我们有一个新的Windows 2008 R2服务器,我们注意到, 域用户组被添加到服务器的本地用户组 。 这台服务器将用于托pipe我们的webapps。 这个组在服务器上似乎是一个安全漏洞。
是否有一个原因,为什么域用户组在本地用户组 ? 我应该删除它吗?
除非您完全确定已经完全testing了更改,否则我不会从成员服务器计算机上的本地“用户”组中删除“DOMAIN \ Domain Users”的默认嵌套。 对于你的应用程序,你在哪里托pipe一个基于Web的应用程序,你可能会很好。 如果该应用程序对用户进行身份validation并冒充他们的域帐户,那么您可能会陷入一个噩梦般的疑难解答世界。 但是,只有你可以知道这一点。
通过这样做,您正在摆脱默认configuration,而我的经验是,Microsoft经常会根据其产品的默认行为编写文档(许多支持资源也会根据默认设置执行故障排除)。
我个人认为,“域名\域名用户”是“用户”的成员,并不会造成任何伤害。 我不认为这是一个“安全漏洞”。 Microsoft在最近版本的Windows中非常注意确保“用户”组是非特权的。 此成员资格不授予成员远程桌面function,能力访问“pipe理”文件共享,远程访问registry的能力等。
你有责任testing这样的修改,并确保环境在你的改变面前正确行事。 我认为在确保您有良好的密码策略,良好的IDS / IPS系统,经过审核的防火墙规则,良好的补丁程序和validation实践,以及对您的Web应用程序的漏洞testing方面,您的时间会更好。 这个组嵌套在我的安全优先级列表中不会很高。
默认情况下,当您将PCjoin域时,会将域用户组放在本地用户组中。 您可以使用GPO删除此…或者,您知道,将其从组中删除。 如果您不希望域用户能够访问此计算机以使其以此方式设置,则没有任何真正的理由。