iis-7.5 – Kerberos委派的风险
我花了几个小时试图学习和理解IIS 7.5中的
Windows身份验证,Kerberos,SPN和约束委派.我不明白的一件事是,为管理员,首席执行官等启用授权(即不禁用敏感帐户授权)是“冒险”的原因.有人可以用简单的方式向我解释一下吗?请根据Intranet环境构建您的答案.
我的理由是它不应该成为一个问题,因为委托只允许前端Web服务器在与其他服务器通信时代表Windows Authenticated人员行事.如果该人有访问权限,他们可以访问,我不明白为什么这应该是一个问题. 请原谅我的无知.我主要是一名开发人员,但这些天我的公司运行非常精简,我也被迫戴上服务器管理员帽……不幸的是,它仍然不太合适,哈哈.
两个例子:
>约束委派可以在没有用户凭据或身份验证令牌的情况下进行模拟.有关示例,请参阅此answer. 在这两个示例中,如果选中“帐户敏感且无法委派”复选框,则这些不是安全问题.也可以构建一个系统/功能,这些功能确实存在,但是受到严格控制. 应该检查该框的管理帐户,例如Enterprise Admins组的成员,因为(希望)这些帐户很少需要使用需要模拟的应用程序.对于能够访问敏感信息的高级管理人员来说,这也是一个好主意,例如首席信息官,首席运营官,财务/财政部负责人等. 因此,最重要的是,微软提供了复选框和附带警告的原因非常充分,除非可以证明特定情况没有不良风险或某些补偿控制,否则不应该被忽略或轻视.这通常涉及一些未参与实际实施或开发应用程序或系统的合格人员进行审查. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- windows-server-2003 – 是否存在将新用户名和密码推送到网
- 如何从命令提示符或PowerShell获取Windows版本
- Windows批处理脚本解压缩目录中的文件
- forms-authentication – 如何使用Windows Store App中的Ht
- windows – 在命名管道上选择
- dev.new()启动到第二个监视器
- windows – 使用innosetup在开始菜单中创建快捷方式
- windows-server-2008-r2 – 一个未知的工具正在擦除我们的虚
- Windows Azure是否具有AWS Identity Access Management的等
- 故意破坏我的Windows应用程序的最佳方法是什么?