IIS7.5中神秘的ApplicationPoolIdentity

IIS7.5中(仅win7,win2008 SP2,win2008 R2支持),应用程序池的运行帐号,除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外,还新增了一种ApplicationPoolIdentify

操作方法

  • 01

    ApplicationPoolIdentity – 默认情况下,选择“应用程序池标识”帐户。启动应用程序池时动态创建“应用程序池标识”帐户,因此,此帐户对于您的应用程序来说是最安全的。 也就是说"ApplicationPoolIdentity"帐号是系统动态创建的“虚拟”帐号(说它是虚拟的,是因为在用户管理里看不到该用户或用户组,在命令行下输入net user也无法显示,但该帐号又是确实存在的) 如何验证该帐号确实是存在的的?打开任务管理器,观察一下:

  • 02

    w3wp.exe即iis进程,上图中高亮部分表明该iis进程正在以帐号luckty运行(注意这里的luckty即为上图中的应用程序池名称) 好了,搞清楚这个有什么用? 先来做一个测试,比如我们在iis里新建一个站点,主目录设置为c:\2\,应用程序池就指定刚才图中的luckty 假如我们在该站点的default.aspx.cs里写入这样一行代码 : File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString()); 前提是c盘必须先建一个目录TestDir,同时除Administrator,System保留完全控制权外,其它帐号的权限都删除掉 运行后,会提示异常: 对路径“C:\TestDir\1.txt”的访问被拒绝。 原因很明显:该站点运行时是以应用程序池(luckty)对应的虚拟帐号运行的,而这个虚拟帐号不具备c:\TestDir的访问权限 这种情况在web服务器(iis6)安全配置中很常见,比如我们把图片上传目录,常常放在主目录之外,同时以虚拟目录形式挂于站点之下,另外在IIS6中不指定该目录任何执行权限 ,这样即使有人非法上传了asp/aspx木马上去,也无法运行搞不成破坏! 言归正传,要想让那一行测试代码正常运行,解决办法很简单,把虚拟帐号的权限加入文件夹安全权限中即可,但是问题来了:这个虚拟帐号我们是不可见的,如果你直接添加名为luckty的用户到文件夹安全帐号里,根本通不过(提示找不到luckty用户),说明这个虚拟帐号名称并不是"luckty"

  • 03

    当然除了用"IIS AppPool\应用程序池名"外,windows内部还有一个特殊的用户组Authenticated Users,把这个组加入TestDir的安全权限帐号里也可以,不过个人觉得没有"IIS AppPool\应用程序池名"来得精确. 结束语: IIS7.5的虚拟帐号设计确实很棒,想想传统IIS6的时候,为了把同一服务器上的各站点权限分开(以防止木马捣乱),不得不创建一堆iuser_XXX,iwam_XXX帐号并指定密码,再一个个站点分配过去,累死人!而虚拟帐号设计则让这类管理轻松多了,也不用担心密码过于简单或过期问题。So,还在等什么,赶紧升级到win7/win2008 R2吧!

(0)

相关推荐

  • 阴阳师中神秘的符咒的获得途径

    阴阳师中神秘的符咒怎么获取呢?今天小编为大家讲解一下. 操作方法 01 打开手机,找到阴阳师,点击并进入,如图所示. 02 进入之后,点击"商店",进入下一页面,如图所示. 03 ...

  • IIS7/IIS7.5中取消目录执行权限的方法

    IIS配置网站时,通常有些目录必须给写入权限,这个时候这些目录就很可能被人写入脚本文件,为了将安全性维护得更好,我们可以关闭这些有写入权限的目录的脚本执行权限。 IIS6中,可以很容易找到关闭的地方, ...

  • 【阴阳师】~~~阴阳师中神秘的符咒的获得途径

    召唤新式神是阴阳师中最受欢迎的一个玩点,每次都忍不住去玩,很久没玩的话,回归后第一件事,就是去召唤.想要召唤到SR以及SSR级别的英雄,召唤所需要的材料就是 神秘的符咒或者100勾玉了,下面我们来统计 ...

  • window2008,IIS7/IIS7.5中目录执行权限怎么设置

    最近帮一个朋友管理Window 2008服务器,发现有个站点是用asp写的,更可怕的是还有传说中的"上传漏洞",在上传文件夹中有好多的可执行的asp.php文件,算是shell后门 ...

  • 在IIS7.5中设置默认文档

    设置默认文档可使用户在访问该默认文档对应的页面时即使不输入页面名也能访问该文档.下面我们就一起来学学如何设置. 操作方法 01 第一种方法.选择"开始"→"控制面板&qu ...

  • 在IIS7.5中添加虚拟目录

    通过添加不同的虚拟目录可以在同一个Web应用程序池中运行多个Web站点.那么如何添加呢?请看下面. 操作方法 01 选择"开始"→"控制面板"→"系统 ...

  • 在IIS7.5中添加Web应用程序

    建立不同的Web应用程序可以在同一个网站中同时运行多个Web站点(VS中的网站),那么如何建立Web应用程序呢?下面我们一起学习一下吧. 操作方法 01 选择"开始"→" ...

  • 在IIS7.5中添加应用程序池

    已成功安装IIS的Windows系统电脑添加网站后,进行添加应用程序池的操作. 操作方法 01 选择"开始"→"控制面板"→"系统和安全"→ ...

  • 在IIS7.5中添加网站

    已成功开启IIS的Windows系统电脑该如何添加网站呢?下面举例添加一个网站. 操作方法 01 选择"开始"→"控制面板"→"系统和安全" ...