Configurando o Servidor Win2008 R2 - Permissões IIS_IUSRS

4

Estou configurando um servidor da web e perceba a caixa que ele fornece IIS_IUSRS read & executar (e como resultado conteúdo da pasta lista) permissões no wwwroot. Eu estou tentando ter certeza de sua segurança quanto possível, e apenas me perguntando se é ok deixar isso?

No meu último servidor (Win2003), eu apenas dei permissões de 'leitura' aos usuários no wwwroot e, em seguida, adicionei manualmente as permissões de gravação / execução nas pastas, conforme necessário.

Está apenas a pensar se todas as outras pessoas deixam as permissões como estão?

    
por leen3o 19.03.2010 / 09:00

3 respostas

2

Você pode ler o artigo link . Como a TomTom disse, sim, a segurança mudou muito do que era no IIS 6.0. O artigo descreve detalhadamente as alterações no nível de usuário e grupo que ocorreram no IIS 7.0.

Abaixo, parte do link do site e da ajuda disponível no IIS 7.

IIS_IUSRS group has been granted access on all the necessary file and system resources so that an account, when added to this group, can act as an application pool identity seamlessly. By default, the ApplicationPoolIdentity account is selected. The ApplicationPoolIdentity account is dynamically created when an application pool is started, and therefore this account provides the most security for your applications.

    
por 29.03.2010 / 23:08
1

Aqui está o meu entendimento:

De acordo com aqui :

IIS 7 also makes the process of configuring an application pool identity and making all necessary changes easier. When IIS starts a worker process, it needs to create a token that the process will use. When this token is created, IIS 7 automatically adds the IIS_IUSRS membership to the worker processes token at runtime. The accounts that run as 'application pool identities' no longer need to be an explicit part of the IIS_IUSRS group. This change helps you to set up your systems with fewer obstacles and makes your overall experience more favorable.

Assim, pode-se dizer que, independentemente da conta usada como Identidade do pool de aplicativos, essa conta receberá a permissão do grupo IIS_IUSRS em tempo de execução dinamicamente e implicitamente . Esta chamada conveniência é reivindicada para fornecer a segurança mais . De qualquer forma, quem não deseja permissões IIS_IUSRS se a conta estiver sendo executada como uma Identidade do Pool de Aplicativos. Mas eu só gosto de tudo para estar no sol.

Obrigado

    
por 17.03.2011 / 04:57
0

Eu sugiro que você realmente leia sobre o tratamento de permissões no IIS 7 - é TOTALMENTE diferente do que você conhece. Totalmente;)

Eu normalmente configuro: * Um usuário para cada site * Um pool de aplicativos para o site reverenciado, sob a identidade do usuário * É isso - os direitos vão para o usuário do aplicativo.

    
por 19.03.2010 / 09:05