Dav*_*sen 14 windows iis active-directory web-server
在安全性和可管理性方面 - 最佳实践是什么?
网络服务器应该
或者
不需要在 Web 服务器上有用户帐户,只有管理帐户(服务器管理、系统报告、内容部署等)
内部使用,绝对。这样它们就可以由 GPO 管理,打补丁就没有那么困难了,而且不需要很多变通办法就可以完成监控。
在 DMZ 中,通常我建议不要,它们不应该在 DMZ 上。如果它们位于域和 DMZ 中,您遇到的问题是 Web 服务器必须具有与至少一个 DC 的特定连接。因此,如果外部攻击者破坏了 Web 服务器,他或她现在可以直接对其中一个 DC 发起攻击。拥有 DC,拥有域。拥有领域,拥有森林。
如果您想使用 Kerberos 委派来构建安全的基础结构(您也这样做),您需要将这些 Web 服务器加入域。Web 服务器(或服务帐户)需要能够委派分配给它,以便允许用户模拟您的 SQL 服务器。
如果您对跟踪数据访问(HIPAA、SOX 等)有任何审计或法定要求,您可能希望避免在 SQL 服务器上使用基于 SQL 的身份验证。您应该通过配置过程跟踪访问(即谁在哪些组、如何批准以及由谁批准)以及对数据的所有访问都应通过用户分配的帐户进行。
对于与访问 AD 相关的 DMZ 问题,您可以使用 Server 2008 使用只读 DC (RODC) 解决其中的一些问题,但部署到 DMZ 中仍然存在风险。还有一些方法可以强制 DC 使用特定端口来穿透防火墙,但这种类型的自定义可能会使解决身份验证问题变得困难。
如果您有特定需要允许 Internet 和 Intranet 用户访问同一应用程序,您可能需要考虑使用 Federeated Services 产品之一,Microsoft 产品或 Ping Federated 之类的产品。
为什么在 DMZ 中没有 Web 服务器的域?
它可以是一个单独的林,具有单向信任关系,可以从您的主域管理域,而无需为您的主域授予 WS 域的任何权限。
AD/WSUS/GPO 的所有乐趣 - 如果您拥有整个农场,则特别有用 - 如果它受到损害,它不是您的主网络。
| 归档时间: |
|
| 查看次数: |
21150 次 |
| 最近记录: |