¿Cómo conserva IIS las credenciales de identidad? ¿Crea algún problema de seguridad?

1

Queremos implementar una función similar a IIS en la forma en que recuerda los nombres de usuario y las contraseñas configuradas por el usuario. Como lo entiendo, cuando configura IIS para usar un conjunto de credenciales para una identidad de grupo de aplicaciones y se ejecuta en el contexto de esa identidad usando esas credenciales (nombre de usuario y contraseña), también almacena las credenciales para que cuando la máquina se reinicia, no es necesario que lo vuelva a configurar manualmente para que continúe usando las mismas credenciales.

Sin embargo, dado que las credenciales son persistentes, esto significa que cualquier usuario que pueda acceder al almacenamiento persistente (ya sea el sistema de archivos o alguna otra forma de almacenamiento) podría extraer el nombre de usuario y la contraseña. ¿Es este un problema de seguridad? ¿Cómo resuelve IIS este problema? Si solo guardara un token, que resultaría del nombre de usuario y la contraseña para la autenticación, no funcionaría porque también se extraería el token y se usaría.

    
pregunta ZijingWu 02.09.2013 - 08:34
fuente

1 respuesta

2

No lo hace. Por esta razón, las cuentas de servicio solo deben tener el nivel mínimo de permisos necesarios. Si el servidor de aplicaciones está comprometido, también lo están las cuentas de servicio a las que tiene acceso. Estoy bastante seguro de que incluso un HSM no pudo hacer nada ya que el sistema debe poder obtener la contraseña de cualquier almacenamiento para enviar a los recursos de la red.

    
respondido por el AJ Henderson 02.09.2013 - 08:45
fuente

Lea otras preguntas en las etiquetas