Entendendo a conta IUSR_machine

Question

Entendendo a conta IUSR_machine

#1 resposta do (3 votos)
#2 resposta do (0 votos)

4

Ou seja, como configurar a permissão de leitura / gravação para essa conta é diferente de conceder acesso de leitura / gravação no IIS (Windows 2003, portanto, deve ser o IIS6, se não me engano).

Aqui está o problema: Parece que tivemos uma varredura de segurança e, como parte dessa conta IUSR, perdemos o acesso de gravação em todos os lugares. Um monte de sites ASP legados não gostou nada disso ...

Meu entendimento muito superficial é que é suficiente negar o acesso de gravação no console do IIS para proteger um site de alguém simplesmente soltando arquivos aleatórios nele, e o acesso IUSR só tem efeito sobre os scripts do aplicativo em execução no servidor e, portanto, pode seja dado acesso de escrita com segurança.

editar:

Os aplicativos em questão obviamente exigem acesso de gravação às suas próprias pastas da Web, caso contrário, isso não seria um problema. A questão é como configurar o IIS / aplicativo para satisfazer a segurança e fazê-los funcionar. Meu primeiro instinto foi mudar a conta usada para executar o pool de aplicativos. No entanto, isso já está definido como NETWORK_SERVICE, e esse cara já tem acesso total às pastas em questão.

security iis asp

por liho1eye 28.01.2011 / 21:54

2 respostas

Tags security iis asp

Configuração de DNS para resolução externa / interna Aplicando Diretiva de Grupo aos Grupos de Segurança

score 3 · Answer 1

A maioria das pessoas tem dificuldade em entender a diferença entre o usuário anônimo do IIS (IUSR _...) e a conta usada na execução de binários (a conta do pool de aplicativos).

A conta IUSR é usada quando o usuário não está autenticado no servidor, que é - para sites "normais" - é o caso de uso padrão. Para sites de intranet, você pode desabilitar o acesso anônimo ao servidor IIS e permitir que os usuários (automaticamente) enviem suas credenciais de rede / domínio.

As permissões da conta anônima em arquivos e pastas determinam quais recursos (arquivos) o usuário da Web normal pode acessar nesse servidor. Normalmente, todos os arquivos (estáticos) são somente leitura e você não permite a listagem do conteúdo da pasta.

A identidade do pool de aplicativos (por exemplo, a conta do Serviço de Rede) é algo diferente. É a conta que executa seus scripts ou montagens, a identidade do processo. Por exemplo, se seu aplicativo quiser gravar em uma determinada pasta (por exemplo, C:\temp ), essa conta deverá ter permissão do sistema de arquivos para modificar arquivos nessa pasta.

Aqui estão alguns links para informações adicionais:

Entendendo o usuário e o grupo incorporados Contas no IIS 7 (learn.iis.net)
Quais são as contas IUSR e IWAM no IIS? (Serverfault)

score 0 · Answer 2

A conta IUSR é uma conta de usuário interna usada por padrão como o usuário anônimo no IIS6. Não é uma conta poderosa por padrão e geralmente eu aconselho meus usuários a não usá-la, se possível. A principal razão para isso é o princípio do isolamento. Você não quer que os spillovers sejam afetados por outros administradores que deixam seu aplicativo infeliz.