【发布时间】:2017-07-19 15:15:01
【问题描述】:
我看到一个由具有网络服务标识的经典应用程序池运行的 Web 应用程序。背后的原因应该是什么?如果使用本地系统/本地服务或其他,我们会遇到什么问题。
如果有人知道,请分享你的知识。
【问题讨论】:
-
我认为你需要了解最小权限原则。
标签: asp.net iis asp.net-identity
【发布时间】:2017-07-19 15:15:01
【问题描述】:
IIS 4.x/5.x 过去使用本地系统/本地服务作为 IIS 进程的默认身份,这成为系统范围的风险,因为像 IIS 这样的 Web 服务器可能会被黑客入侵。一旦被黑客入侵,恶意代码将在这些强大的帐户下执行,以入侵整个 Windows 机器,以及同一域中可能的其他资源。
因此,当微软设计 IIS 6 时,他们切换到网络服务,它的权限比旧选项少得多。在 IIS 7 及更高版本中,Microsoft 引入了应用程序池身份帐户以减少更多权限。这就是@mason 所说的“最小特权原则”。
然而,整个 IIS 安全故事并没有到此结束。 DMZ 等概念将为您的 Web 环境带来更高的安全性,您应该花一些时间通过特定的材料(IIS 安全书籍等)来学习,而不仅仅是通过网络论坛。
【讨论】: