A conta “NETWORK SERVICE” parece altamente privilegiada na minha instalação do Windows 2008 SP2 (padrão)

Navegue suas respostas
2

Eu tenho uma nova instalação do Windows 2008 Standard em uma conta de hospedagem dedicada da Godaddy. Eu atualizei a instalação para o SP2.

Vários aplicativos estão sendo executados no IIS, em pools de aplicativos usando "NetworkService" como a identidade do pool. Estou acessando os aplicativos anonimamente pela internet.

Ao contrário do Windows 2003, esta parece ser uma conta altamente privilegiada. Eu acho que meus aplicativos têm acesso de leitura a todos os diretórios no disco. Verifiquei isso criando um aplicativo simples no IIS que lê o conteúdo de um diretório arbitrário e imprime o conteúdo do primeiro arquivo de texto encontrado. Isso funcionou para cada pasta que eu tentei, incluindo C: \ Windows \ System32. Tentativas de escrever falharam, no entanto.

Meu instinto está me dizendo que este não pode ser o comportamento correto, mas meu Win2k8-fu não é strong.

O que estou vendo é normal? Devo estar executando os pools de aplicativos usando uma identidade diferente?

    
por Bryan Slatner 24.09.2010 / 15:05

1 resposta

2

O que você está vendo é normal. A conta "Serviço de Rede" é equivalente à conta SYSTEM local, que é uma conta muito privilegiada. IIRC, o Serviço de Rede é diferente do Serviço Local ou do Sistema, pois em um contexto de Domínio ele pode acessar recursos em computadores remotos; direitos atribuídos à conta da máquina limitam o que pode ver no domínio.

A conta usada por um aplicativo IIS7 é definida pela conta usada pelo Pool de Aplicativos de suporte.

O"ApplicationPoolIdentity" é um novo recurso do IIS7. Para obter detalhes sobre como configurar direitos para isso, há uma questão de falha de servidor que abrange isso ( link ). O método mais seguro é criar um usuário personalizado nessa caixa apenas para o pool de aplicativos e atribuir direitos a esse usuário.

Para acessar a tela suspensa acima:

  1. Abra o Gerenciador do IIS.
  2. Abra os pools de aplicativos.
  3. Selecione o pool de aplicativos em questão.
  4. No quadro do lado direito, selecione "Configurações avançadas"
  5. Em "Modelo de processo", você encontrará "Identidade". É aqui que a lista suspensa é.
por 24.09.2010 / 18:51

Tags

Backup Solution para Windows e Ubuntu Testar a distorção do relógio de vários servidores