應(yīng)用程序池沙箱的配置

本文在介紹關(guān)于應(yīng)用程序池沙箱的配置的基礎(chǔ)上，重點(diǎn)探討了其具體步驟，步驟簡(jiǎn)單易上手操作，文章內(nèi)容步步緊湊，希望大家根據(jù)這篇文章可以有所收獲。

Windows Server 2008為我們提供了一種全新的特性，這種新的特性允許內(nèi)置Windows用戶將輔助性的獨(dú)特信息注入到工作進(jìn)程和Windows安全令牌中，從而使各個(gè)工作進(jìn)程的資源彼此之間相互隔離。

當(dāng)使用先前版本的 IIS 時(shí)，有時(shí)候很難將不同的 Web 應(yīng)用程序池彼此隔離開(kāi)來(lái)。如果多個(gè) Web 應(yīng)用程序池需要以同一個(gè)身份標(biāo)識(shí)運(yùn)行（例如：Network Service），那么運(yùn)行在一個(gè) Web 應(yīng)用程序池中的代碼就可以使用 File System 對(duì)象來(lái)訪問(wèn)屬于其他 Web 應(yīng)用程序池的配置文件、Web 頁(yè)面等資源。這是因?yàn)楫?dāng)多個(gè)進(jìn)程以 Network Service 身份運(yùn)行時(shí)，我們無(wú)法既允許其中的某一個(gè)進(jìn)程訪問(wèn)某個(gè)文件，同時(shí)又禁止其他進(jìn)程訪問(wèn)同一個(gè)文件。
然而，IIS 7.0 為我們提供了隔離機(jī)制。在 IIS 7.0 中，每個(gè) web 應(yīng)用程序池都擁有一個(gè) web 應(yīng)用程序池配置文件，這個(gè)配置文件是在啟動(dòng)應(yīng)用程序池的過(guò)程中根據(jù)啟動(dòng)情況自動(dòng)生成的。默認(rèn)情況下，這些隨機(jī)生成的配置文件將保存在 C:\inetpub\temp\appPools 文件夾中。每個(gè) web 應(yīng)用程序池都生成了一個(gè)附加的 SID（Security Identifier，安全標(biāo)識(shí)），并且將這個(gè) SID 注入到 w3wp.exe 進(jìn)程中。應(yīng)用程序池的配置文件是使用訪問(wèn)列表進(jìn)行訪問(wèn)控制的，只允許使用了相關(guān) SID 的那些進(jìn)程訪問(wèn)。因?yàn)槊總€(gè) w3wp.exe 進(jìn)程都擁有自己的 SID，所以每個(gè)應(yīng)用程序池的配置文件都只能由一個(gè)擁有相同 SID 的進(jìn)程訪問(wèn)。

看完上述內(nèi)容，你們掌握應(yīng)用程序池沙箱配置的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！