windows - 在 IIs 10 上设置 AppPool，keySet 不存在

经过大量的谷歌搜索，我的意思是很多。我设法解决了这个问题。让我说，让我感到困惑的是，“最低特权帐户”在 Microsoft 和 Windows 世界中并不常见。

我发现 InfoSecMike 的这篇出色的帖子锁定了 azure devops pipelines。

我们对这个话题有完全相同的要求和意见。

您显然不需要管理员权限来更新 IIs 配置（因为那太疯狂了，对吧！？）。IIs 配置 API 不关心你有什么权限，你需要的是访问某些文件。但这没有记录。为了简单起见，Microsoft 自己告诉您，您需要成为管理员，并在最好的做法时将所有细节都埋在文档的深处。令我惊讶的是，没有人质疑它。

您需要的是以下内容：

• 完全访问 C:\Windows\System32\inetsrv\Config
• 完全访问 C:\inetpub
• 对 C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ 中三个密钥的读取权限

6de9cb26d2b98c01ec4e9e8b34824aa2_GUID (iisConfigurationKey)
d6d986f09a1ee04e24c949879fdb506c_GUID (NetFrameworkConfigurationKey)
76944fb33636aeddb9590521c2e8815a_GUID (iisWasKey)

如果您确保您的服务帐户是IIS_IUSRS组的成员，则可以获得前 2 个要点。

该组不会让您访问密钥。您需要手动将这 3 个密钥的读取权限授予代理用户。

如果您不授予对这些密钥的访问权限，您将收到晦涩的错误消息

Keyset does not exist ( exception from HRESULT : 0x8009000D)

如果您问我，这是一个不正确的错误，因为它应该IllegalAccessException有适当的理由告诉您您无权读取密钥，因为密钥在那里，它们确实存在（漂亮的代码微软，也许您应该开源这个所以我们可以修复）。

我将带着来自 infosecmike 的这句话离开。

目标是锁定 Azure Pipeline Agent {...} 的权限。我开始用谷歌搜索，很确定我会找到实现这个目标的方法。我没有。没有找到关于这个的答案是令人惊讶的。似乎最小特权原则不再适用于 devops 世界。

这就是为什么我更喜欢 Linux 而不是 Windows。这是一个简单的任务。