修改iis应用程序池标识添加系统用户

修改iis应用程序池标识，添加系统用户

By ynhu33 85076921

通过应用程序池，你可以配置IIS要启动的工作进程数以及这些进程的更多配置细节。对于IIS管理器中配置的所有应用程序池，Web服务器至少启动一个工作进程。在每个工作进程里，可以容纳多种类型的应用程序--从ISAPI DLL到传统的ASP，当然还有。为了管理应用程序池，IIS 6.0管理器包含了一个新的配置结点，它是应用程序池。

一旦创建了应用程序池，就可以在这个池里运行Web应用程序了。前面提到过，现在通过应用程序池来实现对Web应用程序的隔离；因此，配置虚拟目录和网站时，应用程序池的设定取代了原先在IIS 5.x里介绍的隔离模式设置。

你可以用应用程序池实现的一个有用的隔离策略是安全性。对于每个具有特殊安全权限的应用程序，你可以创建一个具有那些权限的单独的Windows用户，并配置应用程序池把该Windows用户作为标识。

你可以选择的预定义账号如下所示。

网络服务。这是一个受限的账号，具有比本地系统账号小很多的权限。这个账号适合需要访问网络且需从其他机器访问的应用程序使用。

本地服务。这个账号的限制比网络服务账号的限制更多，它适合不需要额外网络访问的服务使用。使用这个账号运行的服务没有访问其他网络资源的权限，它们只能够访问本地资源。本地系统。著名的本地系统账号当然仍然存在。不过，我们不再推荐任何类型的Web应用程序使用这个账号，因为它是系统最强大的账号。它可以在本地系统上执行任意活动，所以用该账号运行的系统也可以做这一切。从根本上说，你的策略应该是应用程序总是运行在"最小权限"账号下，也就是说，这个账号不应该有任何应用程序实际不需要的权限。因此，如果某人能够攻破该应用程序，危害将被限制到最小，因为应用程序运行的账号是受限的。

Windows 2003默认标识是“网络服务”，可以使用黑海洋asp木马验证一下。

运行的用户是network service，权限很低，只能查看用户，不能添加用户。

修改应用池的标识为本地系统，再次查看用户身份为system，可以执行任何命令，包括添加用户。