我非常努力地在Active Directory和Windows(服务器和桌面)环境中删除尽可能多的帐户/angular色。 这意味着尽可能多的用户从本地pipe理员和域pipe理员angular色中退出。 (这包括我们自己的安全团队)。 像许多被迫遵守外部规定的组织一样,我们需要保持职责分离。 我在Windows中杀死的一种内置angular色是“只读本地pipe理员”或“审计员”angular色。 有多个类别的用户应该有权检查所有设置,所有文件系统,并运行所有不改变系统的标准工具。 两个例子 – 我们的安全团队和审计人员,他们经常需要不受限制的访问来检查,而没有(偶然或devise)改变设置的可能性。 对于那些愚蠢地“需要”pipe理员权限的工具和服务帐户,这可能是有用的,迫使我们研究所需的“真实”设置。 这些用户需要能够独立于操作团队行事,而不是依靠他们或其他人来收集有关操作系统级别的所有系统设置的信息。 简而言之 – 我不知道这样的东西是内置的。我在这里寻找资源 – 例如,Powershell脚本,我们可以在服务器上运行,作为预先build立(尽可能)的基准,function等同于上述。 即使是build议设置的源列表或如何将是有用的。 我有很多想法(磁盘,registry,股票ACLS),GPO等等。 为了logging,我确实看到了这样的问题: 是否可以创build一个只读的用户帐户进行安全审计? 。 我希望我的post是足够明确的足够的解释,以吸引更多的单一反应,它收到。
我最近搬到一个新的位置,我们有几个计算机实验室,目前正在限制访问通过运行login脚本检查用户的组成员身份,如果不是在正确的组,显示错误消息,告诉他们如果他们联系认为他们需要访问,并将其注销。 我的两个问题是,它不会显示太久的错误,所以有人可能无法读取它,脚本可以被杀死,让他们login。 我想通过启用“允许本地login”策略并添加适当的组来将此限制移至组策略。 我仍然希望能够显示我们的自定义错误消息,但想知道是否有一种方法来更改由于此策略拒绝login时出现的错误。 我知道一种方法是只更改login屏幕上的文本,但我想保持该区域相对干净(我们已经有一些文本,不想在那里放一本书)。 任何想法,不胜感激。
过去几天我一直在阅读oAuth,但有一件事情对我来说并不完全清楚。 所以我有这个oAuth授权服务器(在这里跳过几个步骤),最后提供了一个访问令牌,允许我访问一个特定的API。 现在大多数文章总是假定这个API将是某种包含用户信息的/ me端点。 假设这个API与Authorization Server位于同一台机器上 我想要做的是通过oAuth在整个networking中保护一些API。 所以,例如,我有这个API在foo.domain.com我的客户端要访问。 所以客户用他的clientId和证书(假设客户端证书授权)与AuthServer通话,并接收到一个AccessToken,它将把请求发送到foo.domain.com 现在我的问题是:foo.domain.com服务器如何访问AccessToken后面的数据(至less应该是clientId和scope)? 它将驻留在某种数据库中,您是否允许API主机访问该数据库? 从安全angular度来看,这似乎相当不安全。 如果我的API主机受到攻击,攻击者可以简单地从数据库中读取所有AccessToken,并访问任何存储令牌的API。 将您的策略限制为只接收“it's”令牌,同时保持集中式用户和凭证pipe理系统。 提前感谢您的build议 wirtsi
我使用Ubuntu 14.04 我目前正在使用无人值守升级将安全补丁应用于我的系统。 我发现内核补丁很频繁 – 大概每周1-2次 – 当然内核补丁需要重启。 除了计划外的重新启动在许多情况下是不可接受的。 我可以使用哪些信息来更好地确定是否应该使用内核补丁? 这个决定可以自动化吗? 例如,我find了Ubuntu内核更新日志,在这里: http : //changelogs.ubuntu.com/changelogs/pool/main/l/linux/linux_3.13.0-67.110/changelog 有一个“紧急=”的标志! 大! 除了不是,不是很好,更改日志中的每个补丁(除了一个)都被设置为“urgency = low”,并且我发现一个Ubuntu文档说Ubuntu中没有使用“紧急度”,所以标志应该设置为“low “(参考: https : //wiki.ubuntu.com/SecurityTeam/UpdatePreparation ) 我正在考虑在无人值守升级时跳过内核补丁,并在预定的更改窗口中手动应用它们。 有没有人有这样的事情可用,自动化的程序?
我有一个简单的ASP.NET站点(在Windows Server 2012 R2和IIS 8.5上)将file upload到服务器。 我想使用Windows内置的encryption服务提供程序(CSP)自动encryption这些文件。 但是,当我尝试encryption刚刚写入磁盘的文件(来自ASP.NET网站)时,我得到: System.IO.IOException occurred HResult=-2146499771 Message=The requested operation cannot be completed. The computer must be trusted for delegation and the current user account must be configured to allow delegation. IIS在默认的IIS_IUSRS帐户下运行,该帐户对该文件夹具有“完全控制”权限。 我试图完成的是一个简单的Web应用程序,其中敏感文件可以由客户端上传,然后只能通过Web应用程序由授权用户访问(无需通过文件系统直接访问,因为只有encryption用户帐户可以解密文件)。 我意识到这个解决scheme有缺点,但是基于公钥/私钥的解决scheme也是如此(您遇到了安全存储解密私钥的问题)。 我主要感兴趣的是解决我的具体情况。 我该如何给App池标识(或IIS_IUSRS)encryption和解密文件(使用CSP)? 注:由于这个问题跨越编程和服务器pipe理,我昨天在这里也发布了类似的问题: https : //stackoverflow.com/questions/33533914/how-to-use-file-encrypt-from-asp-net
我为Windows 2008 R2 Datacenter Edition创build了一个Amazon虚拟实例,当我进入控制面板中的Windows Updates时,自动更新被closures。 我把它们打开,并检查更新,它发现安全更新,所以我假设我采取了正确的行动,但有什么我失踪,他们应该被禁用? 他们开始残疾是有原因吗?
我有一个服务,使用LDAP目录(匿名绑定)来获取用户和他们的密码,以执行身份validation。 问题是,我已经意识到,即使我在密码后面放置字符,我也可以与用户一起login。 作为一个例子,让user1的密码被passwd 。 我的意思是我可以使用服务,如果我inputuser1和密码,但我也可以input,如果我inputuser1和passwdwdwd 。 只要第一个字符是我可以input的真实密码,但我之后键入其他字符。 另一方面,如果我在真实密码之前input字符,则无法使用该服务。 我们在SUSE Linux Enterprise Server 11 SP2中安装了OpenLDAP 2.4.26 slapd的configuration是这样的: include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/rfc2307bis.schema include /etc/openldap/schema/yast.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args access to dn.base="" by * read access to dn.base="cn=Subschema" by * read access to attrs=userPassword,userPKCS12 by self write by * auth access to attrs=shadowLastChange by […]
我有几个窗口文件服务器,但我正在慢慢改变到Freenas / ZFS框,这是更好的工作,但我不知道如何审核当人们改变关键文件夹的权限。 在Windows上,我通过组策略启用对象级审计,然后select我想要审计的文件夹,并在审计选项卡下select“每个人”和“更改权限”。 Freenas框中的CIFS共享都是windows权限,我可以在powershell中查询它们并编写一些花哨的脚本,或者使用相当昂贵的程序给我报告..但是我想要的是在这些更改时立即通知。 目前对于Windows Box,我有Splunk监控EventID 4760事件日志,它给了我一个不错的打印输出..我只是想镜像这些远程CIFS股份的function。 我已经尝试了vfs_full_audit和各种方式来通过权限的Freenas日志,但这似乎是一个死胡同。
ProxySG和思科Ironport设备的主要区别是什么? 我已经发现: 思科Ironport:只能作为一个可扩展的硬件设备(而不是虚拟设备) – function强大 – 非常昂贵 蓝色大衣的ProxySG: – 也可以作为一个虚拟设备 – 也是高function(但它比思科更高?) – 非常昂贵(我没有find任何价格,哪一个更昂贵?)
设置新的Linux服务器(专用或VPS)时,我首先想到的是如何提高安全性。 我想知道是否有可能使用iptables来截断icmp数据包。 如果使用ping -s发送数据包ping -s -s选项代表数据包大小。 #>ping www.google.com -s 100 PING www.google.com (216.58.209.164) 100(128) bytes of data. 72 bytes from bud02s21-in-f164.1e100.net (216.58.209.164): icmp_seq=1 ttl=56 (truncated) 72 bytes from bud02s21-in-f164.1e100.net (216.58.209.164): icmp_seq=2 ttl=56 (truncated) 你看我是怎么试着发送100个字节的数据包,以及Google如何优雅地截断这72个字节作为回报。 这可能使用iptables来做同样的事情吗? 也许使用一些iptables模块…