我通常会创建一个有限权限的用户并在其下运行该流程但是在2008年IIS7下自动创建的池使用此帐户的事实让我觉得这是非常安全的,并且可能比我创建的更安全吗?来自雷德蒙德的整个安全默认推动会让我相信这是事实。
答案 0 :(得分:8)
是的,这是安全的。 Services and Service Accounts Security Planning Guide
还有一件事。使用本地服务帐户甚至更好(不要与本地系统帐户混淆!)。它在本地服务器上具有与网络服务相同的权限。但是没有网络权限。网络服务可以使用计算机帐户的权限(如经过身份验证的用户)访问网络资源。
更新1 (回复评论):
据我了解。这两个选项都有效。您的应用程序代码未在应用程序池标识下运行(默认情况下)。但是以对您的站点进行身份验证的用户的身份。或者,如果允许匿名用户,则使用iuser_computername帐户。应用程序池标识很重要的原因是,您可以通过代码,因此注入其代码的攻击者也可以将应用程序的标识更改为应用程序池标识。
那就是说,还有太多的复杂因素无法发布。