IIS uygulamasılarının bir dosyaya erişebilmesi için dosya yetkilendirmelerine ihtiyacı vardır.

NTFS yekileri için alttaki yöntemler kullanılabilir.

1- sadece app pool için yetki verme

yetkilendirme yaparken "IIS APPPOOL\YourAppPoolName" "IIS APPPOOL\DatactiveETL" kullanıcılarına yetki verilmeli.

En kısıtılı yetki olur.

2- IIS_IUSRS grubu için yetkilendirme yapılır.

Güvenlik açısından bu grup çok geniş olabilir. Birden fazla uygulaman varsa hepsi aynı klasöre erişebilir. Bu izolasyonu bozar.

3- App pool da advanced setting içerisindeki identity parametresini LocalSystem olarak değiştirmek.

LocalSystem Sistemdeki her şeye erişebileceğinden yetkilendirme yapmaya gerek kalmaz ama iis localde herşeye erişir.

Sistemdeki her şeye erişebilir (diskler, registry, ağ kaynakları vb.) Kodda bir açık varsa saldırgan tüm sistemi ele geçirebilir.

Domain kimlik bilgilerine sahip değildir. SMB paylaşımlarına (\server\paylaşım gibi) erişemez.

Microsoft ve best practice’ler, minimum yetkiyle çalışan servisler kullanılmasını önerir. LocalSystem, tersidir.

LocalSystem Uygulama test aşamasında ise, Hızlıca erişim problemi tespit etmek istiyorsan, Ağ erişimine ihtiyaç duymuyorsa geçici olarak LocalSystem kullanılabilir.

Ama canlı sistemde bu şekilde bırakılmamalı.

4- IIS için Domain ortamında bir kullanıcı oluşturulur.

IIS Application Pool → Advanced Settings → Identity → Custom Account'dan kullanıcı seçilir.

Yeni kullanıcı için ilgili dosyalarda NTFS Read/Write yetkisi verilir.