[研究]GCB IIS 10.0「匿名使用者識別」從「IUSR」改為「應用程式集區識別」會否產生問題？

[研究]GCB IIS 10.0「匿名使用者識別」從「IUSR」改為「應用程式集區識別」會否產生問題？

2025-10-23

續

[研究]Windows Server 2019 套用 GCB IIS 10.0設定路徑圖解(1)基本設定
https://shaurong.blogspot.com/2025/10/windows-server-2019-gcb-iis-1001.html

項次	TWGCB-ID	類別	原則設定名稱	說明	設定位置	設定路徑	GCB設定值
6	TWGCB-04-014-0006	基本設定	匿名使用者識別	這項原則設定決定匿名使用者識別是否設為「應用程式集區識別」 將匿名驗證中之「匿名使用者識別」設定為「應用程式集區識別」，可確保匿名使用者以最小權限之身分執行，可簡化站台管理工作	伺服器	IIS 管理員\伺服器\IIS\驗證\動作\開啟功能\匿名驗證\動作\編輯\編輯匿名驗證認證\匿名使用者識別	應用程式集區識別

https://go.microsoft.com/fwlink/?LinkId=210461#Anonymous

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831496(v=ws.11)?redirectedfrom=MSDN#Anonymous

https://learn.microsoft.com/zh-tw/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831496(v=ws.11)?redirectedfrom=MSDN#Anonymous

********************************************************************************

Windows Server 2019 的 IIS 10.0 套用 政府組態基準(Government Configuration Baseline，簡稱GCB)

TWGCB-04-014_Microsoft IIS 10政府組態基準說明文件v1.1_1141002.pdf

https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/attachfilegcb/TWGCB-04-014_Microsoft%20IIS%2010%E6%94%BF%E5%BA%9C%E7%B5%84%E6%85%8B%E5%9F%BA%E6%BA%96%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6v1.1_1141002.pdf

其中 IIS 管理員\伺服器\IIS\驗證\動作\開啟功能\匿名驗證\動作\編輯\編輯匿名驗證認證\匿名使用者識別 "匿名使用者識別" 從 IUSR 改為 "應用程式集區識別" 會否產生問題 ?

ChatGPT

一、背景說明

在 IIS 10.0 (Windows Server 2019) 中，匿名驗證 (Anonymous Authentication) 是讓未經驗證的使用者能夠存取網站的主要機制。

它有兩種常見的執行帳號設定：

選項	說明	實際執行帳號
IUSR (預設)	IIS 內建的低權限匿名帳號，全系統共用	IUSR 本機帳號
應用程式集區識別 (Application Pool Identity)	每個應用程式集區使用自己專屬的虛擬帳號執行	IIS APPPOOL\<AppPoolName>

二、設定位置

IIS 管理員 → 網站 → 驗證 → 匿名驗證 → 右鍵「編輯」「編輯匿名驗證認證」選擇：

• 特定使用者 (IUSR)
• 應用程式集區識別 (Application pool identity)

三、改用「應用程式集區識別」的影響分析

✅ 優點

1.安全性較佳（符合最小權限原則）

• 每個應用程式集區有自己獨立的虛擬帳號，例如：IIS APPPOOL\MyAppPool
• 不同網站間不再共用同一個 IUSR，避免橫向權限問題。
• 依據 GCB 強化分權，這樣更能符合原則。

2.易於存取控制

• 你可以在檔案或資料夾 NTFS 權限中，授權給特定集區帳號：IIS APPPOOL\MyAppPool → Read/Execute
• 不會影響其他網站的存取。

3.相容於 GCB（政府組態基準）

• 根據你提供的文件（TWGCB-04-014），該基準建議將匿名使用者改為應用程式集區識別，以確保隔離性與可稽核性。

潛在風險與注意事項

風險類型	說明	解決方式
檔案權限不足	若網站目錄 NTFS 權限僅授權給 IUSR 或 Users，改成集區帳號後會出現「401.3 - Unauthorized」或「403.14 Forbidden」。 敝人註：檔案上傳目錄要注意	需明確授權 IIS APPPOOL\<AppPoolName> 存取該目錄。
外部共用內容無法使用	若網站需要存取共用資料夾 (UNC path)，集區識別為虛擬帳號時無法跨機器驗證。	改為使用 指定網域帳號 或建立對應服務帳號。
某些舊版 ASP.NET 或 Classic ASP 模組	若程式中明確檢查 IUSR，可能造成邏輯錯誤。 敝人註：若使用「ASP.ENT身份辨識機制 (ASP.NET Identity)」，功能可能異常，CODE要改；因 IUSR 和 IIS APPPOOL\<AppPoolName> 權限的回傳值不同	檢查程式邏輯，改以 User.Identity.IsAuthenticated 判斷。

四、最佳實務建議

項目	建議設定
匿名驗證帳號	應用程式集區識別
應用程式集區執行帳號	預設 ApplicationPoolIdentity（虛擬帳號）
網站資料夾權限	授權 IIS APPPOOL\<AppPoolName> 具備「讀取與執行」權限
若需跨伺服器資源	改以「自訂身分」帳號設定應用程式集區，避免匿名失敗

五、結論

問題	答案
將「匿名使用者識別」從 IUSR 改為「應用程式集區識別」會否產生問題？	✅ 在正確設定 NTFS 權限的前提下，不會產生問題。 敝人註：只說要正確設定，但沒說不需要變更設定、沒說不需要改CODE
是否建議修改？	✅ 是，且符合政府組態基準（GCB v1.1）建議。
是否會造成安全風險？	❌ 不會，相反地，它提高安全性與隔離性。
何時可能出問題？	只有在網站目錄權限未授權給該集區帳號，或應用需跨伺服器時。

敝人註：IIS 設定變更要生效，可能需要重新啟動 IIS (甚至需要 Windows Reboot )

********************************************************************************

若使用到潛在風險與注意事項，建議多評估是否要變更為 GCB 建議，避免系統到處異常，CODE大改。

(完)