11
我通常会创建一个有限的权限用户并运行该过程,但事实上,在2008年IIS7下自动创建的池使用此帐户使我认为这是完全安全的,并且可能比我创建的更多?来自雷德蒙德的整个安全默认推送会让我相信这是事实。在NT AUTHORITY NETWORK SERVICE下运行池是否安全?
我通常会创建一个有限的权限用户并运行该过程,但事实上,在2008年IIS7下自动创建的池使用此帐户使我认为这是完全安全的,并且可能比我创建的更多?来自雷德蒙德的整个安全默认推送会让我相信这是事实。在NT AUTHORITY NETWORK SERVICE下运行池是否安全?
是的,它是安全的。 Services and Service Accounts Security Planning Guide
还有一件事。使用本地服务帐户更好(不要混淆本地系统帐户!)。它在本地服务器上具有与网络服务相同的权限。但没有网络权限。网络服务可以使用计算机帐户的权限(如经过身份验证的用户)访问网络资源。
更新1(回复评论):
据我了解。两个选项都可以使用。您的应用程序代码在应用程序池标识下未运行(默认情况下)。但根据用户身份验证您的网站。或者,如果允许匿名用户,则为iuser_computername帐户。应用程序池标识很重要的原因是您可以通过代码进行注册,因此攻击者也可以注入他的代码,以将应用程序的标识更改为应用程序池标识。
这就是说,还有更多的复杂因素太多无法发布。
所以如果我的代码必须启动一个调用Web服务(从服务器端),本地服务将无法正常工作,但网络服务会? – keithwarren7 2008-12-15 00:33:25