Shandurai 10 Geschrieben 11. Mai 2006 Melden Geschrieben 11. Mai 2006 Moin NG, mal eine Frage an IIS-Spezis: Ich bin gerade dabei eine Intranet-software zu implementieren, den Namen halte ich lieber geheim :p Jetzt habe ich einen Win2k3 Web Server, den MBSA drüber laufen lassen, sonstiges Hardening durchgeführt etc... Die virtuellen Verzeichnisse des Produktes liegen unter c:\Intranetsoftware\www\* Jetzt muss ich sehen, dass auf den gesamten Ordner c:\Intranetsoftware\* folgende User VOLLZUGRIFF haben, und zwar JEDER, IWAM, IUSR Laut deren Hotline ist das normal und wird auch benötigt. Mein Gewissen sagt mir aber, dass die Berechtigungen so restriktiv wie möglich gehalten werden sollten. Scheinbar fehlt da ja nur noch der GUEST Account mit VOLLZUGRIFF :D Und wenn ich mich mal unter c:\Inetpub\wwwroot\* umschaue (Standardkonfiguration), dann hat IUSR keine Berechtigungen, schreiben wird sogar definitiv verweigert. IIS_WPG, USER haben lesen. Ich werde nun mal Try & Error ausprobieren, also die Rechte immer weiter zurückfahren. Das scheint mir doch sehr komisch. Was sagt ihr dazu? Danke & Gruß, Andre
Shandurai 10 Geschrieben 11. Mai 2006 Autor Melden Geschrieben 11. Mai 2006 ...na super, es wird noch besser: man kann bei diesem Produkt die virtuellen Verzeichnisse nicht mal auf eine andere Partition verlegen, siehe Directory Traversal Attack...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden