Shandurai 10 Geschrieben 11. Mai 2006 Melden Teilen Geschrieben 11. Mai 2006 Moin NG, mal eine Frage an IIS-Spezis: Ich bin gerade dabei eine Intranet-software zu implementieren, den Namen halte ich lieber geheim :p Jetzt habe ich einen Win2k3 Web Server, den MBSA drüber laufen lassen, sonstiges Hardening durchgeführt etc... Die virtuellen Verzeichnisse des Produktes liegen unter c:\Intranetsoftware\www\* Jetzt muss ich sehen, dass auf den gesamten Ordner c:\Intranetsoftware\* folgende User VOLLZUGRIFF haben, und zwar JEDER, IWAM, IUSR Laut deren Hotline ist das normal und wird auch benötigt. Mein Gewissen sagt mir aber, dass die Berechtigungen so restriktiv wie möglich gehalten werden sollten. Scheinbar fehlt da ja nur noch der GUEST Account mit VOLLZUGRIFF :D Und wenn ich mich mal unter c:\Inetpub\wwwroot\* umschaue (Standardkonfiguration), dann hat IUSR keine Berechtigungen, schreiben wird sogar definitiv verweigert. IIS_WPG, USER haben lesen. Ich werde nun mal Try & Error ausprobieren, also die Rechte immer weiter zurückfahren. Das scheint mir doch sehr komisch. Was sagt ihr dazu? Danke & Gruß, Andre Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 11. Mai 2006 Autor Melden Teilen Geschrieben 11. Mai 2006 ...na super, es wird noch besser: man kann bei diesem Produkt die virtuellen Verzeichnisse nicht mal auf eine andere Partition verlegen, siehe Directory Traversal Attack... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.