Dois-je utiliser les identifiants IUSRS ou de chemin physique?

Question

Récemment, on m'a confié un projet qui nécessite de suivre quelques étapes auxquelles je ne suis pas habitué. En règle générale, lors de la configuration de sites sur un serveur Windows avec IIS, je voudrais simplement installer IIS, le laisser faire, et partir de là ... cette configuration est cependant un peu différente.

Infos Environnement:

• Windows Server 2012
• IIS 8.0
• 4.5 .NET WebAPI 2 Application

Exigences:

• L'application doit être installée dans un dossier "Private Applications". Ce dossier a des permissions très limitées et à peu près toutes les autorisations nécessaires doivent être ajoutées exclusivement.
• application doit être exécutée sur IIS comme une application sous le Site Web par défaut, en utilisant un AppPool en tant qu'utilisateur de domaine spécifique à l'application: "DOMAIN \ appuser"

Problèmes:

• Après l'installation initiale de l'application, IIS commence à émettre des erreurs 401.3. Une trace a révélé que cela est causé spécifiquement par "NT AUTHORITY \ IUSRS" n'ayant pas accès aux dossiers de l'application (même si l'apppool est dit de s'exécuter sous "DOMAIN \ AppUser").

Découverte:

Bien sûr, la première chose que j'ai essayé ajoutais "NT AUTHORITY \ IUSRS" dans le dossier avec les autorisations de lecture/exécution/Liste. Cela a tout pour fonctionner! Malheureusement, cela m'a préoccupé. Si les architectes sont si préoccupés par la sécurité qu'ils feraient en sorte que nous installions des applications internes dans ce dossier "Private Applications", l'accès à quelque chose d'aussi large ne serait-il pas un problème de sécurité? Donc, j'ai décidé de regarder dans plus d'options. J'ai finalement découvert des informations d'identification de chemin physique dans IIS. J'ai mis ces informations d'identification pour correspondre aux informations d'identification de l'utilisateur AppPool (qui a déjà hérité de l'accès à ce dossier) et cela a fonctionné, aussi!

Solutions possibles:

1. Octroyer des autorisations IUSRS sur le répertoire. Appelez-le un jour.

- ou -

2. Définir les informations d'identification Chemin physique pour correspondre aux informations d'identification apppool.

Question (s):

• Quelqu'un peut-il me dire pourquoi l'une des solutions possibles (voir la liste ci-dessus) serait mieux que l'autre si l'effort est de garder le serveur et ses répertoires aussi sécurisé que possible? Suis-je tout simplement paranoïaque dans mon inquiétude au sujet de l'octroi d'autorisation large et aveugle par l'IUSRS?
• Est-ce que certaines de ces options ont des répercussions dont je ne suis pas conscient (en supposant que je suis un idiot)?

Answer 1

Vous pouvez autoriser l'accès au dossier à l'aide du pool d'applications IIS que vous configurez. Lorsque vous définissez la sécurité sur le dossier, modifiez l'emplacement de recherche de l'ensemble du réseau sur l'ordinateur local et recherchez "iis apppool \ defaultapppool" et remplacez defaultapppool par le nom de votre pool d'applications dans IIS. Votre pool d'applications ne doit contenir que la lecture, la liste des dossiers et l'exécution. En outre, vous devrez peut-être passer à l'authentification anonyme dans IIS et cliquez sur modifier et modifier pour passer à travers l'utilisation des informations d'identification de pool d'applications et non anonyme. Si vous ne changez pas cela, il utilisera toujours l'IUSRS pour les demandes anonymes.