I pool di applicazioni IIS sono in esecuzione come utente di dominio considerato una cattiva pratica?

5

Direi che la domanda è auto-esplicativa, ma per dare un po 'di contesto al tipo di ambiente di cui sto parlando.

Lo scenario è che i tuoi server web vengono aggiunti al dominio per semplificare l'amministrazione. Quindi, se eseguiamo il sito come utente del dominio, otteniamo la possibilità di eseguire definire le connessioni come SSPI. È quindi valido (o più specificamente, incoraggiare / scoraggiare) per eseguire il pool di applicazioni come utente di dominio semplicemente in modo che funzioni SSPI per la stringa di connessione.

Ovviamente, ci sono alcune cose che faremmo qui, come un accesso ridotto all'utente del dominio oltre la macchina su cui è in esecuzione (non interattivo, ecc.), password complesse, ecc.

Apprezzo che questo non risolva davvero molti problemi di sicurezza, è solo una domanda che è emersa e ho sempre pensato che fosse la strada sbagliata. Sto cercando ragioni specifiche per cui questo non dovrebbe essere fatto in quanto risolve alcuni dei problemi che abbiamo (ad esempio non possiamo facilmente crittografare le stringhe di connessione).

    
posta Martin 29.02.2016 - 20:49
fonte

1 risposta

3

Non è l'ideale, dal momento che è meglio non utilizzare un account di dominio in cui un account locale sarà sufficiente, ma non direi che in genere si considererebbe un livello di cattiva pratica. Certamente come puoi notare, semplifica l'amministrazione, in particolare in scenari in cui sono presenti più server Web per un'applicazione che in questi giorni è più comune o che è necessario accedere a un intervallo di risorse di dominio.

Ovviamente, come hai notato nella tua domanda, segui le pratiche generalmente raccomandate che hai già identificato per gli account di tipo di servizio, ma alla fine, correttamente gestito e limitato, un account del servizio di applicazione non dovrebbe esporvi a molto più superficie di attacco che gli account macchina configurati per avere accesso alle stesse risorse di rete.

    
risposta data 01.03.2016 - 17:31
fonte

Leggi altre domande sui tag