偽装する必要がありますPHP FastCGIを介して？

13か月後、自分自身の質問を再確認したいと思いました。その間に、私はIIS 6からIIS 7.5に）の6のウェブサイトを転送し、私の好みの方法でそれらを構成しました。動作し、セキュリティ上の問題はありません（これらは人気のあるサイトではありません）。私の意見では、設定はlearn.iis.netが推奨するものよりも安全です。

後世のために、関連する設定を以下に示します。 PHP INI：

cgi.force_redirect = 0
cgi.fix_pathinfo=1
fastcgi.impersonate = 0

IISの場合：

• アプリケーションプール> ID>ApplicationPoolIdentity
• ウェブサイト>認証>匿名認証>特定のユーザー：[〜＃〜] iusr [〜＃〜]

NTFSアクセス許可とそれらを適用する場所：

• [〜＃〜] iusr [〜＃〜]-読み取りの許可、書き込みの拒否
  • IIS Webサイトのルートディレクトリ。たとえば、Zend Frameworkプロジェクトでは、これは/ publicディレクトリになります。
  • アプリケーションがファイルをアップロードしてパブリックディレクトリに保存する場合は、この権限を一時アップロードディレクトリに適用する必要があります。 move_uploaded_file はアップロードディレクトリの権限を保持するためです。これは、私が見つけたこの権限設定の最大の欠点です。
• ApplicationPoolIdentity（IIS AppPool\<<YourApplicationPoolName>>）-読み取りとリストの付与
  • PHPアプリケーションのルート。たとえば、Zend Frameworkプロジェクトの場合、これはプロジェクト全体になります。
  • アプリケーションに含まれておらず、アプリケーションフォルダーに含まれていない外部ライブラリ（Zend、Doctrineなど）。
• ApplicationPoolIdentity-変更の許可
  • アプリケーションが書き込む場所（upload_tmp_dir、session.save_path、error_logなど）。
  • Doctrineのプロキシの自動生成 のようなものをサポートするために、開発環境のPHPアプリケーションのルートにこの権限を追加する必要がある場合があります。
• ApplicationPoolIdentity-許可リスト
  • アプリケーションが仮想ディレクトリにある場合は、この権限をWebサイトのルートに追加する必要があります。これにより、アプリケーションは親のweb.configを読み取ることができます。たとえば、アプリケーションルートが http://example.com/MyPHPApp の場合、example.com Webディレクトリにこの権限を設定します。具体的には、「このフォルダとファイル」、「このコンテナ内のみ」にのみ適用する必要があります。

これが、learn.iis.netの指示が理想的でないと判断した人にとって役立つことを願っています。