我们有一个新的 Windows 2008 R2 服务器,我们注意到域用户组被添加到本地用户组服务器。此服务器将用于托管我们的 Web 应用程序。让该组进入服务器似乎存在安全漏洞。
有没有理由域用户组在里面本地用户组?我应该删除它吗?
答案1
我不会从成员服务器计算机上的本地“用户”组中删除“DOMAIN\Domain Users”的默认嵌套,除非您完全确定已经完全测试了此更改。对于托管基于 Web 的应用程序的应用程序,您可能没有问题。但是,如果该应用程序对用户进行身份验证并模拟其域帐户,您可能会陷入噩梦般的故障排除世界。不过,只有您自己才知道这一点。
通过执行此操作,您将脱离默认配置,而且我的经验是,Microsoft 通常会根据其产品的默认行为编写文档(并且许多支持资源也会根据默认假设执行故障排除)。
就我个人而言,我认为将“DOMAIN\Domain Users”设为“Users”成员并没有什么坏处。我并不认为这是“安全漏洞”。Microsoft 在 Windows 的最新版本中非常谨慎,以确保“Users”组不具有特权。此成员身份不授予成员远程桌面功能、访问“管理”文件共享的能力、远程访问注册表的能力等。
您有责任测试这样的修改,并确保环境在面对您的更改时正常运行。我认为您最好花时间确保您拥有良好的密码策略、良好的 IDS/IPS 系统、经过良好审核的防火墙规则、良好的补丁应用和验证实践以及 Web 应用程序的漏洞测试。这种组嵌套在我的安全优先级列表中并不高。
答案2
默认情况下,当您将 PC 加入域时,它会将域用户组放入本地用户组中。您可以使用 GPO 删除它...或者,您知道的,将其从组中删除。如果您不希望域用户能够访问此计算机,则没有真正的理由以这种方式设置它。