特定用户从 DMZ 到内部的 SMB

特定用户从 DMZ 到内部的 SMB

我在 DMZ 中拥有一台服务器,该服务器通过 SMB 对内部网络中的另一台服务器的访问权限受到限制。该外部机器上的 Web 服务器需要访问该内部服务器上的整个分区。

我仍在使用一种快速而粗糙的解决方案。Web 服务器仍以 SYSTEM 用户身份运行。我设法为该用户挂载了共享。

主要问题:此设置不安全重启。重启后必须重新建立连接,因为没有办法保存共享的凭据。

Ps:DMZ 服务器不在 Windows 域中

答案1

澄清一下:Web 服务器是 DMZ 中的 Windows 计算机,IIS 在 SYSTEM 帐户下运行?不理想(因为 SYSTEM 帐户不是应该我无法访问网络资源,但在实验室环境中可能是可行的。

无论如何,听起来您需要NET USE在 SYSTEM 用户的上下文中向目标服务器发出一个命令。

计划任务可以在系统帐户下运行。

把这些放在一起,如何使用以下设置创建计划任务:

  • 行动"%WINDIR%\system32\net.exe" USE \\TheSmbServer\TheNetworkShare /USER:TheDomain\TheUser Th3_P@55w0rd
  • 登录用户NT AUTHORITY\SYSTEM (use blank password -- Windows will manage)
  • 触发/计划At system startup
  • 选项Run whether user is logged in or notRun with highest privileges

应该在启动时(或接近启动时)绑定必要的身份验证凭据。

如果需要能够访问所有共享,请尝试用作\\TheSmbServer\IPC$共享。

相关内容