quanto è pericoloso per il server web Windows IIS avere i privilegi di dominio

Naviga le tue risposte
4

Normalmente in passato, sono riuscito a far sì che il server di produzione serva solo http (s) a Internet, ed è isolato dal suo database da un firewall che consente solo alle query del database di viaggiare. Tuttavia, ho una situazione in cui un gruppo di lavoratori che usano MS office manipolano file che vivono in un dominio. Questi file devono anche essere offerti ai clienti, quindi stavo pensando che il server web potesse disporre di privilegi di dominio tali da poter accedere alle cartelle con quei file e solo quelle cartelle. Ovviamente questo significa che il firewall che separa il server web dal dominio dovrebbe consentire un certo numero di porte, per essere autenticato al dominio, condivisione di file, ecc. Quanto è pericoloso questo? Qualche consiglio su come migliorarlo? Sarebbe IIS 7.5 in esecuzione nel 2008.

    
posta Knox 28.03.2011 - 21:44
fonte

2 risposte

3

Questo di solito non è un grosso problema. Molte persone hanno bisogno di farlo. C'è una buona discussione sui forum di IIS qui: link

C'è anche una buona panoramica di alto livello su TechNet: link

E le porte richieste per Auth di Windows: link

    
risposta data 28.03.2011 - 22:00
fonte
1

Suggerisco di fare un controllo di questo server IIS con lo strumento Microsoft TCM Spider. Credo che Coalfire Systems abbia un contratto per fornire questo servizio al team Microsoft ACE.

Dipende anche da ciò che viene eseguito sul server IIS. Ad esempio, MySQL (normalmente installato in un ambiente Windows, ma è bene specificare queste cose) verrà eseguito sotto l'account SYSTEM. Se viene compromesso da un'iniezione SQL, è probabile che tutti gli account, inclusi gli account di dominio, vengano compromessi.

Tuttavia, la situazione non è molto diversa se MS-SQL è installato, sebbene la versione recente di MS-SQL sia almeno eseguita con privilegi più bassi.

    
risposta data 29.03.2011 - 22:34
fonte

Leggi altre domande sui tag

query Giskismet, come selezionare dati specifici? Come si può accedere a un account Facebook se si conosce il token di accesso?