서비스 실행을 위해 IUSR을 선택할 수 없습니다.

IUSR은 익명 방문자가 웹 사이트를 탐색할 때 사용되는 보안 컨텍스트입니다. WWW 서비스에는 사용하지 않는 것이 좋습니다.

IIS7.5 이전에는 로컬 IUSR 계정 외에 로컬 계정인 서비스 계정(IWAM)이 생성되었습니다. 새로운 모델은 사이트가 손상된 경우 하나의 웹 사이트가 다른 웹 사이트에 영향을 미칠 수 없도록 다양한 응용 프로그램 풀 ID로 실행되는 것입니다. 아마도 자격 증명을 해당 특정 상자에 제한하기 위해 WWW 서비스에 대한 권한이 없는 로컬 계정을 고려할 것입니다.

WWW 및 Windows Process Activation Service에 대한 로컬 사용자를 사용하여 테스트한 결과 Windows Process Activation Service에 대해 "이 계정에는 충분한 권한이 없습니다."라는 오류 메시지가 계속 표시되었습니다. 그래서 IIS_IUSRS 및 기타 IIS 관련 그룹에 로컬 계정을 추가하고 로컬 보안 정책으로 이동하여 로컬 보안 정책의 사용자 권한 할당에 권한을 추가했습니다.

• 프로세스 수준 토큰 교체
• 프로세스에 대한 메모리 할당량 조정
• 보안 감사 생성
• 일괄 작업으로 로그온

작동하지 않아서 Google에서 도움이 될 만한 내용을 찾은 후 "전역 개체 만들기"를 추가했습니다. 그렇지 않았습니다. 그러다가 집에 갈 시간이 되어서 (테스트 환경임에도 불구하고) 다 풀었습니다.

나는 그런 다음 시도했다

• 인증 후 클라이언트 가장

기쁨이 없습니다. 서비스는 로컬 시스템으로 실행됩니다.내가 작업하던 링크말한다,

로컬 시스템 계정은 컴퓨터에 대한 전체 액세스 권한을 갖고 네트워크에서 컴퓨터 역할을 하는 강력한 계정입니다. 서비스가 로컬 시스템 계정을 사용하여 도메인 컨트롤러에 로그온하는 경우 해당 서비스는 전체 도메인에 액세스할 수 있습니다. 일부 서비스는 기본적으로 로컬 시스템 계정을 사용하도록 구성되므로 이를 변경하면 안 됩니다. 로컬 시스템 계정에는 사용자가 액세스할 수 있는 암호가 없습니다.

죄송합니다. 시도했지만 운이 좋지 않은 것 같습니다. 나열된 권한을 계정에 부여해 볼 수도 있습니다.여기:

• SE_ASSIGNPRIMARYTOKEN_NAME(비활성화됨)
• SE_AUDIT_NAME(활성화됨)
• SE_BACKUP_NAME(비활성화됨)
• SE_CHANGE_NOTIFY_NAME(활성화됨)
• SE_CREATE_GLOBAL_NAME(활성화됨)
• SE_CREATE_PAGEFILE_NAME(활성화됨)
• SE_CREATE_PERMANENT_NAME(활성화됨)
• SE_CREATE_TOKEN_NAME(비활성화됨)
• SE_DEBUG_NAME(활성화됨)
• SE_IMPERSONATE_NAME(활성화됨)
• SE_INC_BASE_PRIORITY_NAME(활성화됨)
• SE_INCREASE_QUOTA_NAME(비활성화됨)
• SE_LOAD_DRIVER_NAME(비활성화됨)
• SE_LOCK_MEMORY_NAME(활성화됨)
• SE_MANAGE_VOLUME_NAME(비활성화됨)
• SE_PROF_SINGLE_PROCESS_NAME(활성화됨)
• SE_RESTORE_NAME(비활성화됨)
• SE_SECURITY_NAME(비활성화됨)
• SE_SHUTDOWN_NAME(비활성화)
• SE_SYSTEM_ENVIRONMENT_NAME(비활성화됨)
• SE_SYSTEMTIME_NAME(비활성화됨)
• SE_TAKE_OWNERSHIP_NAME(비활성화됨)
• SE_TCB_NAME(활성화됨)
• SE_UNDOCK_NAME(비활성화됨)

하지만 Microsoft로부터 그렇게 하지 말라는 종이를 받는 것이 더 쉬울 수도 있습니다.

저도 그 방법을 모색 중이에요. 나는 OP가 나와 동일한 요구 사항을 가지고 있다고 생각합니다. 이는 DoD의 JITC 요구 사항입니다. 여기있어:

Check Content: 
1. Go to Start, Administrative Tools, then Services.
2. Right click on service name World Wide Web Publishing Service, Select Properties, then select the Log On tab.
3. The username next to this account is the web service account ID.  If any other user than IUSR is listed, continue to step 4.  If the service account IUSR is used to run the service, this is not a finding.
4. Open a command prompt and enter Net User [service account ID], press Enter.
5. Verify the values for Password last set and Password expires to ensure the password has been changed in the past year, and will be required to change within the coming year.

Fix Text: 
Configure the service account ID, used to run the web-site, to have its password changed at least annually or use the service account IUSR.

너무 많아여기 오류 수준이 있습니다.정말 짧은 버전:그러지 마세요!

나는 보안 요구 사항을 잘못 해석하고 있거나 IIS 설계 방식을 고려하지 않고 작성되었다고 강하게 의심합니다.

WAS는 로컬 시스템으로 실행되어야 합니다. 마침표. 원격으로 액세스할 수 없으므로 공격 표면이 매우 제한되어 있습니다(예: 로컬 컴퓨터 관리자).

로컬 시스템으로 실행되는 한 가지 이유는 applicationhost.config를 각 응용 프로그램 풀의 고유한 부분으로 분할하여 Inetpub\Temp\AppPools에 자체 격리된 복사본을 가져오기 때문입니다.

또 다른 점은 웹 관리자가 구성한 특정 ID를 사용하여 W3WP(응용 프로그램 풀 작업자 프로세스)를 시작한다는 것입니다. 즉, 앱 풀에 ApplicationPoolIdentity라는 기본 ID가 있다고 말하면 이는 기본 프로세스 ID로 사용되는 고유하고 낮은 권한 계정입니다. 다른 사람을 사칭하지 않습니다.

또 다른 점은 WAS의 ID 변경을 지원하지 않으며 로컬 시스템으로 실행되도록 설계되었다는 것입니다. 그것은 특권적인 과정입니다.

InetInfo였으며 과거(가장 최근에는 Windows 2000 기간)에 페이지 처리를 지원했지만 더 이상 지원되지 않는 WWW 서비스가 권장 대상일 수 있습니다.

그러나 더 이상 페이지 처리(IIS 6+)에는 관여하지 않으며 단지 W3WP에서 나중에 사용할 수 있도록 HTTP.SYS를 구성하는 데만 관여합니다.

따라서 앱 풀(특히 연결된 작업자 프로세스)은 실제 작업을 수행하며 앱 풀 탭을 통해 기본 ID를 구성하고 인증 -> 익명 설정을 통해 익명 작업에 사용되는 특정 계정을 구성할 수 있습니다.

실제 쓰여진 텍스트를 보지도 않고, 그 출처를 이해하지도 않으면, 어딘가에 뭔가 기형이 있는 것 같습니다. 또는 표준 Win32 서비스에 대해서는 조금 알고 있지만 IIS에 대해서는 별로 아는 사람이 작성한 것과 같습니다.

IIS 사이트를 보호 및 격리하고 지침의 의도(작성된 내용이 아닌 경우)를 표면적으로 달성하려면 다음 작업을 수행하면 됩니다.

• 응용 프로그램 풀 ID를 익명 계정(또는 정책에서 요구하는 경우 IUSR)으로 사용하지만 보안이 저하됩니다(사이트별 고유 계정이 아닌 공통 공유 계정이므로).
• IIS AppPool\AppPoolName에만 콘텐츠 폴더에 대한 읽기 권한이 있도록 콘텐츠에 대한 사용 권한을 설정합니다.

그리고 당신은 끝났습니다.