我见过由具有网络服务标识的Classic App Pool运行的Web应用程序。背后的原因应该是什么?如果使用本地系统/本地服务或其他我们面临的问题。
如果有人知道,请分享您的知识。
答案 0 :(得分:2)
IIS 4.x / 5.x过去常常使用本地系统/本地服务作为IIS进程的默认标识,这会成为系统范围内的风险,因为IIS等Web服务器可能会被黑客入侵。一旦被黑客攻击,恶意代码将在这些强大的帐户下执行,以破解整个Windows机器,以及同一域中可能的其他资源。
因此,当Microsoft设计IIS 6时,他们切换到网络服务,其权限明显低于旧选项。在IIS 7及更高版本中,Microsoft引入了应用程序池标识帐户以减少更多权限。这就是@mason所评论的“最小特权原则”。
然而,整个IIS安全故事并没有在此结束。诸如DMZ等概念将为您的Web环境带来更多安全性,您应该花一些时间通过特定材料(IIS安全书等)学习,而不仅仅是通过Web论坛。