Безопасно ли запускать пул под NT AUTHORITY\NETWORK SERVICE?

Question

Безопасно ли запускать пул под NT AUTHORITY\NETWORK SERVICE?

Обычно я создаю пользователя с ограниченными правами и запускаю процесс под этим, но тот факт, что пулы, автоматически созданные в IIS7 в 2008 году, используют эту учетную запись, заставляет меня думать, что это совершенно безопасно, и, возможно, в большей степени, чем то, что я создаю? Весь толчок "Безопасного по умолчанию" из Редмонда заставил меня поверить, что это так.

12

asp.net security iis iis-7 windows-server-2008

Источник

user40714 14 дек '08 в 23:53

1 ответ

Решение

Другие вопросы по тегам asp.net security iis iis-7 windows-server-2008

user25737 15 дек '08 в 00:14 2008-12-15 00:14 · Accepted Answer · 2008-12-15 00:14

Да, это безопасно. Руководство по планированию безопасности сервисов и учетных записей

Еще кое-что. Еще лучше использовать локальную учетную запись службы (не путать с локальной системной учетной записью!). Он имеет такое же разрешение на локальном сервере, что и сетевой сервис. Но не имеет сетевых разрешений. Сетевая служба может получать доступ к сетевым ресурсам с разрешениями учетной записи компьютера (например, аутентифицированного пользователя).

Обновление 1 (ответ на комментарий):

Насколько я понимаю. оба варианта будут работать. Код вашего приложения не запускается (по умолчанию) под идентификатором пула приложений. Но под личностью пользователя, который проходит аутентификацию на вашем сайте. Или, если разрешен анонимный пользователь, учетная запись iuser_computername. Причина того, что идентификация пула приложений важна, заключается в том, что вы можете с помощью кода, так что злоумышленник, который внедрит свой код, тоже может изменить идентификацию вашего приложения на идентификацию пула приложений.

Тем не менее, есть дополнительные сложности, которые слишком много, чтобы разместить.