添加“网络服务”管理员组帐户

Question

我的网络应用程序在Windows Server 2003下的IIS 6.0中运行，我们都知道在这种情况下，IIS使用用户帐户“网络服务”。

我碰巧必须允许某些用户在我的网页上执行某些操作，并且该操作需要管理员权限。

对我来说最懒的解决方案似乎是将“网络服务”添加到管理员组，并且它确实有效。

我的问题是，这个解决方案有多危险，它会以什么方式危害我的网络服务器的安全？

Answer 1

这通常是“一个坏主意”。如果这是一个面向公众的服务器，那么这是一个非常糟糕的主意。

您应该做的就是将您需要在另一个进程（例如具有提升权限的 Windows 服务）中执行的特定管理任务沙箱化，这就是我们解决此类问题的方法。

然后，我们在 Windows 服务中托管一个远程服务器，并通过命名管道或 TCP/IP 与该服务进行通信（如果是机器对机器，并且是通过后端专用网络）。

有关更多信息，请参阅我为其他用户留下的有关类似问题的答案：

仅执行 IIS7 规定的 Windows 用户帐户< /a>

更好的方法是永远不要在 Web 应用程序和 Windows 服务之间进行直接通信，而是通过作业或消息队列等中介进行通信。您的低特权应用程序发出执行管理任务的请求，您的高特权服务从队列中读取这些任务并执行它们。

在这两种情况下，您都应该确保不会超出每项任务的职责范围。即确保如果任务是在服务器上创建新的 Windows 帐户，则不允许该新帐户获得超出其需要的权限。

Answer 2

如果我要编写一些需要框级管理的 Web 功能，我会使其在自己的应用程序池中成为自己的应用程序，尽可能紧密地锁定该应用程序，为该应用程序池提供一个命名帐户（域资源，如果在 Active Directory 上），然后授予该帐户对该框的管理员权限。将其保留在自己的应用程序池中可以有效地将其与常规应用程序锁定。

NT Authority/Network Service 与您计算机上的大量内容进行交互。我想不出任何充分的理由来获得网络服务管理员权限。

Answer 3

在任何情况下都不要这样做。

如果您将网络服务添加到管理员组，则所有访问您的 Web 应用程序的匿名用户都将默认成为管理员，并且潜在的损害是巨大的。

根据你的问题

<块引用>

我碰巧必须允许某些用户在我的网页上执行某些操作，并且该操作需要管理员权限。

没关系 - 在该网页上使用 Windows 身份验证并使用户成为普通的 Windows 管理员。现在，他们和所有其他管理员可以执行您设置的任务。