是否可以在不使用 Medium Trust 的情况下在 IIS7.5 上对 ASP.Net 站点进行沙箱处理？

Question

将站点上的 .Net 信任级别设置为“中”将确保没有代码可以访问应用程序目录之外的文件。

我有一个必须在完全信任模式下运行的 ASP.Net 站点。我已在 IIS 中将我的网站配置为使用自己的 应用程序池标识 (IIS Apppool\www.site-name.com)。

目前，此应用程序中的脚本/代码可以读取应用程序目录之外的文件。发生这种情况的原因是，默认情况下，BUILTIN\users 组成员的帐户能够读取系统上的大多数文件，包括 c:\ 和 c:\windows。看来应用程序池标识帐户也是 BUILTIN\users 的成员。

是否可以在保持完全信任的同时防止网站文件夹外部的文件访问？

Answer 1

如何使用文件/目录 ACL 拒绝 AppPoolIdentity 对所需文件夹的访问？