¿Se considera una mala práctica la ejecución de grupos de aplicaciones IIS como usuario de dominio?

4

Diría que la pregunta se explica por sí misma, pero para dar un poco de contexto al tipo de entorno del que estoy hablando.

El escenario es que sus servidores web se están uniendo al dominio para facilitar la administración. Luego, si ejecutamos el sitio web como un usuario de dominio, obtendremos la capacidad de ejecutar definir las cadenas de conexión como SSPI. Entonces, ¿es válido (o más específicamente, se recomienda / no se recomienda) ejecutar el grupo de aplicaciones como usuario del dominio simplemente para que funcione la SSPI para la cadena de conexión?

Obviamente, hay algunas cosas que haríamos aquí, como la reducción del acceso al usuario del dominio más allá de la máquina en la que se está ejecutando (no interactiva, etc.), contraseñas seguras, etc.

Aprecio que esto realmente no resuelva muchos problemas de seguridad, es solo una pregunta que surgió y siempre lo he considerado de la manera incorrecta. Estoy buscando razones específicas por las que esto no debería hacerse, ya que resuelve algunos de los problemas que tenemos (por ejemplo, no podemos cifrar fácilmente las cadenas de conexión).

    
pregunta Martin 29.02.2016 - 20:49
fuente

1 respuesta

2

No es ideal, ya que es mejor no usar una cuenta de dominio donde una cuenta local será suficiente, pero no diría que, en general, se consideraría caer a un nivel de una mala práctica. Sin duda, como puede observar, puede hacer que la administración sea más fácil, especialmente en escenarios donde tiene múltiples servidores web para una aplicación que en estos días es más común que no, o necesita acceso a una variedad de recursos de dominio.

Por supuesto, como ha señalado en su pregunta, debe seguir las prácticas generalmente recomendadas que ya identificó para las cuentas de tipo de servicio, pero en última instancia, una cuenta de servicio de aplicación no debe exponerlo a una cuenta de servicio de aplicación. mucho más área de ataque que las cuentas de la máquina configuradas para tener acceso a los mismos recursos de red.

    
respondido por el Xander 01.03.2016 - 17:31
fuente

Lea otras preguntas en las etiquetas