System.Diagnostics 将允许用户在 IIS7 中终止自己的进程

Question

IIS7中的托管客户可以使用asp.net和System.Diagnostics来列出所有系统的进程ID。他们还可以杀死属于自己的应用程序池的应用程序。对于共享托管环境来说，IIS7 似乎存在很大的安全问题。关于如何阻止普通用户访问 System.Diagnostics 有什么建议吗？如何限制只有管理员才能访问？

Answer 1

与 Windows 2003 和 IIS6 不同，许多共享 Windows 2008/IIS7 托管环境为其客户提供专用应用程序池和完全信任。

虽然客户可能能够启动和终止他们自己的进程（包括他们自己的工作进程），但只要网站运行的帐户的身份被锁定，那么就不会造成真正的损害。另外，对于拥有不断终止自己的应用程序池的代码的客户来说，有什么好处（除了强制重新启动工作进程以允许在需要重新加载某些设置时触发 Application_Start 类型事件）那里）？

我为一个共享托管服务商工作，我们实际上为客户提供了通过我们的管理系统启动、停止和回收其专用池的能力，他们在代码中所做的一切几乎都是相同的事情。

最糟糕的情况是，客户启动了一个消耗大量内存或过多 CPU 的进程（但随后，即使他们自己的 ASP.NET 代码也可能会因为同样的情况而失控）。我们持续监控服务器是否存在此类异常行为，并可以在收到警报后 2-3 分钟内找到肇事者。最终用户将收到友好的警告，并被告知不要再这样做，如果他们这样做，他们的网站将立即关闭。

唯一一次我担心托管服务商是否以完全信任的方式运行共享池，但如果他们这样做，那么他们就需要克服其他所有安全问题，进程终止将是他们最不担心的。