我一直花费数小时试图学习和理解IIS 7.5中的Windows身份validation,Kerberos,SPN和约束委派。 有一件事我没有得到,为什么让pipe理员,首席执行官等启用授权(即不禁用敏感账户授权)是“冒险”的。有人可以简单地向我解释这个吗? 请框架你的答案相对于内联网的环境。
我的推理是,这不应该成为一个问题,因为委托只是允许前端Web服务器在与其他服务器进行通信时代表Windows Authenticated人员进行操作。 如果这个人有访问权限,他们有权访问,我不明白为什么这应该是一个问题。
请原谅我的无知。 我主要是一名开发人员,但是现在我的公司运行得非常精简,而且我也不得不戴上服务器pipe理员帽子…不幸的是,它仍然不太合适,哈哈。
两个例子:
受约束的委托可以启用模拟,而不需要用户的凭证或身份validation令牌。 例如,看到这个答案 。
在一个更典型的肉和土豆无约束授权的情况下,无论是Windows集成身份validation或表单身份validation,有委托访问用户的身份validation令牌非常强大。 这实际上意味着令牌可以用来模拟该用户访问任何networking资源。 参与这个过程的任何人,比如开发者,都可能以恶意的方式使用它来获得未经授权的访问。
在这两个例子中,如果检查“帐户是敏感的,不能委派”框,这些都不是安全问题。 在这些function确实存在的情况下构build一个系统/function也是可能的,但是要严格控制。
应该为pipe理帐户(例如Enterprise Admins组的成员)检查该框,因为(希望)这些帐户很less需要使用需要模拟的应用程序。 对于掌握敏感信息的高级pipe理人员,如CIO,首席运营官,财务/财务部门负责人等,也是一个好主意。
所以最重要的是微软提供了这个checkbox和附带的警告,但是除非能certificate某个特定的场景没有不良的风险暴露或者一些补偿控制,否则不应该被解雇或者轻率放弃。 这通常涉及一些不涉及实际实施或开发申请或系统的合格人员进行审查。
我已经设立了1000多名客户,其中大部分是不受限制的。 我认为重要的是要注意,如果你不信任你的应用程序(可以说是部署在IIS上),或者你给我们的委托服务帐户凭据供其他人自由使用,那么受限制的委托可能是一个好主意。 但是,如果您不希望任何人有能力重写您的应用程序,您可以保证您的服务帐户凭据安全,并且您相信您的应用程序只会委托给他们devise的服务,然后在那里通常没有什么可担心的。 我看到一些“安全意识”的客户非常重视像这样的问题,而他们的资源可能会更好地花在真正的安全威胁上。