Использование идентификатора пула приложений и локальной учетной записи в IIS

Question

Использование идентификатора пула приложений и локальной учетной записи в IIS

Я должен укреплять веб-приложения, которые мы разработали в нашей компании. Я решил создать отдельный пул приложений для каждого веб-сайта для этой цели. Мой вопрос заключается в том, является ли использование идентификатора пула приложений более безопасным или использование отдельных локальных / доменных учетных записей для каждого пула приложений?

5

iis web-server hardening

Источник

Pooya Yazdani 12 окт '14 в 12:47

1 ответ

Решение

Другие вопросы по тегам iis web-server hardening

Ryan Ries 12 окт '14 в 15:28 2014-10-12 15:28 · Accepted Answer · 2014-10-12 15:28

Причиной использования идентификатора пула приложений является исключительно вопрос безопасности. В Windows есть другое название - они также называются "виртуальными учетными записями".

Учетные записи "Сетевой сервис" и особенно "локальный компьютер" по умолчанию имеют слишком много привилегий. Локальный компьютер имеет неограниченный доступ ко всей системе, а сетевая служба имеет возможность обходить другие службы Windows, которые также работают как сетевая служба. Идентификация пула приложений и виртуальные учетные записи в целом - это простой механизм, с помощью которого вы можете назначать только минимальные права, необходимые для службы, и не упускать больше. Это также помогает сохранять ясность с точки зрения ACL и аудита, поскольку вам будет сложно отследить, какие "сетевые службы" выполняли какие-либо действия на компьютере и т. Д.