Ale*_*bin 1 security windows-server-2008 active-directory
我们有一个新的 Windows 2008 R2 服务器,我们注意到域用户组被添加到服务器的本地用户组。该服务器将用于托管我们的 web 应用程序。在服务器中拥有这个组似乎是一个安全漏洞。
域用户组位于本地用户组中是否有原因?我应该删除它吗?
我不会从成员服务器计算机上的本地“用户”组中删除“DOMAIN\Domain Users”的默认嵌套,除非您绝对确定您已经完全测试了更改。对于您托管基于 Web 的应用程序的应用程序,您可能没问题。但是,如果该应用程序对用户进行身份验证并模拟他们的域帐户,那么您可能会将自己置身于故障排除的噩梦世界中。不过,只有你能知道这一点。
通过这样做,您正在远离默认配置,而我的经验是,Microsoft 经常根据其产品的默认行为编写文档(并且许多支持资源也基于默认值假设执行故障排除)。
我个人不认为让“域\域用户”成为“用户”的成员有什么危害。我不认为这是“安全漏洞”。Microsoft 在最新版本的 Windows 中非常小心,以确保“用户”组没有特权。此成员资格不会授予成员诸如远程桌面功能、访问“管理”文件共享的能力、远程访问注册表的能力等。
您有责任测试这样的修改,并确保环境在面对您的更改时正常运行。我认为您最好花时间确保您拥有良好的密码策略、良好的 IDS/IPS 系统、经过良好审核的防火墙规则、良好的补丁应用程序和验证实践以及 Web 应用程序的漏洞测试。这个组嵌套在我的安全优先级列表中不会很高。
默认情况下,当您将 PC 加入域时,它会将域用户组放在本地用户组中。您可以使用 GPO 删除此内容...或者,您知道,将其从组中删除。如果您不希望域用户能够访问这台机器并以这种方式设置它,则没有真正的理由。
| 归档时间: |
|
| 查看次数: |
15169 次 |
| 最近记录: |