假设我有一个文件夹,文件或共享,我希望几乎所有的域用户都可以访问这个文件夹,文件或共享(该域位于专用networking内)。我也有一些网域服务器面向公众的网站界面等等。 如果Web服务器因为某种原因而受到攻击,比如说用户的身份被破坏,通常可以访问前面提到的文件/文件夹/共享,我想这样做是为了让用户无法读取或执行该文件/文件夹/共享只要它们的主要环境包括那些Web服务器之一。
我不能通过简单地否认计算机账户来实现这一点。 我怎样才能做到这一点?
与Windows Server 2012和2012 R2中的dynamic访问控制 (DAC)相比,最接近您要寻找的最接近的function,但我不认为你会最终站在所有必要的基础设施那。 即使你站起来DAC,你依靠很多“移动部分”,你应该有一个分层防御“带和吊带”的方法。
把DAC放在一旁,我想你应该首先使用第3-7层访问控制机制(ACL,防火墙设备等)来分割你的networking,把那些执行公共angular色的服务器放到你networking的一部分严格的入口和出口规则,以防止这些服务器,如果他们成为妥协,作为网关攻击networking的其余部分。 如果这意味着你必须把一些angular色分配给新的主机,那就这样吧。 我倾向于认为你应该有安全区域的物理分离的那些人之一,只要是可行的。 单独的交换机,虚拟主机,防火墙,IDS等应该是理想的,只有在可行性的情况下,你才能摆脱困境。
你是对的关心这个。 我的一个朋友关联了一个外部Web应用程序pentest,最终成为公共Web应用程序所在的“防火墙后面”局域网上Active Directory的成功入侵。 这种事情可以发生。