作为域用户运行 IIS 应用程序池是否被认为是不好的做法?

信息安全 Web应用程序 iis 活动目录 sql服务器 sspi
2021-09-01 02:31:16

我想说这个问题是不言自明的,但是要为我正在谈论的那种环境提供一些背景信息。

场景是您的网络服务器正在加入域以使管理更容易。然后,如果我们以域用户的身份运行网站,我们就可以将连接字符串定义为 SSPI。那么它是否有效(或更具体地说,鼓励/不鼓励)以域用户身份运行应用程序池,以便连接字符串的 SSPI 起作用。

显然,我们会在这里做一些事情,例如减少对域用户的访问超出其运行的机器(非交互式等)、强密码等。

我很欣赏这并不能真正解决许多安全问题,这只是一个出现的问题,我一直认为这是错误的方法。我正在寻找不应该这样做的具体原因,因为它解决了我们遇到的一些问题(例如,我们无法轻松加密连接字符串)。

1个回答

这并不理想,因为最好不要使用本地帐户就足够的域帐户,但我不会说它通常会被认为是一种不好的做法。正如您所注意到的,它当然可以使管理更容易,特别是在您拥有多个 Web 服务器的应用程序的情况下,这些应用程序现在更常见,或者需要访问一系列域资源。

当然,正如您在问题中所指出的那样,您必须遵循您已经为服务类型帐户确定的一般推荐做法,但最终,如果管理得当并受到限制,应用程序服务帐户不应让您受到更多攻击机器帐户配置为可以访问相同网络资源的表面积。

其它你可能感兴趣的问题
上一篇反向代理+WAF 下一篇关于 Snort 规则和警报调整的文档,尤其是针对新用户