Websiteudvikler

Jeg har i et stykke tid ignoreret den “nye” brugerkonto i Internet Information Server 7+ som hedder AppPoolIdentity, hvorfor nu sådan en ny fætter. Vi levede jo lykkeligt med “Network Service” eller hvad?

Åbenbart ikke alle, og jeg kan sagtens se fordelene med AppPoolIdentity kontoen. Lad os se om jeg kan overbevise dig om, at det en ret god idé.

Lidt om sikkerhed i IIS

Når jeg i IIS 5 og 6 skulle styre eksekveringen af server-side kode med .NET, brugte jeg altid den system konto som hedder “Network Service” eller “Netværkstjeneste”. Udfordringen er at i hostingsystemer er det så den samme bruger (samme sikkerhed) som alle webløsninger i hosting centeret kører som. IKKE SÆRLIG SMART! Med mindre at hosting systemer lavede en bruger-konto pr. website så ville du faktisk have mulighed for at arbejde på et website på samme server, hvis du ville kunne finde ud af hvad de lokale mapper og filer hedder på serveren.

Forbedringerne med AppPoolIdentity

Hvis vi istedet lader vores Application Pool køre som AppPoolIdentity istedet for NetworkService kontoen, så giver det nu mulighed for at vi med navnet på Application Pool’en kan give den nogle rettigheder, som om det var en almindelig brugerkonto. Det sparer os jo for en masse bruger-konti, nu skal der så bare oprettes Application Pools, når der skal system isoleres – DET ER SMART!

Her vælges AppPoolIdentity som konto for din Application Pool:

Her kan du se, hvordan du får sat rettigheder op på din Application Pool:

Hvis du ikke kan få den til at tilføje din ApplicationPool til din mappe eller fil så brug kommandoen:

ICACLS test.txt /grant “IIS AppPool\DefaultAppPool”:F

Links

http://learn.iis.net/page.aspx/624/application-pool-identities/
http://learn.iis.net/page.aspx/764/ensure-security-isolation-for-web-sites/

Tags: Hosting, IIS, Sikkerhed