11
我通常會創建一個有限的權限用戶並運行該過程,但事實上,在2008年IIS7下自動創建的池使用此帳戶使我認爲這是完全安全的,並且可能比我創建的更多?來自雷德蒙德的整個安全默認推送會讓我相信這是事實。在NT AUTHORITY NETWORK SERVICE下運行池是否安全?
我通常會創建一個有限的權限用戶並運行該過程,但事實上,在2008年IIS7下自動創建的池使用此帳戶使我認爲這是完全安全的,並且可能比我創建的更多?來自雷德蒙德的整個安全默認推送會讓我相信這是事實。在NT AUTHORITY NETWORK SERVICE下運行池是否安全?
是的,它是安全的。 Services and Service Accounts Security Planning Guide
還有一件事。使用本地服務帳戶更好(不要混淆本地系統帳戶!)。它在本地服務器上具有與網絡服務相同的權限。但沒有網絡權限。網絡服務可以使用計算機帳戶的權限(如經過身份驗證的用戶)訪問網絡資源。
更新1(回覆評論):
據我瞭解。兩個選項都可以使用。您的應用程序代碼在應用程序池標識下未運行(默認情況下)。但根據用戶身份驗證您的網站。或者,如果允許匿名用戶,則爲iuser_computername帳戶。應用程序池標識很重要的原因是您可以通過代碼進行註冊,因此攻擊者也可以注入他的代碼,以將應用程序的標識更改爲應用程序池標識。
這就是說,還有更多的複雜因素太多無法發佈。
所以如果我的代碼必須啓動一個調用Web服務(從服務器端),本地服務將無法正常工作,但網絡服務會? – keithwarren7 2008-12-15 00:33:25