فهم أذونات IIS6 ، و ACL ، والهوية-كيف يمكنني تقييد الوصول؟
https://stackoverflow.com/questions/154735
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
عندما يتم تشغيل تطبيق ASP.NET ضمن IIS6.0 في خادم Windows 2003 مع انتحال شخصية ، ما هو حساب المستخدم ذي الصلة بتحديد امتيازات القراءة/الكتابة/التنفيذ؟ لدي سيناريوان حيث أحاول فهم الوصول إلى المنح/الإلغاء. اعتقدت أن المستخدم الأكثر صلة هو على الأرجح الهوية المحددة في تجمع التطبيقات ، لكن هذا لا يبدو أنه القصة بأكملها.
تتعلق المشكلة الأولى بتنفيذ ملف دفعي محلي عبر system.diagnostics.process.start ()-لا يمكنني القيام بذلك عندما يتم ضبط AppPool على مستخدم IWAM_WIN2K3WE ، لكنه يعمل بشكل جيد إذا تم تعيينه على هوية خدمة الشبكة. بالطبع تأكدت من أن مستخدم IWAM لديه تنفيذ حقوق على الملف.
والثاني يتضمن الكتابة إلى ملف على محرك الأقراص الثابتة المحلية-أود أن أتمكن من منع ذلك عبر قائمة التحكم في الوصول عبر خصائص المجلد ، ولكن حتى عندما أقوم بإعداد الكل المستخدمون في المجلد باسم "قراءة" (لا يوجد مستخدمون/مجموعات مع "الكتابة" على الإطلاق) ، لا يزال لدينا ASP.NET يكتب الملف لا مشكلة. كيف يمكن أن يكون لها الوصول إلى الكتابة؟
يظهر بحث Google قطعًا وقطعًا ولكنه لا تقم أبدًا بالقصة بأكملها.
المحلول
ما هو حساب المستخدم ذي الصلة بـ [..] قراءة الملف/الكتابة/تنفيذ الوصول
كقاعدة عامة: دائمًا حساب المستخدم يتم تشغيل التطبيق/الصفحة تحت.
حساب IWAM محدود للغاية. لا أعتقد أنه يحتوي على أذونات لبدء عملية خارجية. حقوق الوصول إلى الملفات غير ذات صلة في هذه المرحلة.
إذا كان حساب المستخدم (خدمة الشبكة في حالتك) يمتلك ملفًا (IE قد أنشأته) ، فيمكنه فعل أي شيء لهذا الملف ، حتى لو لم يكن مسموحًا به بشكل صريح. تحقق من من يملك ملفك.
مراقبة العملية من Microsoft هي أداة رائعة لتعقب التفاصيل الدقيقة مثل هذه.
نصائح أخرى
يكشف البحث عن المزيد قليلاً من أن مستخدم IWAM ليس موثقًا جيدًا ويجب أن نلتزم بخدمة الشبكة أو الهوية المرفقة يدويًا إذا أردنا تحديد أذونات هذا المستخدم.
