了额外的安全性,应使用具有相对本地系统帐户较弱权限的帐户运行 ASP.NET 应用程序辅助进程 (aspnet_wp.exe)。这样做后,如果安全性被突破,入侵者也不会有管理权限。这是因为本地系统帐户可以访问本地计算机中的几乎所有未特定指出拒绝其访问的资源。若要使用指定帐户运行辅助进程,请如下所示将 <processModel> 元素添加到根配置文件 (machine.config),它位于\%windows%\Microsoft.NET\Framework\Version\Config 文件夹:<!-- machine.config file -->
<system.web>
<processModel
enable="true"
username="domain\user"
password="password"
/>
</system.web>
除了指定特定用户帐户外,还可以将 username 属性设置为两个特定识别值(“SYSTEM”和“MACHINE”)之一。对于这两种情况,因为不要求特定凭据,所以必须将密码属性设置为 AutoGenerate。默认配置为“SYSTEM”,它使用本地系统帐户运行辅助进程。如果指定“MACHINE”,则辅助进程使用名为 ASPNET 的本地帐户。该帐户与 IWAM_machinename 帐户类似,IIS 使用该帐户在承载使用 ASP 3.0 和之前版本生成的应用程序时运行 dllhost.exe 的实例。该 ASPNET 帐户是在安装 .NET 框架的过程中创建的。 如果使用自定义帐户,该帐户必须有下列访问权限: 要求有对 %installroot%\ASP.NET Temporary Files 目录的读/写访问权限。此根目录下的子目录用于动态编译的输出。
要求有对 %temp% 目录的读/写访问权限,动态编译时编译器会使用该目录。
要求有对应用程序目录的读访问权限。
要求有对 %installroot% 层次结构的读访问权限以允许访问系统程序集。
如果对于 ASP.NET 辅助进程使用自定义帐户,请注意这对于使用模拟的限制。仍可以模拟已经过身份验证的客户端的标识,因为 IIS 创建登录会话并将模拟令牌直接传递到辅助进程。但是,不能模拟应用程序 Web.config 文件中定义的帐户。若要这样做则要求进程帐户是受信任的计算机组的一部分,这使该帐户能作为操作系统的一部分。通常情况下,为 ASP.NET 辅助进程配置的帐户没有此权限。 ==================================
弯弯的月亮小小的船,小小的船,两头尖,我在小小的船里坐,只看见闪闪的
星星蓝蓝的天.
<system.web>
<processModel
enable="true"
username="domain\user"
password="password"
/>
</system.web>
除了指定特定用户帐户外,还可以将 username 属性设置为两个特定识别值(“SYSTEM”和“MACHINE”)之一。对于这两种情况,因为不要求特定凭据,所以必须将密码属性设置为 AutoGenerate。默认配置为“SYSTEM”,它使用本地系统帐户运行辅助进程。如果指定“MACHINE”,则辅助进程使用名为 ASPNET 的本地帐户。该帐户与 IWAM_machinename 帐户类似,IIS 使用该帐户在承载使用 ASP 3.0 和之前版本生成的应用程序时运行 dllhost.exe 的实例。该 ASPNET 帐户是在安装 .NET 框架的过程中创建的。 如果使用自定义帐户,该帐户必须有下列访问权限: 要求有对 %installroot%\ASP.NET Temporary Files 目录的读/写访问权限。此根目录下的子目录用于动态编译的输出。
要求有对 %temp% 目录的读/写访问权限,动态编译时编译器会使用该目录。
要求有对应用程序目录的读访问权限。
要求有对 %installroot% 层次结构的读访问权限以允许访问系统程序集。
如果对于 ASP.NET 辅助进程使用自定义帐户,请注意这对于使用模拟的限制。仍可以模拟已经过身份验证的客户端的标识,因为 IIS 创建登录会话并将模拟令牌直接传递到辅助进程。但是,不能模拟应用程序 Web.config 文件中定义的帐户。若要这样做则要求进程帐户是受信任的计算机组的一部分,这使该帐户能作为操作系统的一部分。通常情况下,为 ASP.NET 辅助进程配置的帐户没有此权限。 ==================================
弯弯的月亮小小的船,小小的船,两头尖,我在小小的船里坐,只看见闪闪的
星星蓝蓝的天.
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货