App удостоверения пула, пользователей группы и ИРИО изоляции

Question

Я следовал за этим два вопроса:

IIS 7.5 App Pool Identity permission not assigned to folder, but application still can write to its folder?

IIS AppPoolIdentity and file system write access permissions

Чтобы попытаться понять, как можно изолировать IIS ApplicationPoolIdentity пользователей, хотя они являются членами группы Users, которая имеет доступ к чтению практически везде.

Я думаю, что должно быть более безопасным, чтобы App Pool\myapp мог только читать содержимое сайта (или читать/писать его виртуальный каталог), но что лучше всего делать, не удаляя группу ACL ? ? мои настройки по умолчанию для Windows имеют группу «users» на томах acl с доступом на чтение и наследуются ко всем папкам ...

Answer 1

Этот вопрос также отвечает на ответ, на который вы ссылались, Kev. Вы должны настроить свой веб-корень на отдельном несистемном диске. Там вы можете удалить группу Users с верхнего уровня и предоставить права на домашнюю папку каждого сайта только для соответствующих идентификаторов пула приложений.

Answer 2

AMit - это все еще не решает проблему, что его веб-приложение может читать практически любой файл на диске c: /. Но это еще хуже. Веб-приложение может WRITE для диска c: /. Поскольку у группы пользователей есть разрешение на это ...

Это фундаментальный недостаток безопасности в дизайне Microsoft. Я искал решение самостоятельно и все же нашел его.

Ввод веб-сайта на другой раздел является безопасность через неизвестность ... Что в основном не безопасности вообще - скорее всего лишь надеяться, что они не находят ...