那些遇到过的问题

IIS 中的 IUSR 和 IWAM 帐户是什么?

Gen*_*ror 23 security windows iis

我正在寻找对 IIS 使用的 IUSR 和 IWAM 帐户的一个很好的解释,以帮助我更好地配置我们的托管环境:

  • 他们为什么在那里?
  • 它们之间有什么区别?
  • 名字代表什么有意义的东西吗?
  • 我应该做出哪些最佳实践更改?
  • IIS 还为我提供了将应用程序池作为网络服务、本地服务或本地系统运行的选项。我是不是该?
  • 我的网络服务器是域的一部分,这如何改变事情?

在将多个站点部署到服务器时,创建这些帐户的您自己的版本似乎很常见,这会引发一些额外的问题:

  • 我什么时候可以创建自己的 IUSR 和 IWAM 帐户?
  • 我应该如何创建这些附加帐户,以便他们拥有正确的权限?

我使用的 IIS 6 和 IIS 7 大多采用默认配置。

K. *_*ley 34

IUSR 和 IWAM 可以追溯到 IIS 的早期,当您单独安装它时(而不是作为操作系统组件)。默认情况下,如果网站允许匿名身份验证,则使用 IUSR 帐户来获得操作系统的权限。这可以从默认值更改。有一些安全建议至少重命名帐户,因此它不是“已知”帐户,就像建议重命名服务器上的管理员帐户一样。您可以在 MSDN 上了解有关IUSR 和身份验证的更多信息。

IWAM 是为任何进程外应用程序设计的,仅当您处于 IIS 5.0 隔离模式时才在 IIS 6.0 中使用。您通常会在 COM/DCOM 对象中看到它。

对于应用程序池标识,默认情况下作为网络服务运行。您不应以本地系统身份运行,因为该帐户的权限高于管理员的权限。所以这基本上让您使用网络服务、本地服务或除这两个之外的本地/域帐户。

至于怎么做,这要看情况。将其保留为网络服务的一个优点是这是服务器上的有限权限帐户。但是,当它通过网络访问资源时,它显示为 Domain\ComputerName$,这意味着您可以分配权限,允许网络服务帐户访问资源,例如在不同机器上运行的 SQL Server。此外,由于它显示为计算机帐户,如果您启用 Kerberos 身份验证,那么如果您通过服务器名称访问网站,则 SPN 已经就位。

如果您希望特定帐户访问网络资源(例如访问基于 Web 的应用程序的 SQL Server 的服务帐户),则您可以考虑将应用程序池更改为特定的 Windows 域帐户。ASP.NET 中还有其他选项可以在不更改应用程序池标识的情况下执行此操作,因此这不再是绝对必要的。您考虑使用域用户帐户的另一个原因是您正在执行 Kerberos 身份验证,并且您有多个 Web 服务器为 Web 应用程序提供服务。一个很好的例子是,如果您有两个或多个 Web 服务器为 SQL Server Reporting Services 提供服务。前端可能会指向一个通用的 url,例如reports.mydomain.com 或reporting.mydomain.com。在这种情况下,SPN 只能应用于 AD 内的一个帐户。如果您的应用程序池在每台服务器上的 Network Service 下运行,那将不起作用,因为当它们离开服务器时,它们显示为 Domain\ComputerName$,这意味着您拥有的帐户数量与为服务器提供服务的服务器数量一样多应用程序。解决方法是创建一个域帐户,将所有服务器上的应用程序池标识设置为相同的域用户帐户并创建一个 SPN,从而允许 Kerberos 身份验证。对于像 SSRS 这样的应用程序,您可能希望将用户凭据传递到后端数据库服务器,那么 Kerberos 身份验证是必须的,因为这样您就必须配置 Kerberos 委派。d 拥有与为应用程序提供服务的服务器一样多的帐户。解决方法是创建一个域帐户,将所有服务器上的应用程序池标识设置为相同的域用户帐户并创建一个 SPN,从而允许 Kerberos 身份验证。对于像 SSRS 这样的应用程序,您可能希望将用户凭据传递到后端数据库服务器,那么 Kerberos 身份验证是必须的,因为这样您就必须配置 Kerberos 委派。d 拥有与为应用程序提供服务的服务器一样多的帐户。解决方法是创建一个域帐户,将所有服务器上的应用程序池标识设置为相同的域用户帐户并创建一个 SPN,从而允许 Kerberos 身份验证。对于像 SSRS 这样的应用程序,您可能希望将用户凭据传递到后端数据库服务器,那么 Kerberos 身份验证是必须的,因为这样您就必须配置 Kerberos 委派。

我知道有很多东西需要考虑,但简短的回答是,除了本地系统,这取决于。

Mar*_*son 9

IUSR = 互联网用户,即您网站的任何匿名、未经身份验证的访问者(即几乎所有人)

IWAM = Internet Web Application Manager,即您的所有 ASP 和 .NET 应用程序都将在此帐户下运行

一般来说,IUSR 和 IWAM 应该只能访问他们需要的东西。他们永远不应该被授予访问其他任何东西的权限,以防这些帐户被盗用,然后他们就无法访问任何重要的东西。

这就是我可以帮助您解决的问题列表的全部内容,在 IIS 管理方面具有更多经验的其他人可能能够进一步帮助您!

Wil*_*sum 7

我总是求助于这个指南 -

http://learn.iis.net/page.aspx/140/understanding-the-built-in-user-and-group-accounts-in-iis-70/

你可以在 iis.net 上找到很多

简而言之 - IUSR 只是默认情况下对 c:\inetpub\wwwroot 具有权限的开箱即用的访客帐户。

归档时间:

查看次数:

104202 次

最近记录:

13 年,8 月 前
相关归档
如何处理 Docker 容器内的安全更新? 135
我如何知道安装了哪个版本的 IIS? 110
在硬盘驱动器上钻孔是否足以使其数据无法恢复? 99
MariaDB 是 MySQL 的安全替代品吗? 32
Linux 加固 - Web 服务器 31
如何最好地调整 Windows 开发机器? 12
禁用 Windows Server 2008 防火墙 9
IIS - CPU 使用率在几天内逐渐增加,直到 100% 5
使用新的 HD (HP DL380 G3) 扩展 Raid5 4
如何在 Windows Server 2008 下以“NT AUTHORITY\SYSTEM”运行命令? 2
难疑归档
如何在 Powershell 中压缩/解压缩文件? 104
平均负载高,CPU 使用率低 - 为什么? 92
如何按进程开始时间对 ps 输出进​​行排序? 82
pg_dump 和 pg_restore:输入文件似乎不是有效的存档 81
如何列出与使用 pip 或 easy_install 安装的 Python 包关联的文件? 76
iptables 等价于 mac os x 68
ZFS 与 XFS 68
为什么要在内部使用 IPv6? 57
Linux上的Ctrl-Alt-Delete*真的*危险吗? 55
如何在 linux 中 ping 直到知道主机? 55