IUSR 및 방화벽

Question

HNetCfg.FwMgr 개체를 사용하여 서버의 Windows 방화벽에서 포트 제외를 구성하는 기본 ASP 페이지가 있습니다. IIS 6, Win 03 서버에서 Set/CreateKey/Delete 액세스를 IUSR_machine 계정에 HKLM \ SYSTEM \ ControlSet001 \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ GloballyOpenPorts \ List \ 레지스트리 항목에 추가해야했습니다.

새 Windows Server 2008, IIS 7에서 실행할 때 권한이 거부되었습니다. 익명 사용자를 관리자 또는 Users 그룹의 구성원 인 새로 만든 사용자로 변경하면 사용 권한이 거부되지 않고 업데이트가 발생합니다.

방화벽 항목이 저장된 레지스트리의 위치가 변경되었음을 확인했습니다. 그러나 IUSR에 HKLM에 대한 모든 권한을 부여하더라도 포트 제외를 추가하려고하면 권한이 거부됩니다. 그것은 포트 예외의 목록을 잘 읽을 수 있으므로 HNetCfg.FwMgr에 대한 액세스가 정상적으로 작동한다고 가정합니다.

누구나 IUSR에서 해당 개체 (HNetCfg.FwMgr)를 사용하여 제외 항목을 추가 할 수있는 아이디어가 있습니까? 새 fw 정책 2를 사용하여 지금 재 실시합니다.

Answer 1

관리 사용자로 응용 프로그램 풀을 실행해야합니다. 보안이 걱정되면 관리자 권한이있는 가상 디렉터리로 실행하십시오. 해당 가상 디렉터리 (I_user의 제어하에있는 가상 디렉터리)에없는 스크립트에서 xmlhttp를 사용하여 관리자 보안 권한이있는 (방화벽) 가상 디렉터리에서 스크립트를 호출 할 수 있습니다. 이렇게하면 firwall 스크립트의 URL (가상 디렉터리)이 공개되지 않습니다.