Chi*_*isu 8 kerberos delegation intranet iis-7.5 windows-authentication
我一直在努力学习和理解 IIS 7.5 中的 Windows 身份验证、Kerberos、SPN 和约束委派。我只是不明白的一件事是为什么为管理员、首席执行官等启用委派(即不禁用敏感帐户的委派)是“有风险的”。有人可以简单地向我解释一下吗?请根据 Intranet 环境构建您的答案。
我的理由是它不应该是一个问题,因为委派只是允许前端 Web 服务器,例如,在与其他服务器通信时代表 Windows Authenticated 人员进行操作。如果这个人有访问权限,他们就有访问权限,我不明白为什么这应该是一个问题。
请原谅我的无知。我主要是一名开发人员,但我的公司现在运行得很精简,我也被迫戴上服务器管理员的帽子……不幸的是,它仍然不太适合,哈哈。
两个例子:
约束委派可以在没有用户凭据或身份验证令牌的情况下进行模拟。有关示例,请参阅此答案。
在更典型的无约束委派场景中,无论是windows集成身份验证还是表单身份验证,对用户的身份验证令牌进行委派访问都是非常强大的。这字面意思是可以使用令牌来模拟该用户以访问任何网络资源。参与该过程的任何人,例如开发人员,都可以以邪恶的方式使用它来获得未经授权的访问。
在这两个示例中,如果选中“帐户敏感且无法委托”复选框,则这些都不是安全问题。也可以构建一个系统/功能,其中这些功能确实存在,但受到严格控制。
对于管理帐户,例如 Enterprise Admins 组的成员,应该选中该框,因为(希望)这些帐户很少需要使用需要模拟的应用程序。对于可以访问敏感信息的高级管理人员(例如 CIO、COO、财务/财务主管等)来说,这也是一个好主意。
因此,最重要的是,Microsoft 提供该复选框和随附的警告是有充分理由的,除非可以证明特定场景没有不良风险暴露或某些补偿控制,否则不应忽略或掉以轻心。这通常涉及由一些不参与应用程序或系统的实际实施或开发的合格人员进行审查。
| 归档时间: |
|
| 查看次数: |
1855 次 |
| 最近记录: |