應用程序池沙箱的配置

本文在介紹關于應用程序池沙箱的配置的基礎上，重點探討了其具體步驟，步驟簡單易上手操作，文章內容步步緊湊，希望大家根據這篇文章可以有所收獲。

Windows Server 2008為我們提供了一種全新的特性，這種新的特性允許內置Windows用戶將輔助性的獨特信息注入到工作進程和Windows安全令牌中，從而使各個工作進程的資源彼此之間相互隔離。

當使用先前版本的 IIS 時，有時候很難將不同的 Web 應用程序池彼此隔離開來。如果多個 Web 應用程序池需要以同一個身份標識運行（例如：Network Service），那么運行在一個 Web 應用程序池中的代碼就可以使用 File System 對象來訪問屬于其他 Web 應用程序池的配置文件、Web 頁面等資源。這是因為當多個進程以 Network Service 身份運行時，我們無法既允許其中的某一個進程訪問某個文件，同時又禁止其他進程訪問同一個文件。
然而，IIS 7.0 為我們提供了隔離機制。在 IIS 7.0 中，每個 web 應用程序池都擁有一個 web 應用程序池配置文件，這個配置文件是在啟動應用程序池的過程中根據啟動情況自動生成的。默認情況下，這些隨機生成的配置文件將保存在 C:\inetpub\temp\appPools 文件夾中。每個 web 應用程序池都生成了一個附加的 SID（Security Identifier，安全標識），并且將這個 SID 注入到 w3wp.exe 進程中。應用程序池的配置文件是使用訪問列表進行訪問控制的，只允許使用了相關 SID 的那些進程訪問。因為每個 w3wp.exe 進程都擁有自己的 SID，所以每個應用程序池的配置文件都只能由一個擁有相同 SID 的進程訪問。

看完上述內容，你們掌握應用程序池沙箱配置的方法了嗎？如果還想學到更多技能或想了解更多相關內容，歡迎關注億速云行業資訊頻道，感謝各位的閱讀！