Ben*_*ard 5 active-directory domain
一家供应商要求我们在他们的域和我们的域之间创建一种单向信任关系,以便我们的用户可以使用我们域中的凭据登录他们的应用程序/服务器。
涉及哪些安全风险?我的第一个想法是拒绝请求并坚持要求他们在我们已经验证的服务器上安装他们的应用程序,并且我们在我们的域上进行监控/扫描。但我想要一些东西来支持我,这样它就不仅仅是“因为我这么说”。
编辑:他们的服务器位于现场,但在他们自己的域(something.local)上。
您的供应商无法通过单向信任访问林中的资源,因此在广告 AD 功能级别上,您的环境面临的风险在一定程度上被最小化。
在网络级别,需要在您的域控制器和供应商域控制器之间打开大量端口。如果域控制器或应用程序服务器受到威胁,受威胁的供应商计算机可能具有直接网络级访问权限来攻击您的域控制器。
攻击者还可能能够破坏在供应商系统上进行身份验证的帐户的哈希值,并使用这些被破坏的凭据来访问您的环境。
联合解决方案通常是更好的选择。
| 归档时间: |
|
| 查看次数: |
11320 次 |
| 最近记录: |