IIS 7 World Wide Web Publishing Serviceサービスアカウント
IIS 7(Windows 2008R2))のセキュリティ要件は次のとおりです。
Webサイトの実行に使用されるサービスアカウントIDのパスワードは、少なくとも毎年変更する必要があります。
- 「スタート」、「管理ツール」、「サービス」の順に移動します。
- サービス名World Wide Web Publishing Serviceを右クリックし、[プロパティ]を選択して、[ログオン]タブを選択します。
- このアカウントの横にあるユーザー名は、WebサービスアカウントIDです。 IUSR以外のユーザーがリストされている場合は、手順4に進みます。サービスの実行にサービスアカウントIUSRが使用されている場合、これは結果ではありません。
- コマンドプロンプトを開き、ネットユーザー[サービスアカウントID]を入力して、Enterキーを押します。
- パスワードが最後に設定され、パスワードの有効期限が切れていることを確認して、パスワードが過去1年間に変更されており、翌年以内に変更する必要があることを確認します。
Webサイトの実行に使用するサービスアカウントIDを構成し、そのパスワードを少なくとも毎年変更するか、サービスアカウントIUSRを使用します。
具体的な実装の詳細はなく、IISの以前のバージョンから引き継がれたガイダンスのようです。 IUSRは、World Wide Web発行サービスの「ログオン」サービスアカウントとして選択できず、アカウントを変更しようとして失敗しました。 (「エラー1079:このサービスに指定されたアカウントは、プロセスで実行されている他のサービスに指定されたアカウントとは異なります。」)Windowsプロセスアクティブ化サービスとWorld Wide Web Publishing Serviceに同じアカウントを使用しようとしても失敗しました( 「エラー1068:依存関係サービスまたはグループを開始できませんでした。」)
私は確かにIIS 7の専門家ではないので、誰かがこれを達成するためのステップバイステップの指示を持っている場合、私は助けをいただければ幸いです。必要な情報ありがとうございます!
IIS 7(Windows 2008R2))のセキュリティ要件は次のとおりです。
この非常に疑わしいポリシーにご不満をおかけして申し訳ありません。これは、多くの運用面での煩わしさと、セキュリティの勝利がほとんどない場合のダウンタイムのリスクです。サービスパスワードは、ユーザーパスワードに対するさまざまなリスクと制限の影響を受けます。ローテーション要件などのユーザーパスワードコントロールを適用することは適切ではありません。
IUSRは、World Wide Web Publishing Serviceの「ログオン」サービスアカウントとして選択できません。
WWWPSのWinNT-Serviceアカウントには一切手を触れないでください。このアプローチがどこから来たのかはわかりません。サービスは、アプリケーションプールが実行されているアカウントを偽装できるように、ルート(LocalSystem)のままである必要があります。
アプリ自体のサービスユーザーの設定は、通常はデフォルトのApplicationPoolIdentityなどの組み込みユーザーにアプリケーションプールを設定することで行う必要があります(ただし、LocalSystemは使用しないでください)。ネットワークリソースにアクセスする必要がある場合を除いて、ドメインサービスアカウントが必要であり、willサービスアカウントが使用しているパスワードを確認する必要があります。