IIS7.5和IIS6网站权限配置与区别
2014-11-06 15:39
232 查看
windows server 2008 iis 7.5 下的应用程序池标识的预定义账户有下面几个可选项:
ApplicationPoolIdentity 默认情况下,选择“应用程序池标识”帐户。启动应用程序池时动态创建“应用程序池标识”帐户,因此,此帐户对于您的应用程序来说是最安全的。LocalService “本地服务”帐户是用户组的成员之一,它拥有与“网络服务”帐户相同的用户权限,但仅限于在本地计算机上使用。当应用程序池中的工作进程不需要访问它所运行在的 Web 服务器以外的内容时,可以使用此帐户。
LocalSystem “本地系统”帐户拥有所有用户权限,它是 Web 服务器上的管理员组的成员之一。应尽可能避免使用“本地系统”帐户,因为它会给 Web 服务器带来更严重的安全风险。
NetworkService “网络服务” 帐户是 Users 组的成员之一,并拥有运行应用程序所需的用户权限。通过使用计算机帐户的凭据,它可以在整个基于 Active Directory 的网络上进行交互。
IS6网站权限,通常配置IUSR_计算机名和NETWORK SERVICE两个用户权限即可:
其中IUSR_计算机名是网站匿名访问帐户,NETWORK SERVICE是网站应用程序池安全帐户:
然而,同样的权限配置,测试发现IIS7.5网站动态页面打开会出错。比较发现IIS7.5应用程序池安全帐户除了本地系统、网络服务和本地服务外,比IIS6多了一个ApplicationPoolIdentity,并且它是默认安全帐户:
如果应用程序池选择的是 ApplicationPoolIdentity , 这个账户的权限很低, 只属于 IIS_IUSRS 用户组, 甚至不属于 Users 用户组, 而应用程序又需要访问本地文件系统 (比如日志输出) , 就需要为 ApplicationPoolIdentity 账户设置 NTFS 权限, 这个账户在安全对话框是找不到的, 只能手工输入 IIS APPPOOL\{app pool name} 进行设置。
通过查看 IIS_IUSRS 用户组的属性可以看到全部的“应用程序池标识”账户, 如下图:
看下任务管理器中的变化:
这样相当于是有了多个NETWORK SERVICE用户,能大大降低网站被旁注的风险。当然了,也可以将IIS7.5应用程序池安全帐户设置为网络服务,这样和IIS6.0一样配置即可,但不推荐这么做。此外,若想简单配置,只赋于网站Authenticated Users组权限也是可以的(代替匿名帐户+安全帐户,但比Everyone安全)。
相关文章推荐
- IIS7.5网站添加默认文档时提示“由于权限不足而无法写入配置文件”。
- IIS虚拟主机网站防木马权限设置安全配置整理
- .NET4.0下网站应用程序用UrlRewriter.dll重写无后缀路径 (在IIS7.5中的配置方法)
- IIS7.5 在已有的WEB网站上配置FTP发布
- IIS6、IIS7.5设置网站默认首页方法(Directory Listing Denied)
- IIS7.5 在已有的WEB网站上配置FTP发布
- 将IIS6上的网站迁移到IIS7.5需要注意的问题
- 给IIS添加网站配置权限
- IIS不能对网站添加默认文档(由于权限不足而无法写入配置文件)
- IIS6、IIS7、IIS7.5取消服务器主机空间目录脚本的执行权限的方法
- 在IIS7.5中部署PHP网站报错:无法在<fastCGI>应用程序配置中找到<handler> scriptProcessor
- IIS7.5(经典/集成),IIS6,asp.net 4.0下配置Url映射(asp.net mvc)
- 网站从 IIS6 迁移至 IIS7 后的通配符脚本映射权限配置不当可能导致403错误
- IIS7.5由于权限不足而无法读取配置文件的解决办法
- "IIS7.5 HTTP 错误 500.19 由于权限不足而无法读取配置文件"的解决。
- IIS虚拟主机网站防木马权限设置安全配置整理
- IIS7.5 windows server 2008 部署网站 访问文件无权限
- win2003 IIS虚拟主机网站防木马、权限设置、安全配置整理
- IIS下架设网站账户权限配置
- 教你如何安装配置Windows7系统 IIS IIS7.5本地浏览测试网站 完整版介绍