假设我有一个文件夹、文件或共享,我希望几乎所有域用户都能访问它(域位于私有网络内)。域内还有一些 Web 服务器,它们具有面向公众的网站界面等。如果 Web 服务器因任何原因受到威胁,比如通常可以访问上述文件/文件夹/共享的用户身份受到威胁,我希望确保只要用户的主要上下文包含其中一个 Web 服务器,他们就无法读取或执行该文件/文件夹/共享。
我无法通过简单地拒绝该计算机帐户的权限来实现这一点。我该如何实现这一点?
答案1
最接近您要寻找的功能是动态访问控制(DAC)在 Windows Server 2012 和 2012 R2 中已经存在,但我认为您不会为此而建立所有必要的基础设施。即使您确实建立了 DAC,您也依赖于许多“移动部件”,并且您确实应该采用分层防御的“双保险”方法。
抛开 DAC,我认为您最好先使用第 3-7 层访问控制机制(ACL、防火墙设备等)对网络进行分段,将那些执行面向公众角色的服务器放入具有严格入口和出口规则的网络部分,以防止这些服务器(如果它们受到攻击)充当网关来攻击网络的其余部分。如果这意味着您必须将某些角色拆分给新主机,那就这样吧。我倾向于认为您应该在可行的范围内对安全区域进行物理分离。单独的交换机、VM 主机、防火墙、IDS 等应该是理想的选择,您只应在可行性要求的情况下才使用它们。
你对此感到担心是对的。我的一个朋友讲述了一个外部 Web 应用程序渗透测试,最终导致成功入侵了公共 Web 应用程序所在的 LAN 上的“防火墙后面”的 Active Directory。这种事情确实会发生。