Hay ciertas cuentas que genera Windows en forma predeterminada que no requieren password y son una vulnerabilidad, ya que es posible utilizarlas sin ingresar su password.
Para conocer si una cuenta requiere password o no, debemos ejecutar el siguiente comando:
>net user IUSR_testServer
User name IUSR_testServer
Full Name
Comment Built-in account for IIS
User's comment
Country code 000 (System Default)
Account active Yes
Account expires Never
Password last set 03/06/2011 11:12:42 p.m.
Password expires Never
Password changeable 03/06/2011 11:12:42 p.m.
Password required No
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 03/06/2011 11:12:42 p.m.
Logon hours allowed All
Local Group Memberships *Users
Global Group memberships *None
The command completed successfully.
Una vez que detectamos estas cuentas debemos analizar si la aplicacion que la usa (En nuestro caso el IIS) puede reconfigurarse y setearle el password para que sea utilizado.
Una vez realizado este analisis es necesario forzar que requiera password con el siguiente comando:
net user /passwordreq:yes NombreUsusario
Una vez realizado esto, es recomendable reiniciar el servicio que utilice este usuario para comprobar que todo siga funcionando sin problemas.
Tambien será necesario controlar que el IIS tenga el password correcto ingresado en los sites que utilicen dicha cuenta. Si fuera otra aplicación verificar que la aplicación tenga el password correctamente ingresado.