Cuenta de servicio del servicio de publicación World Wide Web de IIS 7

2

Tenemos un requisito de seguridad para IIS 7 (Windows 2008R2) que dice lo siguiente:

  

La ID de la cuenta de servicio utilizada para ejecutar el sitio web debe cambiar su contraseña al menos una vez al año.

     
    
  1. Vaya a Inicio, Herramientas administrativas, luego Servicios.
  2.     
  3. Haga clic con el botón derecho en el nombre del servicio World Wide Web Publishing Service, seleccione Propiedades, luego seleccione la pestaña Iniciar sesión.
  4.     
  5. El nombre de usuario junto a esta cuenta es el ID de cuenta del servicio web. Si se enumera otro usuario que no sea IUSR, continúe con el paso 4. Si se utiliza la cuenta de servicio IUSR para ejecutar el servicio, esto no es un hallazgo.
  6.     
  7. Abra un indicador de comando e ingrese Usuario de red [ID de cuenta de servicio], presione Entrar.
  8.     
  9. Verifique los valores del último conjunto de contraseña y la contraseña caducará para asegurarse de que se haya cambiado la contraseña en el último año, y se requerirá que se modifique en el próximo año.
  10.     
     

Configure el ID de la cuenta de servicio, que se utiliza para ejecutar el sitio web, para cambiar su contraseña al menos una vez al año o para usar la cuenta de servicio IUSR.

No hay detalles de implementación específicos y parece una guía de versiones anteriores de IIS. IUSR no está disponible para su selección como una cuenta de servicio "iniciar sesión como" para el servicio de publicación World Wide Web y los intentos de cambiar la cuenta han fallado. ("Error 1079: La cuenta especificada para este servicio es diferente de la cuenta especificada para otros servicios que se ejecutan en el proceso".) El intento de usar la misma cuenta para el Servicio de Activación de Procesos de Windows y el Servicio de Publicación en la World Wide Web también fracasó ( "Error 1068: el servicio o el grupo de dependencia no se pudo iniciar.")

Es cierto que no soy un experto en IIS 7, por lo que si alguien tiene instrucciones paso a paso para lograr esto, agradecería la ayuda. Avísame si he omitido alguna información necesaria. Gracias!

    
pregunta user3271228 15.01.2015 - 17:44
fuente

1 respuesta

3
  

Tenemos un requisito de seguridad para IIS 7 (Windows 2008R2) que dice lo siguiente:

Lamento que esté sujeto a esta política altamente cuestionable. Es una gran molestia operativa y un riesgo de tiempo de inactividad por muy poco beneficio de seguridad. Las contraseñas de servicio están sujetas a diferentes riesgos y limitaciones a las contraseñas de los usuarios, no es apropiado aplicar controles de contraseña de usuario como requisitos de rotación.

  

IUSR no está disponible para su selección como una cuenta de servicio "iniciar sesión como" para el servicio de publicación World Wide Web

No deberías tocar la cuenta del Servicio WinNT de WWWPS, no sé de dónde proviene este enfoque. El servicio deberá permanecer como root (LocalSystem) para que pueda suplantar las cuentas en las que se ejecutan los grupos de aplicaciones.

La configuración de los usuarios del servicio para las propias aplicaciones se debe hacer configurando los grupos de aplicaciones, generalmente a un usuario integrado como el ApplicationPoolIdentity predeterminado (¡pero no use LocalSystem!). A menos que necesite acceder a los recursos de la red, en cuyo caso necesitará una cuenta de servicio de dominio, y luego deberá verificar la contraseña que usa la cuenta de servicio si está sujeta a una horrible política de rotación de contraseñas.

    
respondido por el bobince 18.01.2015 - 15:13
fuente

Lea otras preguntas en las etiquetas