais contas eu preciso remover para que eu possa continuar a fazer backup e implantar com segurança nessa pasta, mas o IIS realmente honra IIS_IUSRS ?

    
por Chris Becke 18.09.2018 / 12:03

1 resposta

0

Essas permissões não são as mesmas. RX é mais strong, mas a diferença pode não seja significativo para você.

GR e GE são permissões genéricas que incluem leitura, escrita e passagem. O RX também inclui a permissão para "Ler atributos estendidos", que não é necessário para o IIS. Atributos estendidos são definido por programas, por isso pode variar, e provavelmente você não tem nenhum.

No seu caso, ambos funcionarão, embora não sejam idênticos. No entanto, é sempre aconselhável limitar as permissões nas pastas do IIS ao muito limite, porque algumas permissões podem ser usadas por hackers de maneiras imprevistas.

Veja este artigo que disseca todos os NTFS permissões.

    
por 18.09.2018 / 13:04