【发布时间】:2026-01-12 05:45:01
【问题描述】:
我通常会创建一个受限权限用户并在其下运行该进程,但 2008 年在 IIS7 下自动创建的池使用此帐户这一事实让我认为这是非常安全的,而且可能比我创建的更安全?来自 Redmond 的整个 Secure By Default 推动会让我相信情况就是如此。
【问题讨论】:
标签: asp.net security iis iis-7 windows-server-2008
【发布时间】:2026-01-12 05:45:01
【问题描述】:
是的,它是安全的。 Services and Service Accounts Security Planning Guide
还有一件事。最好使用本地服务帐户(不要与本地系统帐户混淆!)。它在本地服务器上与网络服务具有相同的权限。但没有网络权限。网络服务可以通过计算机账号(如认证用户)的权限访问网络资源。
更新 1(回复评论):
据我所知。这两个选项都可以。您的应用程序代码未在应用程序池标识下运行(默认情况下)。但是在对您的站点进行身份验证的用户的身份下。或者,如果允许匿名用户,则为 iuser_computername 帐户。应用程序池标识之所以重要,是因为您可以通过代码,因此注入代码的攻击者也可以将您的应用程序标识更改为应用程序池标识。
也就是说,还有更多的复杂情况无法发布。
【讨论】:
-
所以如果我的代码必须启动对 Web 服务的调用(从服务器端),本地服务将无法工作,但网络服务会?