web-dev-qa-db-ja.com

IISアプリケーションプールをドメインユーザーとして実行することは悪い習慣と見なされていますか?

質問は自明ですが、私が話しているような環境に少しコンテキストを与えるためです。

シナリオは、管理を容易にするためにWebサーバーがドメインに参加していることです。次に、ドメインユーザーとしてWebサイトを実行すると、接続文字列をSSPIとして定義して実行できるようになります。次に、接続文字列のSSPIが機能するように、アプリケーションプールをドメインユーザーとして実行することが有効(または、具体的には推奨/非推奨)ですか。

明らかに、ここで実行することはいくつかあります。たとえば、ドメインユーザーへのアクセスを、それが実行されているマシン(非対話型など)を超えて制限する、強力なパスワードなどです。

これは実際には多くのセキュリティ問題を解決しないことを感謝します。それは出てきた単なる質問であり、常に間違った方法であると考えてきました。私が持っているいくつかの問題を解決するためにこれを行うべきではない具体的な理由を探しています(たとえば、接続文字列を簡単に暗号化できない)。

5
Martin

ローカルアカウントで十分な場合はドメインアカウントを使用しない方がよいという点で、これは理想的ではありませんが、一般的には悪い習慣のレベルに落ちるとは見なされません。特に、最近では一般的である、またはある範囲のドメインリソースへのアクセスを必要とするアプリケーションに複数のWebサーバーがあるシナリオでは、管理が容易になることは確かです。

もちろん、質問で述べたように、サービスタイプのアカウントについてすでに特定した一般的に推奨されているプラ​​クティスに従う必要がありますが、最終的には、適切に管理され、制限されているため、アプリケーションサービスアカウントはさらに多くの攻撃にさらされないはずです。マシンアカウントが同じネットワークリソースにアクセスできるように構成された表面積。

3
Xander