Quels sont les effets sur la sécurité de donner la IIS_IUSRS une autorisation de Contrôle total?

Quels sont les effets sur la sécurité de donner la IIS_IUSRS une autorisation de Contrôle total sur le dossier racine de ASP.NET les sites web?

Pourquoi ne puis-je pas donner l'autorisation contrôle total pour IUSR seulement, qui fait partie de IIS_IUSER groupe?

Aucune réponse précise de ce conflit, c'est vraiment apprécié.

Tout utilisateur de ce groupe (autres sites) sera en mesure d'afficher/modifier tout fichier dans le pied de dossier et ci-dessous. C'est généralement indésirable, mais dans certains scénarios peuvent effectivement être désiré. En donnant un seul utilisateur, telles que la IUSR autorisations, il vous permet de garder vos sites isolés et l'utilisation de plusieurs utilisateurs peuvent partager le même accès à la base de C:\Inetpub mais pas n'importe où d'autre que la personne à des sites comme C:\Inetpub\wwwroot\site1.com\ détenue par IUSR1 et C:\Inetpub\wwwroot\site2.com\ détenue par IUSR2 pour les meilleures pratiques.
Dire, la IIS_IUSRS ont une autorisation de Contrôle total pour tous les sites web et nous avons site1 et site2, voulez-vous dire que site1 les utilisateurs seront en mesure d'afficher/modifier tout fichier dans site2? Cela devrait être géré par IIS lui-même, Non?

InformationsquelleAutor Alaa | 2014-04-27

19

Il est facile de confondre IUSR et IIS_IUSRS à cause de leurs noms, mais ce sont deux choses différentes:
1. IIS_IUSRS est le groupe de Processus de travail IIS Comptes. Cela signifie que l'identité du pool d'applications s'exécute sous.
2. IUSR est l'identité utilisateur anonyme. Que signifie l'identité qu'IIS croit être l'utilisateur qui accède au site. Cet utilisateur n'est pas membre du groupe IIS_IUSRS par défaut.
Dans IIS 7.0, un compte intégré (IUSR) remplace le compte Iusr_nom_ordinateur. En outre, un groupe nommé IIS_IUSRS remplace le groupe IIS_WPG. [...] Le compte IUSR ressemble à un réseau ou d'un compte de service local. Le compte Iusr_nom_ordinateur est créé et utilisé uniquement lorsque l'6 FTP server est inclus sur le DVD Windows Server 2008 est installé. Si le 6 FTP server n'est pas installé, le compte n'est pas créé.
http://support.microsoft.com/kb/981949

IIS_IUSRS est intégré dans le groupe a accès à tous les fichiers nécessaires et les ressources du système, de sorte qu'un compte, lorsqu'il est ajouté à ce groupe, peut parfaitement agir comme une identité du pool d'applications.

Lire fil similaire ce qui explique pourquoi donner un accès à IIS_IUSRS a d'autre effet que de donner le même accès à IUSR:

Ici est une bonne documentation sur les groupes et les utilisateurs utilisés dans IIS 7.

Par défaut, IIS_IUSRS a seulement lu & execute (et comme un résultat de la liste du contenu du dossier) les autorisations sur le dossier wwwroot. Le contrôle peut être trop.

InformationsquelleAutor alex
10

Imaginez un site web qui permet aux utilisateurs de télécharger des fichiers arbitraires, qui a un bug qui provoque de tels fichiers à sauvegarder dans le répertoire de l'application.

Dans ce cas, un attaquant peut uploader un fichier aspx arbitraire de code, remplacez votre site web.fichier de config, etc.

Beaucoup mieux de donner accès en lecture seule au dossier racine, et ne donnent le plein contrôle sur des dossiers spécifiques que vous savez ne pas contenir du code exécutable, par exemple les sous-dossiers de App_Data.
- J'aimerais élargir la réponse à inclure la lecture et de l'examen des privilèges. Toutes les chaînes de connexion, db noms, télécommande web services exposés. Comme de donner les clés de votre maison.
- Cependant, la meilleure option serait de passer de téléchargement de dossier temporaire à la place de n'importe quel dossier ci-dessous racine de l'application.
- Est-ce vrai? Quel type d'utilisateur sera en mesure de télécharger en donnant de la IIS_IUSERS une permission? Les visiteurs du site? voulez-vous s'il vous plaît aider avec plus de détails à propos de ce conflit.
InformationsquelleAutor Joe

Vous devez vous connecter pour publier un commentaire.