电脑教程子分类记录学习的点点滴滴。
最近在windows 2008 下部署系统时，涉及到xml文件读写的地方，对路径xxx的访问被拒绝。在vs2010和win7系统上部署没有出现这样的问题。觉得肯定是权限的问题。后来写日志果然发现是权限问题。如是在上搜索了下相关的解决办法。
解决办法：
要读写文件的文件夹读写权限赋给Users，然后该异常就消失。
相关解决办法链接
（1）/iis_article/352.html
IIS7.5 + windows server 2008 部署了网站，该网站是一个cms，有读写文件的操作，部署好后在读写文件操作时，会有如下异常： 异常信息: 异常类型: System.UnauthorizedAccessException 异常消息: 对路径C:\website\search.aspx的访问被拒绝。根据此异常我判IIS7.5 + windows server 2008 部署了网站，该网站是一个cms，有读写文件的操作，部署好后在读写文件操作时，会有如下异常： 异常信息: 异常类型: System.UnauthorizedAccessException 异常消息: 对路径&C:\website\search.aspx&的访问被拒绝。根据此异常我判断是用户权限不够导致的此异常，于是将
要读写文件的文件夹读写权限赋给Users，然后该异常就消失
（2）/webservices/iis/245.html
　　对路径" "的访问被拒绝XP中IIS下asp.net程序错误提示解决方案
　　windowsXp系统中的IIS下运行asp.net程序，出现类似如下错误提示：
　　&对路径xxx.xml的访问被拒绝&。
　　原因及解决方案：
　　此为文件写入权限问题，可如下操作解决(XP系统IIS5下尝试可行)
　　1、资源管理器-&工具-&文件夹选项-&查看 不选"使用简单文件共享"
　　2、右击该xml文件(或者该文件所在文件夹)，选"属性"点"安全"添加"aspnet"，选中&写入&赋予写入权限，或者选"完全控制"，然后确定即可。
　　以下为网络获取在windows2003服务器IIS6下出现该错误提示的参考解决方案，在此摘录仅供备份参考：
　　解决方案一
　　在需要进行读写操作的目录下添加Network Service这个帐号，
　　由于在iis 6.0中，默认的应用程序池中的标示用的是Network Service，
　　所以在进程中是使用Network Service这个帐号运行来运行w3wp.exe进程，
　　而当我们在运行VS 2003的时候需要对某一个目录下进行读写操作，
　　看了一下该文件夹，发现没有Network Service，添加上该账号，同时选上FULL CONTROL，问题解决，
　　解决方案二
　　在IIS6.0中的默认应用程序池--&属性--&标示中把Net Service改成Local System该问题也可以解决
阅读(...) 评论() &serverxx0 的BLOG
用户名：serverxx0
文章数：257
评论数：29
访问量：39291
注册日期：
阅读量：5863
阅读量：12276
阅读量：322469
阅读量：1032842
51CTO推荐博文
隐藏IIS7/IIS7.5详细报错路径的方法：在web网站目录下新建一个名为web.config的文件，写入以下内容。&configuration&&system.webServer&&httpErrors errorMode=&Custom& /&&/system.webServer&&/configuration&本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)IIS7.5安全配置研究
IIS7.5安全配置研究
&0x00 测试环境
操作系统：Windows Server 2008 R2 Enterprise Service Pack 1 x64&IIS版本：IIS7.5&程序：asp.net
0x01 IIS7.5的安装
http 常见功能：开启静态内容，默认文档，HTTP错误；目录浏览，WebDAV发布如无特殊要求，不要开启；HTTP重定向可根据需要开启。
应用程序开发：这个可根据实际情况开启，如为asp.net的开启ASP.NET，.NET扩展性，ISAPI扩展，ISAPI筛选；在服务器端的包含文件根据需要开启。
健康和诊断：建议开启HTTP日志记录，日志记录工具，请求监视；其他可根据需要开启。
安全性：建议开启URL授权，请求筛选，IP和域限制；其他根据需要开启。
性能，管理工具，ftp服务器，IIS可承载的Web核心可根据开启。
0x02 IIS7.5权限配置介绍
IIS7.5涉及两个账户，一个为匿名账户，一个为应用程序池账户。在磁盘的NTFS权限设置中，匿名账户只需要拥有对网站目录的读取权限即可；而应用程序池账户需要根据程序实际情况给予相应权限，比如：需要去写文件，则要给予写权限，需要去调用一个程序（如cmd.exe）则需要给予执行权限。总之，对文件的访问，首先需要有匿名账户的访问权限，然后再根据程序的操作需要什么样的权限给予应用程序池账户相应的权限。
研究发现的几个基本问题：
1. 上传目录的写入权限由应用程序池账户决定；
2. 应用程序池默认对于的账户为IIS APPPOOL\{app pool name}，且属于IIS_IUSRS组；
3. 默认的匿名账户为IUSR账户，且属于authenticated users 组；
4. 任何用户都属于USERS组，且手工删除后仍然属于USERS组；
5. 上传木马之后，能够看到的目录是由应用程序池账户决定的；
6. 在此测试环境下，USERS组默认拥有网站目录的写入权限；
7. 一个aspx文件的运行跟NTFS的运行权限无关；
8. 对于网站的匿名账户只需要对网站目录有读取权限；
9. 应用程序池账户运行aspx也只需要读取权限，但是如果要写文件需则写权限，要执行其他程序则需要执行权限；
0x03 常见服务器被入侵威胁及解决措施
常见服务器入侵威胁：
1. webdav直接上传webshell
2. 通过程序文件上传漏洞上传webshell
3. webshell的权限过高导致被提权
解决常见问题措施：
1. 解决webdav问题
在安装的时候直接不安装webdav组件
2.防止上传的木马文件执行
可以在IIS中设置需要上传文件的目录，处理程序映射中的编辑功能权限中的脚本去掉，这样即使上传了木马文件在此目录，也是无法执行的。
上传目录取消应用程序池账户的执行权限
3. 防止木马执行后看到网站目录之外的文件
可以设置进程池账户对其他文件夹无读取权限。
4. 防止木马执行后可执行cmd
取消进程池账户的NTFS执行权限。
5. 防止木马执行后运行cmd权限过高
进程池账户选择权限较低的账户，最好就是默认的账户。
0x04 推荐安全配置方案
安全配置简单配置：
1. 匿名账户使用默认的IUSR。
2. 应用程序池使用默认的标识，对于的账户为IIS AppPool\应用程序池名称。
3.IIS中对上传目录设置为脚本不可执行
加强安全配置：
1. 匿名账户使用默认的“应用程序用户”也就是对应的IUSR。
2. 应用程序池账户使用默认的IIS AppPool\应用程序池名称。
3. 删除everyone，users在所有磁盘上的权限。
4. 删除users在system32上的所有权限（需要先修改所有者为administrator）。
5. 在网站目录下给予IUSR读取权限。
6. 在网站目录下给予IIS AppPool\应用程序池名称读取权限，如果程序中有特殊要求的权限，如写入文件等，则再对应的目录下给予相应的权限，如写入权限。
7. 在网站要求的上传目录给予IIS AppPool\应用程序池名称写入权限，但是不给予执行权限。
8. 在IIS中取消上传目录的脚本执行权限。
以上两种配置均使用默认的应用程序池账户，如果自定义，最好是将自定义加入IIS_IUSRS组。IIS7.5中建立多个站点的时候，如果使用默认的应用程序池账户，系统会默认产生如IIS AppPool\各个不同的应用程序池名称。Asp.net程序在第一次访问编译的时候，应用程序池账户需要拥有system32文件夹的读取和执行权限
在测试过程中发现，访问aspx程序，如果匿名账户为自定义的账户，则需要给自定义的匿名账户在文件夹C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary
ASP.NET Files上的写入权限；但是，如果使用默认的匿名账户，也就是IUSR时，需要给予应用程序池账户在此文件夹上的写入权限。疑问点在于此文件夹到底是需要哪个账户的写入权限，因为选择默认的匿名账户时，即时禁止IUSR在此文件的写入权限，只要应用程序池账户在此文件夹有写权限，一样运行正常?
当匿名用户为程序默认的时候，应该就是IUSR，但为什么又传递的进程池账户?
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files 这个目录不需要赋予IUSR权限，但需要IIS_IUSRS组的权限
=============================================================================================
一、这样配置的好处？
不知大家有没有听过旁注？我简单的解释一下吧：有个人想黑掉A站点，但找来找去都没发现可利用的漏洞，无意中他发现与A同服务器上还有个B站点，并且在B站点上找到了可利用的漏洞，于是他将木马从B站中上传至服务器，如果服务器权限配置不当，那么现在他就可以黑掉服务器上的所有站点了！如果我们为每个站点都建立一个用户，并设置该用户只有访问本站点的权限，那么就能将访问权限控制在每个站点文件夹内，旁注问题也就解决了。
二、准备工作
1、运行环境：Win2K 服务器版 + IIS 5.0
2、文件系统：各分区文件系统为NTFS
3、站点文件夹：E盘下建立两个文件夹web001和web002
4、新建站点：IIS中新建两个站点web001和web002，站点文件夹分别为E:\web001和E:\web002，都指定IP为192.168.0.146，端口分别为101和102。
OK，在IE中分别输入http://192.168.0.146:101和http://192.168.0.146:102测试两站点是否建立成功。
三、配置过程
1、建立用户组和用户
新建一用户组webs，以后所有站点用户全部隶属于该组，以便于权限分配。
建立用户web01，注意要钩选"密码永不过期"(否则背后会出现"HTTP 401.1 - 未授权：登录失败")，并设置其只隶属于webs用户组。同样在建一个用户web02。
2、各分区NTFS权限设置
打开各分区的安全选项卡依次给各分区授于administrator和system完全控制权限，并设置webs组完全拒绝权限。
3、站点文件夹NTFS权限设置
打开E:\web01文件夹属性窗口，选择安全选项卡，先去掉"允许将来自父系的可继承权限传播给该对象"前的钩，经弹出的对话框中选择删除继承权限。
最终确保administrator、system和web01对该文件夹都有完全控制权限。
E:\web02文件夹也一样设置。
4、设置各站点的匿名访问用户
在IIS中打开web01站点属性，选择目录安全性→匿名访问和验证控制→编辑，去掉"集成Windows验证"前的钩，再编辑匿名访问使用的帐号，设置匿名访问帐号为web01(web02站点也一样设置)。
将老兵写的站长助手放至web02站点中进行测试，经测试除站点文件可以浏览外，其他分区均不能访问。
发表评论：
TA的最新馆藏IIS7.5中应用程序池标识是什么_最火下载站
您的位置： >
> IIS7.5中应用程序池标识是什么
IIS7.5中应用程序池标识是什么
　　前几天单位更换了Windows Server 2008 r2系统，由于不太熟悉所以也遇到很多问题，除了之前介绍的关于IIS7.5+PHP+MYSQL环境配置这件事之外，本人还发现IIS7.5的应用程序池中多了一个&标识&，那么IIS7.5中应用程序池标识是什么东西，有什么用，我们就来研究一下。
　　IIS7.5中(仅win7,win2008 SP2,win2008 R2支持)，应用程序池的运行帐号，除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外，还新增了一种ApplicationPoolIdentify
　　win7的官方帮助上是这么说的:ApplicationPoolIdentity & 默认情况下，选择&应用程序池标识&帐户。启动应用程序池时动态创建&应用程序池标识&帐户，因此，此帐户对于您的应用程序来说是最安全的。
　　也就是说&ApplicationPoolIdentity&帐号是系统动态创建的&虚拟&帐号(说它是虚拟的，是因为在用户管理里看不到该用户或用户组，在命令行下输入net user也无法显示，但该帐号又是确实存在的)
　　如何验证该帐号确实是存在的的?打开任务管理器，观察一下:
　　w3wp.exe即iis进程，上图中高亮部分表明该iis进程正在以帐号luckty运行(注意这里的luckty即为上图中的应用程序池名称)
　　好了，搞清楚这个有什么用?
　　先来做一个测试，比如我们在iis里新建一个站点，主目录设置为c:\2\，应用程序池就指定刚才图中的luckty
　　假如我们在该站点的default.aspx.cs里写入这样一行代码 :
　　File.AppendAllText(&C:\\TestDir\\1.txt&,DateTime.Now.ToString());
　　前提是c盘必须先建一个目录TestDir，同时除Administrator,System保留完全控制权外，其它帐号的权限都删除掉
　　运行后，会提示异常： 对路径&C:\TestDir\1.txt&的访问被拒绝。
　　原因很明显:该站点运行时是以应用程序池(luckty)对应的虚拟帐号运行的，而这个虚拟帐号不具备c:\TestDir的访问权限
　　这种情况在web服务器(iis6)安全配置中很常见，比如我们把图片上传目录，常常放在主目录之外，同时以虚拟目录形式挂于站点之下，另外在IIS6中不指定该目录任何执行权限 ，这样即使有人非法上传了asp/aspx木马上去，也无法运行搞不成破坏!言归正传，要想让那一行测试代码正常运行，解决办法很简单，把虚拟帐号的权限加入文件夹安全权限中即可，但是问题来了：这个虚拟帐号我们是不可见的，如果你直接添加名为luckty的用户到文件夹安全帐号里，根本通不过(提示找不到luckty用户)，说明这个虚拟帐号名称并不是&luckty&
　　关键：手动输入 IIS AppPool\luckty (即IIS AppPool\应用程序池名)，再确定，这回ok了.
　　当然除了用&IIS AppPool\应用程序池名&外，windows内部还有一个特殊的用户组Authenticated Users，把这个组加入TestDir的安全权限帐号里也可以，不过个人觉得没有&IIS AppPool\应用程序池名&来得精确.
　　结束语：IIS7.5的虚拟帐号设计确实很棒，想想传统IIS6的时候，为了把同一服务器上的各站点权限分开(以防止木马捣乱)，不得不创建一堆iuser_XXX,iwam_XXX帐号并指定密码，再一个个站点分配过去，累死人!而虚拟帐号设计则让这类管理轻松多了，也不用担心密码过于简单或过期问题。So,还在等什么，赶紧升级到win7/win2008 R2吧!
上一篇： 下一篇：