Usando a identidade do App Pool vs conta local no IIS

3

Devo endurecer os aplicativos da web que desenvolvemos em nossa empresa. Decidi criar um pool de aplicativos separado para cada site para essa finalidade. Minha pergunta é se usar a identidade do pool de aplicativos é mais seguro ou usar contas locais / de domínio separadas para cada pool de aplicativos?

    
por Pooya Yazdani 12.10.2014 / 14:47

1 resposta

3

O motivo para usar uma identidade do pool de aplicativos é puramente uma questão de segurança. Há outro nome para isso no Windows - eles também são chamados de "contas virtuais".

As contas de 'serviço de rede' e especialmente de 'máquina local' têm privilégios demais por padrão. O Local Machine tem acesso irrestrito a todo o sistema, e o Network Service tem a capacidade de interagir com outros serviços do Windows que também estão sendo executados como Serviço de Rede. A identidade do pool de aplicativos e as contas virtuais em geral são apenas um mecanismo direto pelo qual você pode atribuir somente os direitos mínimos necessários ao serviço e não uma queda a mais. Ele também ajuda a manter as coisas diretamente de uma perspectiva de ACL e auditoria, porque você teria dificuldade em rastrear qual "Serviço de Rede" executou alguma ação na máquina, etc.

    
por 12.10.2014 / 17:28