Security

以與 IIS 的匿名使用者相同的身份執行 asp.net 應用程序池是不是一個壞主意?

  • April 23, 2011

對象真的說了這一切,

考慮到安全性,我想為我伺服器上的每個站點提供自己的使用者帳戶,這樣他們就無法訪問彼此的數據。我還想對 sql 使用集成身份驗證,所以我沒有任何密碼在連接字元串中敲擊。

為應用程序池身份和 iis 的匿名使用者帳戶使用相同的帳戶是不是一個壞主意(我對 v6 和 7 的答案感興趣)?

編輯:我看過這篇文章,描述了 IIS7 如何允許您自動使用相同的帳戶,但它是否是一個好主意的問題仍然存在;)

如果是這樣,為什麼?

謝謝

應用程序池帳戶用於在身份驗證(甚至匿名)之前代表網路伺服器訪問資源。這就是 IIS 作為應用程序池使用者讀取 web.config 之類的內容的方式。

一旦通過身份驗證,如果 anon 帳戶和應用程序池帳戶相同,則匿名使用者可以讀取 web.config。IIS 不會提供它,但使用者可以閱讀它。

那麼,在該配置中執行是不是一個壞主意?不,正如您所指出的,IIS7 預設允許您執行此操作。但是,最好使用離散帳戶執行它們,因為它們是獨立的關注點。

根據我的實際經驗,對兩者使用相同的帳戶就可以了。如果有人想要與更好的安全性相關的額外麻煩,那麼我選擇單獨的帳戶選項。

高溫高壓

引用自:https://serverfault.com/questions/137041