Gewähren von IIS_IUSRS-Zugriff auf einen Webanwendungsordner

467
Chris Becke

Der Versuch, einer Website in IIS einen Ordner unter D: \ als virtuelles Verzeichnis hinzuzufügen.

"Offensichtlich" Ich muss dem Ordner für den von IIS verwendeten Sicherheitsprinzipal eine ACL hinzufügen. Dies scheint meistens so zu sein IIS_IUSRS.

Ich wollte das gerade machen

icacls D:\sites /grant:r "IIS_IUSRS":(OI)(OC)RX 

Aber zuerst habe ich nachgeprüft, was IIS für C: \ Inetpub \ wwwroot gemacht hat, aber als ich lief, icacls c:\Inetpub\wwwrootbekam ich folgendes

 BUILTIN\IIS_IUSRS:(RX) BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE) 

Ich wunderte mich also, was der effektive Unterschied zwischen (GR, GE) und RX ist. und / oder wenn es eine "korrektere" Methode gibt, um sicherzustellen, dass ein Ordner über die richtigen Berechtigungen als IIS-Inhaltsstammverzeichnis verfügt.

Und als Folge - Wenn ich ein virtuelles Verzeichnis auf "D: \ test" ziehe, ist IIS bereit, Inhalte aus diesem Ordner zu liefern, obwohl keine expliziten IIS_IUSRSEinträge vorhanden sind. Beim Überprüfen der ACL bekomme ich Folgendes:

test BUILTIN\Administrators:(I)(F) BUILTIN\Administrators:(I)(OI)(CI)(IO)(F) NT AUTHORITY\SYSTEM:(I)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F) NT AUTHORITY\Authenticated Users:(I)(M) NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M) BUILTIN\Users:(I)(RX) BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE) 

Welche Konten muss ich entfernen, damit ich weiterhin sicher sichern und in diesem Ordner bereitstellen kann, aber IIS hat tatsächlich die Ehre IIS_IUSRS?

0

1 Antwort auf die Frage

0
harrymc

Diese Berechtigungen sind nicht gleich. RX ist stärker, aber der Unterschied ist für Sie möglicherweise nicht von Bedeutung.

GR und GE sind generische Berechtigungen, die Lesen, Schreiben und Durchqueren umfassen. RX enthält auch die Berechtigung für "Erweiterte Attribute lesen", die für IIS nicht erforderlich ist. Erweiterte Attribute werden von Programmen definiert. Sie können daher variieren und haben höchstwahrscheinlich keine.

In Ihrem Fall funktionieren beide, obwohl sie nicht identisch sind. Es ist jedoch immer ratsam, die Berechtigungen für IIS-Ordner auf das Limit zu beschränken, da einige Berechtigungen von Hackern auf unvorhergesehene Weise verwendet werden können.

In diesem Artikel werden alle NTFS-Berechtigungen analysiert.

In Bezug auf die Mindestberechtigung sehe ich, dass IIS sich nicht einmal mit IIS_IUSRS für "zufällige" Ordner beschäftigt. Ich muss also sowohl die Mindestberechtigung herausfinden, um sich für IIS_IUSRS zu bewerben, als auch die Berechtigungen zum Zurücksetzen / Entfernen, so dass IIS diese berücksichtigt. Chris Becke vor 5 Jahren 0
Ich empfehle, die IIS-Standardeinstellungen genau zu kopieren, da diese am sichersten sind. harrymc vor 5 Jahren 0