通常我会创建一个带有有限权限的用户,并在该用户下运行进程,但事实上,在IIS7中自动创建的应用程序池使用此帐户,这让我认为这样做是完全安全的,甚至比我自己创建的更安全?来自Redmond的整个“默认安全”推动使我相信这是正确的。
1个回答
8
是的,它是安全的。 服务和服务账户安全规划指南
还有一件事。最好使用本地服务账户(不要与本地系统账户混淆!)。它在本地服务器上具有与网络服务相同的权限。但没有网络权限。网络服务可以使用计算机帐户的权限(如已验证用户)访问网络资源。
更新1(回复评论):
据我所知,两个选项都可以。您的应用程序代码(默认情况下)不是在应用程序池标识下运行的,而是在经过身份验证的用户的身份下运行的。或者,如果允许匿名用户,则为iuser_computername帐户。应用程序池标识很重要的原因是,您可以通过代码(攻击者也可以),将应用程序的身份更改为应用程序池标识。
话虽如此,还有更多的复杂性无法列举。
- igalse
1
如果我的代码需要从服务器端启动对Web服务的调用,那么本地服务将不起作用,但网络服务可以吗? - keithwarren7
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 14 当前身份(NT Authority/Network Service)没有写入权限
- 3 SQL Server NETWORK SERVICE 账户权限
- 18 交互式命令提示符作为NETWORK SERVICE
- 36 用户“NT AUTHORITY\NETWORK SERVICE”的登录失败。
- 11 SqlException: 用户“NT AUTHORITY\NETWORK SERVICE”登录失败。
- 52 SQL Server登录错误:用户“NT AUTHORITY\SYSTEM”登录失败
- 7 如何给NT AUTHORITY\IUSR访问共享文件夹内容的权限?
- 5 ASP.NET 用户登录失败:'NT AUTHORITY\NETWORK SERVICE'。
- 3 用户'NT AUTHORITY\NETWORK SERVICE'登录失败
- 11 是否可能在不考虑语言的情况下获取“NT AUTHORITY\NETWORK SERVICE”用户?