Как запретить использование web.config файлов?
Если сервис ограничен известной группой пользователей затем, VPN и набор брандмауэра будут достаточно легкими настроить.
Вы могли даже просто использовать брандмауэринг здесь, если Вы знаете, что пользовательские IP-адреса статичны (внутренняя корпоративная сеть). Все, что Вы делаете, добавляют правила позволить известные хосты и затем отклонить все другой.
Если пользователи придут снаружи на динамических адресах затем, то VPN плюс брандмауэр будет работать хорошо здесь.
Можно использовать SSL сверху всего этого также для добавления другого уровня безопасности, который не будет неудобен для пользователей, поскольку это прозрачно и ничего не требует от них.
Нашел соответствующий параметр - он называется allowSubDirConfig .
Его можно указать либо в элементе virtualDirectoryDefaults (для всех сайтов), либо в элементе virtualDirectory в файле applicationHost.config .
Пример:
<configuration>
<system.applicationHost>
<sites>
<site name="Default Web Site" id="1" serverAutoStart="true">
<application path="/">
<virtualDirectory path="/" physicalPath="%SystemDrive%\inetpub\wwwroot" />
<virtualDirectory path="/Temp" physicalPath="C:\TempRoot" allowSubDirConfig="false" />
</application>
<applicationDefaults applicationPool="DefaultAppPool" />
<virtualDirectoryDefaults allowSubDirConfig="true" />
</sites>
</system.applicationHost>
</configuration>
] web.config файлы в виртуальном каталоге / Temp не будут проверяться.
Есть и другие способы: http://www.sourceinaction.com/blog/web.config-dependencies-for-multiple-asp.net-web-applications
Have a look at the answer from Anil Ruia here: http://forums.iis.net/t/1161527.aspx?Disable+creating+web+configs+in+each+folder
If you go to applicationhost.config and lock all the sections (overrideModeDefault="Deny"), then IIS manager will write all IIS config settings to applicationhost.config (same for asp.net config setting and root web.config file). Note that this will completely prevent someone from being able to use web.config files to override IIS settings - and they may scream about it.
Простым способом запретить пользователям использовать WebDav для изменения файлов web.config является использование правил разработки WebDav. Просто создайте правило поверх всех остальных, которое дает всем пользователям НЕТ разрешений на файлы web.config.
Дополнительные сведения. Если вы включили и настроили WebDav через графический интерфейс, вы уже должны знать, что доступ к [Правилам разработки WebDav] осуществляется через значок в графическом интерфейсе IIS. Сначала вы вошли в этот раздел на уровне сайта, чтобы включить WebDav, затем снова вошли в раздел [Правила разработки WebDav] на уровне папки WebDav, чтобы добавить правило, предоставляющее пользователю/группе доступ к [Все файлы] в этой папке. Перед вводом этого правила вы добавляете правило, которое применяется только к файлам [web.config], [Всем пользователям], и оставляете все разрешения НЕпроверенными. Итак, правило находится НА ВЕРХУ, и имеет приоритет над тем, что дает доступ, поэтому никто не может использовать WebDav для изменения файлов web.config. Вы также можете изменить порядок правил после создания, если это необходимо.
На этой странице есть описание того, как настроить сайт для WebDav. Я использовал метод графического интерфейса. Если вы последуете этому, станет очевидно, где находится этот раздел: https://www.server-world.info/en/note?os=Windows_Server_2019&p=iis&f=9