这是我的基础架构configuration: 所有服务器都有公共IP 我已经设置了一个GPO,为每个人启用IPSec,对于所有服务器,使用“默认身份validation”的“入站和出站请求”规则。 除了“请求/请求”的Active Directory服务器,因为它不能与“请求/请求”一起工作。 我的第一个问题是:为什么我必须在“请求/请求”上设置AD服务器? 是否因为我使用基于Kerberos的默认身份validation方法? 我的第二个问题是:这样安全吗? 从我的看法来看,AD并没有被IPSec保护,所以它很脆弱,对吗? 这是否危险? 我的第三个也是最后一个问题:你们认为在Windows Server上使用完整的IPSec域隔离策略是最好的方法吗? 我对这项技术感到非常高兴,直到我发现AD没有得到保护。 谢谢你的时间!
当我在网站的permissions – > security上创build了一个名为Portal的网站时,我得到了这个用户。 它的目的是什么? 从我读过的ApplicationPool在NetworkService权限下运行,但我注意到,如果我给了Portal用户完整的权限,我可以在虚拟文件夹中进行保存,而不需要模拟任何其他用户(我用来模拟pipe理员,这是一个糟糕的理念)。 所以我想我的问题是,我应该设置权限在这个Portal用户不知道它是如何来的? 似乎这个用户在创build网站的时候并没有被创build,但是当我从VS 2010发布到网站的时候这样做了。
我有一个运行“经典”ASP代码(而不是ASP.NET)的IIS 7.5网站,其中站点在正常的服务上下文中运行,只启用“Windows身份validation”。 用户和浏览网站没有任何问题,无论在IIS主机上是否具有隐式pipe理权限(大多数都不)。 但是,当我尝试在ASP代码中执行常见的Win32_PingStatus请求时,它将失败,除非用户在IIS主机上具有pipe理权限。 这是我的代码… On Error Resume Next asset = "Computer123" pingtest = False query = "Select StatusCode, Address FROM Win32_PingStatus " & _ "WHERE Address=" & Chr(34) & asset & Chr(34) Set colPingStatus = GetObject("winmgmts:" &_ "{impersonationLevel=impersonate}//./root/cimv2").ExecQuery(query) If err.Number <> 0 Then Response.Write "Access Denied (error: " & err.Number & " / " […]
我维护一些基于Python的Web应用程序。 我需要在发布新的Python版本时立即得到通知,特别是解决安全问题的微型版本,所以我可以更新我的网站以使用新版本。 有没有办法自动通知? 我看了一下python-announce-list,但是它提供了许多我不感兴趣的开源项目的通知。
我使用auditctl并获取大量的日志事件的crond。 我不希望logging任何cron / crond事件。 node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron […]
我有一个PFX文件( .p12 ),需要允许访问远程网页。 双击此文件并按照几个提示轻松地将证书添加到个人存储中,但这仅适用于当前login的用户。 我想以这样一种方式来安装证书,它可以被特定的Windows服务器的所有用户使用。 我到目前为止所尝试的是: 使用MMC为“计算机帐户”添加一个证书pipe理单元,导入“个人”存储下的证书。 这没有奏效。 使用certmgr.exe将证书添加到“localMachine”存储中,但发现该工具实际上并不存在于典型的Windows安装中。 我真的有安装Visual Studio来导入客户端证书吗? 遵循这里find的组策略的一些说明,但没有得到很远(没有可信的发布者对象)。 不过,我只是在看本地组策略。
我有一个在Parallels Automation 11.5环境中运行许多不同站点(标准虚拟主机设置,大多数站点是Joomla,几个WordPress和其他非CMS站点)的Web服务器。 Web服务器上的apache版本是2.2.15,同样的问题发生在多个PHP版本上。 我们的网站已经被黑客攻击了很多,并且正在把我们的服务器变成电子邮件垃圾邮件。 从目前我所知道的是,一个恶意的人能够上传一个PHP文件,一般是上传到文件根目录,但有时候上传到wn.php(w12345678n.php)命名模式的图像文件夹,从我可以告诉它是WSO Web Shell。 然后这个人似乎使用该网页shell添加注入/恶意代码的网站的其余部分。 令我感到奇怪的是,这些站点正在以FastCGI的方式运行,所以所有文件都由特定帐户(bob_ftp等)的FTP用户拥有,但WSO shell php文件正在被放到networking上服务器下apache:apache所有权。 我猜测这些文件是通过某种Apache漏洞添加的,但是我没有太多的运气来追踪这个罪魁祸首。 有人能指点我如何locking这些诡计吗? 最好通过closures这个漏洞,但是现在我只想要一些减轻这种损害的方法,所以我不用浪费太多的时间。
在审计期间,提出了匿名访问IPC $(空会话)份额的问题。 审核将以下列为Windows 2008r2文件服务器上的风险: C:\>net use \\fileserver\ipc$ "" /user:"" The command completed successfully. 我已确认已configuration以下设置 Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ Network access: Allow anonymous SID/Name translation = disabled Network access: Do not allow anonymous enumeration of SAM accounts =enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares =enabled Network access: Let […]
看看我的ftp服务器日志文件,我发现很多暴力攻击,其中相同的IP地址尝试100个用户名/密码组合。 有什么我可以做的,让这些蛮力攻击者的生活更难? 如果某个IP有x次失败的login尝试,它会被lockingx次。 服务器是Microsoft Windows Server 2008。
情况:对于每个客户,我有一个脚本可以为他们的安装生成一些自定义的configuration文件(主机地址,选项,组织名称等),我需要将这些文件提供给客户,但是我不能只是通过电子邮件发送给他们,因为我想保持他们的安全。 想法:我在设想一个networking投递式网站:我的脚本可以自动将文件传输到一个给定的位置,然后这个应用程序将生成一个“下载密钥”,我可以与客户沟通。 他们可以拉起一个网页链接,input下载密钥,并访问文件。 值得注意的是,每个下载密钥只有一次有效:如果下载密钥被截获,第三方获取文件,合法用户将被警告,因为他们将尝试访问它们时被locking。 (这不是一场灾难,因为我可以生成一个新configuration,并使旧configuration无效,只要我知道。) 问:networking应用程序是否存在? 只要我可以修改它以适应我的需求,任何类似于此的行为都可以。 没有什么奇特的东西 – PHP或Perl会很棒。 我在这里search并find了PHCDownload的链接; 这似乎有点矫枉过正,我不知道它是多么容易定制。 由于我不确定要使用哪个search查询,所以很难find一些东西。 任何帮助或build议将不胜感激。