IIS 7 Account del servizio di pubblicazione sul World Wide Web

Naviga le tue risposte
2

Abbiamo un requisito di sicurezza per IIS 7 (Windows 2008R2) che legge come segue:

The service account ID used to run the web site must have its password changed at least annually.

  1. Go to Start, Administrative Tools, then Services.
  2. Right click on service name World Wide Web Publishing Service, Select Properties, then select the Log On tab.
  3. The username next to this account is the web service account ID. If any other user than IUSR is listed, continue to step 4. If the service account IUSR is used to run the service, this is not a finding.
  4. Open a command prompt and enter Net User [service account ID], press Enter.
  5. Verify the values for Password last set and Password expires to ensure the password has been changed in the past year, and will be required to change within the coming year.
     

Configurare l'ID account di servizio, utilizzato per eseguire il sito Web, per modificarne la password almeno una volta l'anno o utilizzare l'account di servizio IUSR.

Non ci sono dettagli specifici sull'implementazione e sembra che l'orientamento sia stato riportato da versioni precedenti di IIS. IUSR non è disponibile per la selezione come account di servizio "Accedi come" per il servizio Pubblicazione sul Web e i tentativi di modifica dell'account non sono riusciti. ("Errore 1079: l'account specificato per questo servizio è diverso dall'account specificato per altri servizi in esecuzione nel processo.") Anche un tentativo di utilizzare lo stesso account per il Servizio Attivazione processo Windows e il Servizio Pubblicazione sul Web non è riuscito ( "Errore 1068: impossibile avviare il servizio di dipendenza o il gruppo.")

Sono certo che non sono un esperto di IIS 7, quindi se qualcuno ha istruzioni passo-passo per farlo, gradirei l'aiuto. Fammi sapere se ho omesso qualsiasi informazione necessaria. Grazie!

    
posta user3271228 15.01.2015 - 17:44
fonte

1 risposta

3

We have a security requirement for IIS 7 (Windows 2008R2) that reads as follows:

Mi dispiace che tu sia afflitto da questa politica altamente discutibile. Sono molti i problemi operativi e il rischio di tempi di inattività per una piccola vittoria in termini di sicurezza. Le password di servizio sono soggette a diversi rischi e limitazioni alle password degli utenti, non è appropriato applicare controlli di password utente come i requisiti di rotazione a loro.

IUSR is not available for selection as a "log on as" service account for the World Wide Web Publishing Service

Non dovresti assolutamente toccare l'account del servizio WinNT del WWWPS, non so da dove provenga questo approccio. Il servizio dovrà rimanere root (LocalSystem) in modo che possa impersonare gli account in cui sono in esecuzione i pool di applicazioni.

L'impostazione degli utenti del servizio per le app deve essere effettuata impostando i pool di applicazioni, in genere su un utente predefinito come ApplicationPoolIdentity predefinito (ma non utilizzare LocalSystem!). A meno che non sia necessario accedere alle risorse di rete, nel qual caso sarà necessario un account di servizio di dominio e quindi sarà necessario verificare la password utilizzata dall'account di servizio se è soggetta a un orribile criterio di rotazione della password.

    
risposta data 18.01.2015 - 15:13
fonte

Leggi altre domande sui tag

È ragionevole utilizzare la password dell'applicazione bypassando l'autenticazione a due fattori? [duplicare] Questo metodo è mai stato utilizzato dai virus per verificare se il sistema è già stato infettato?