在独立的 Windows Web 服务器上锁定用户

tag-icon tag-icon iis windows-server-2008-r2 user-permissions hardening
在独立的 Windows Web 服务器上锁定用户

我有一台 Windows Web Server 2008 R2 Core,它运行着几个网站。没有 AD。

其中一个 Web 应用程序要求单个用户进行 Windows 身份验证。

我想限制用户执行除用于 IIS Windows 身份验证之外的任何操作。

这是我目前所做的吗?

  • 从‘用户’组中删除该用户。
  • 将用户添加到‘访客’组。
  • 从登录屏幕中删除该用户(添加到 SpecialAccounts\UserList)

当我为用户执行“whoami.exe /all”时,他仍然会得到:

GROUP INFORMATION
-----------------

Group Name                             Type             SID          Attributes                                        
====================================== ================ ============ ==================================================
Everyone                               Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Guests                         Alias            S-1-5-32-546 Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                          Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization         Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
LOCAL                                  Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\NTLM Authentication       Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
Mandatory Label\Medium Mandatory Level Label            S-1-16-8192  Mandatory group, Enabled by default, Enabled group


PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                    State   
============================= ============================== ========
SeChangeNotifyPrivilege       Bypass traverse checking       Enabled 
SeIncreaseWorkingSetPrivilege Increase a process working set Disabled

为什么仍然显示“BUILTIN\Users”,即使“net user”显示:

...
Logon hours allowed          All

Local Group Memberships      *Guests
Global Group memberships     *None
The command completed successfully.

当用户连接到服务器上的共享时,他会成功,但是使用映射驱动器时会出现“访问被拒绝”的情况,因为他对共享或文件夹没有权限。

我还能做什么来限制该帐户的功能?

如果用户使用安装了键盘记录器的不安全机器,我担心帐户凭据将会受到损害。

该网站仅允许 SSL,并且服务器位于仅允许 80 和 443 的防火墙后面。

如果有人从数据中心的另一台服务器获取用户凭据,我想确保该 Web 服务器仍然是安全的。

答案1

“经过身份验证的用户”是内置本地用户组的成员。由于用户帐户经过身份验证,因此它间接成为用户组的成员。

不,您不想从用户组中删除经过身份验证的用户。

您可以使用 gpedit 为该帐户分配以下 Windows 权限:

拒绝作为批处理作业登录
拒绝作为服务登录

相关内容