【问题标题】:Why "NETWORK SERVICE" doesn't have permission on "C:\inetpub\wwwroot" by default?为什么“NETWORK SERVICE”默认没有“C:\inetpub\wwwroot”权限?
【发布时间】:2011-06-19 07:07:08
【问题描述】:

我手动授予NETWORK SERVICE 访问C:\inetpub\wwwroot 的权限,因此ASP.NET 可以执行诸如读取和写入本地文件之类的操作。

默认情况下未授予此权限是否存在安全原因?

【问题讨论】:

  • @RandomNoob: Server 2008 企业版

标签: asp.net security windows-server-2008 file-permissions


【解决方案1】:

这是由于defence in depth 的原则 - 除非明确授予,否则不授予权限。

这样的默认设置使 IIS 和操作系统更加安全。

几年前,Microsoft 在默认情况下大力推动 Windows 安全 - 此设置是该推动的一部分。

【讨论】:

  • 很好奇,深度尊重与默认拒绝行为到底有什么关系?
【解决方案2】:

根据MSDN上的这篇文章:

默认情况下,网络服务帐户对 IIS 服务器根文件夹具有读取和执行权限。 IIS 服务器根文件夹名为 WWWroot。这意味着部署在根文件夹中的 ASP.NET 应用程序已经对其应用程序文件夹具有读取和执行权限。但是,如果您的 ASP.NET 应用程序需要使用其他位置的文件或文件夹,则必须专门启用访问权限。

【讨论】:

  • 写于 2005 年 8 月,适用于 .NET 2.0 和 Windows Server 2003。
  • 看我对原始问题的评论,他没有具体说明他使用的是什么操作系统,他可能使用的是 .NET 2.0 和 Win2k3,很多人仍然这样做。
  • 很公平,他稍后指定 - 不确定 Win2k8 中的行为是否不同,找不到确定的资源。
【解决方案3】:

通常在网络服务器上只允许写入几个文件夹以避免潜在的安全漏洞。

【讨论】:

    猜你喜欢
    • 2012-10-10
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-04-05
    • 2012-05-02
    • 2021-06-13
    • 2016-06-19
    相关资源
    最近更新 更多