Я должен укрепить веб-приложения, которые мы разработали в нашей компании. Для этой цели я решил создать отдельный пул приложений для каждого веб-сайта. Мой вопрос: является ли использование удостоверения пула приложений более безопасным или использование отдельных локальных / доменных учетных записей для каждого пула приложений?
Причина использования удостоверения пула приложений - это чисто вопрос безопасности. В Windows для этого есть другое название - их еще называют «виртуальные учетные записи».
Учетные записи «сетевой службы» и особенно «локального компьютера» по умолчанию имеют слишком большие права. Локальный компьютер имеет неограниченный доступ ко всей системе, а сетевая служба имеет возможность работать с другими службами Windows, которые также работают как сетевая служба. Удостоверение пула приложений и виртуальные учетные записи в целом - это простой механизм, с помощью которого вы можете назначать только минимальные права, необходимые для службы, и ни капли больше. Это также помогает сохранить вещи прямо с точки зрения ACL и аудита, потому что вам будет трудно отследить, какая «сетевая служба» выполнила какое-либо действие на машине и т. Д.