Вопрос: Какой смысл учетной записи службы?


На работе они хотят, чтобы я создал учетную запись службы для запуска пула приложений для моего веб-приложения в iis.

Почему это было бы полезно и / или необходимо?


8
2017-11-19 14:30


Источник




Ответы:


Это дает вашему приложению конкретную учетную запись, с помощью которой вы можете установить безопасность. Обычно процесс запускается как учетная запись пользователя IIS, и для этого есть все атрибуты, связанные с этой учетной записью. Создав учетную запись только для этого приложения, вы можете назначить права на эту учетную запись только для ресурсов, которые ей нужны. Это значительно снижает шансы любого, кто использует ваше приложение, и снижает вероятность того, что ваше приложение окажет негативное влияние на часть системы, к которой он не должен иметь доступа.


11
2017-11-19 14:37



также, если вы больше не работаете в компании, служба все еще может работать :) - Robert S Ciaccio


Учетная запись службы используется для двух вещей: Изоляция и аудит.

Изоляция позволяет предоставить минимальные права, необходимые для обслуживания учетной записи службы, гарантируя, что даже если злоумышленник будет использовать эту услугу и получить доступ к локальной системе, его способность наносить дополнительный ущерб ограничена. Даже в случае, когда злоумышленник не является проблемой, эта функция не позволяет багги-сервису выполнять другие службы.

Аудит может помочь учетным записям служб, поскольку каждое действие, выполняемое другой службой, регистрируется как поступающее от другого пользователя, что делает дифференциацию одного плохого поведения у других, которые работают правильно, легче.

Хотя это основное использование учетных записей служб, есть другие, такие как настройка производительности. Выполнение каждой службы как другого пользователя позволяет использовать существующее распределение ресурсов для каждого пользователя для управления ресурсами, доступными для службы.

Я считаю обязательной политику для всех служб службы для любой системы, которая надеется быть в безопасности.


8
2017-11-19 14:59





В принципе: если приложение ломается, то ущерб, который он может сделать, ограничивается только файлами, которые принадлежат или могут быть зарегистрированы этим пользователем. Кроме того, если приложение скомпрометировано, то такое же ограничение распространяется на данные, к которым можно получить доступ через него.

В принципе, каждый элемент программного обеспечения должен иметь доступ только к ресурсам, которые ему нужны, и ничто другое. Естественно, всегда есть упрощения и компромиссы, но запуск веб-приложения под его собственным аккаунтом является одной из основных мер применения этого.


4
2017-11-19 14:41