IIS 7万维网发布服务帐户

Question

我们对IIS 7(Windows2008R2)有一个安全要求，内容如下：

用于运行网站的服务帐户ID必须至少每年更改其密码。

1. 开始，管理工具，然后是服务。
2. 右键单击“服务名称万维网发布服务”，选择“属性”，然后选择“登录”选项卡。
3. 此帐户旁边的用户名是web服务帐户ID。如果列出了IUSR以外的其他用户，请继续执行第4步。如果服务帐户IUSR用于运行服务，则这不是一个查找。
4. 打开命令提示符，输入Net User 服务帐户ID，按Enter键。
5. 验证密码上一次设置和密码过期的值，以确保密码在过去一年中已更改，并将被要求在下一年内更改。

配置用于运行网站的服务帐户ID，使其密码至少每年更改一次或使用服务帐户IUSR。

没有具体的实现细节，这似乎是从早期版本的IIS转来的指导。IUSR无法作为万维网发布服务的“登录作为”服务帐户选择，更改帐户的尝试已失败。(“错误1079:为该服务指定的帐户不同于为进程中运行的其他服务指定的帐户”)。为Windows进程激活服务和万维网发布服务使用相同帐户的尝试也失败(“错误1068:依赖关系服务或组启动失败”)。

诚然，我不是IIS 7的专家，所以如果有人有一步一步的指令来完成这个任务，我将非常感谢您的帮助。如果我遗漏了任何必要的信息，请告诉我。谢谢!

Answer 1

我们对IIS 7(Windows2008R2)有一个安全要求，内容如下：

我很抱歉你承担了这一非常值得怀疑的政策。这是一个很大的操作麻烦和停机的风险，因为很少的安全胜利。服务密码受到不同的风险和用户密码的限制，因此对其应用用户密码控制(如旋转要求)是不合适的。

不能选择IUSR作为万维网发布服务的“登录”服务帐户

您不应该碰WWWPS的WinNT-服务帐户，我不知道这种方法是从何而来的。服务将需要保持为根用户(LocalSystem)，因此它可以模拟应用程序池正在运行的帐户。

为应用程序本身设置服务用户应该通过设置应用程序池来完成，通常设置为默认的ApplicationPoolIdentity (但不要使用LocalSystem!)。除非它需要访问网络资源，在这种情况下，您将需要一个域服务帐户，然后您将需要检查服务帐户正在使用的密码，如果它受可怕的密码轮换策略的限制。