我正在寻找最佳实践,支持,微软指南或相同的博主/开发者指南。或两者兼而有之。
我正在设置一些托管服务器,我想用足够的权限配置它们。我之前已经修改了中信任并给了它数据库权限等,但我只是简要介绍了它。
我想设置具有人们使用的相应,通用权限的实体机器。是否有资源可以详细解释每个信任级别默认情况下的内容?这样我可以比较并从那里开始。
为了启动安全性,我在我的机器上制定了一条规则,我只为每个站点/用户创建专用的应用程序池。我知道微软说每个网站都是独立的,即使在共享应用程序池空间,但我只是不相信它。
我也知道我不应该在Full Trust中运行,因为我正在打开我的服务器以进行各种攻击。
我对此有一些了解,但还不够,所以希望你们能帮助我。我不想被勺子喂吃什么,我没有问题弄清楚,我只是找不到信息开始。
感谢您的帮助。
安东尼
我正在跑步: Windows 2008 RC2 64位,带有IIS7.5以及2.0 / 3.5和4.0应用程序池的组合。
答案 0 :(得分:0)
严格的最佳做法是“不要让任何事情对任何事情做任何事情”,但这通常会适得其反 - 如果您没有接收HTTP请求,则您没有可用的HTTP应用程序服务器。
那就是说,你的问题非常笼统,非常模糊。第一个关键问题是“这是什么类型的托管方案?”例如,完全信任在专用场景中不一定是坏事,或者甚至是应该相互信任的“友好”应用程序之间的共享服务器。但是在酒店服务器的情况下,你有随机的客人共享空间是很糟糕的。
第二个问题是你主持什么类型的应用程序?根据你的行为,你有完全不同的正面 - 垃圾邮件发送者并不像小偷那样努力。间谍更加努力。