Entendendo a conta IUSR_machine

4

Ou seja, como configurar a permissão de leitura / gravação para essa conta é diferente de conceder acesso de leitura / gravação no IIS (Windows 2003, portanto, deve ser o IIS6, se não me engano).

Aqui está o problema: Parece que tivemos uma varredura de segurança e, como parte dessa conta IUSR, perdemos o acesso de gravação em todos os lugares. Um monte de sites ASP legados não gostou nada disso ...

Meu entendimento muito superficial é que é suficiente negar o acesso de gravação no console do IIS para proteger um site de alguém simplesmente soltando arquivos aleatórios nele, e o acesso IUSR só tem efeito sobre os scripts do aplicativo em execução no servidor e, portanto, pode seja dado acesso de escrita com segurança.

editar:

Os aplicativos em questão obviamente exigem acesso de gravação às suas próprias pastas da Web, caso contrário, isso não seria um problema. A questão é como configurar o IIS / aplicativo para satisfazer a segurança e fazê-los funcionar. Meu primeiro instinto foi mudar a conta usada para executar o pool de aplicativos. No entanto, isso já está definido como NETWORK_SERVICE, e esse cara já tem acesso total às pastas em questão.

    
por liho1eye 28.01.2011 / 21:54

2 respostas

3

A maioria das pessoas tem dificuldade em entender a diferença entre o usuário anônimo do IIS (IUSR _...) e a conta usada na execução de binários (a conta do pool de aplicativos).

A conta IUSR é usada quando o usuário não está autenticado no servidor, que é - para sites "normais" - é o caso de uso padrão. Para sites de intranet, você pode desabilitar o acesso anônimo ao servidor IIS e permitir que os usuários (automaticamente) enviem suas credenciais de rede / domínio.

As permissões da conta anônima em arquivos e pastas determinam quais recursos (arquivos) o usuário da Web normal pode acessar nesse servidor. Normalmente, todos os arquivos (estáticos) são somente leitura e você não permite a listagem do conteúdo da pasta.

A identidade do pool de aplicativos (por exemplo, a conta do Serviço de Rede) é algo diferente. É a conta que executa seus scripts ou montagens, a identidade do processo. Por exemplo, se seu aplicativo quiser gravar em uma determinada pasta (por exemplo, C:\temp ), essa conta deverá ter permissão do sistema de arquivos para modificar arquivos nessa pasta.

Aqui estão alguns links para informações adicionais:

por 29.01.2011 / 10:19
0

A conta IUSR é uma conta de usuário interna usada por padrão como o usuário anônimo no IIS6. Não é uma conta poderosa por padrão e geralmente eu aconselho meus usuários a não usá-la, se possível. A principal razão para isso é o princípio do isolamento. Você não quer que os spillovers sejam afetados por outros administradores que deixam seu aplicativo infeliz.

    
por 28.01.2011 / 22:01