神秘的ApplicationPoolIdentity再也不用媽媽擔心程式池安全了

標籤：

在IIS 7和IIS 7.5中，我們可以為應用程式集區設定一個特殊的Identity（使用者標識）：ApplicationPoolIdentity。 那麼這個標識到底是什麼意思？它是具體什麼身份呢？這一講我將為你揭曉答案。

這個標識設定會在應用程式集區啟動的時候，動態地產生一個使用者身份，這個使用者身份只具備對網站根目錄的存取權限，這樣可以進一步地保證伺服器的安全性。

作為管理員和開發人員，都需要瞭解這個設定的特性。

視頻地址

http://www.tudou.com/programs/view/9R-5nGHQLvg/

 

文本講義：

IIS7.5中(僅win7,win2008 SP2,win2008 R2支援)，應用程式集區的運行帳號，除了指定為LocalService,LocalSystem,NetWorkService這三種基本類型外，還新增了一種ApplicationPoolIdentify 

 

win7的官方協助上是這麼說的:

ApplicationPoolIdentity – 預設情況下，選擇“應用程式集區標識”帳戶。啟動應用程式集區時動態建立“應用程式集區標識”帳戶，因此，此帳戶對於您的應用程式來說是最安全的。

也就是說"ApplicationPoolIdentity"帳號是系統動態建立的“虛擬”帳號(說它是虛擬，是因為在使用者管理裡看不到該使用者或使用者組，在命令列下輸入net user也無法顯示，但該帳號又是確實存在的) 

如何驗證該帳號確實是存在的的？開啟工作管理員，觀察一下:

w3wp.exe即iis進程，中高亮部分表明該iis進程正在以帳號luckty運行(注意這裡的luckty即為中的應用程式集區名稱)

好了，搞清楚這個有什麼用?

先來做一個測試，比如我們在iis裡建立一個網站，主目錄設定為c:\2\，應用程式集區就指定剛才圖中的luckty

假如我們在該網站的default.aspx.cs裡寫入這樣一行代碼 :

File.AppendAllText("C:\\TestDir\\1.txt",DateTime.Now.ToString());

前提是c盤必須先建一個目錄TestDir，同時除Administrator,System保留完全控制權外，其它帳號的許可權都刪除掉

運行後，會提示異常： 對路徑“C:\TestDir\1.txt”的訪問被拒絕。

原因很明顯:該網站運行時是以應用程式集區(luckty)對應的虛擬帳號啟動並執行，而這個虛擬帳號不具備c:\TestDir的存取權限

這種情況在web伺服器（iis6）安全配置中很常見，比如我們把圖片上傳目錄，常常放在主目錄之外，同時以虛擬目錄形式掛於網站之下，另外在IIS6中不指定該目錄任何執行許可權 ，這樣即使有人非法上傳了asp/aspx木馬上去，也無法運行搞不成破壞!

言歸正傳，要想讓那一行測試代碼正常運行，解決辦法很簡單，把虛擬帳號的許可權加入檔案夾安全許可權中即可，但是問題來了：這個虛擬帳號我們是不可見的，如果你直接添加名為luckty的使用者到檔案夾安全帳號裡，根本通不過(提示找不到luckty使用者)，說明這個虛擬帳號名稱並不是"luckty"

關鍵：手動輸入 IIS AppPool\luckty （即IIS AppPool\應用程式集區名），再確定，這回ok了.

 

當然除了用"IIS AppPool\應用程式集區名"外，windows內部還有一個特殊的使用者組Authenticated Users，把這個組加入TestDir的安全許可權帳號裡也可以，不過個人覺得沒有"IIS AppPool\應用程式集區名"來得精確.

結束語：
傳統IIS6的時候，為了把同一伺服器上的各網站許可權分開(以防止木馬搗亂)，不得不建立一堆iuser_XXX,iwam_XXX帳號並指定密碼，再一個個站台指派過去，累死人！ 而IIS7.5虛擬帳號設計則讓這類管理輕鬆多了，也不用擔心密碼過於簡單或到期問題。So,還在等什麼，趕緊升級到win7/win2008 R2吧！

 

 

神秘的ApplicationPoolIdentity再也不用媽媽擔心程式池安全了