假设我有一个文件夹,文件或共享,我希望几乎所有域用户都可以访问(该域位于专用网络内.)我在域中也有一些Web服务器面向公众的网站界面等.如果Web服务器由于某种原因而受到损害,比如说用户的身份通常会被访问上述文件/文件夹/共享,我想这样做,以便没有用户可以读取或执行该文件/文件夹/共享只要其主要上下文包含其中一个Web服务器.
我无法通过简单地拒绝计算机帐户的权利来实现这一点.我怎样才能做到这一点?
最接近你正在寻找的最接近的功能是
Windows Server 2012和2012 R2中的
Dynamic Access Control(DAC),但我认为你最终不会只是站在所有必要的基础设施上.即使你确实站起来DAC,你仍然依赖于很多“活动部件”,你真的应该采用分层防御的“腰带和吊带”方法.
将DAC放在一边,我认为最好先使用3-7层访问控制机制(ACL,防火墙设备等)对网络进行分段,将那些执行面向公众角色的服务器放入网络的一部分严格的入口和出口规则,以防止这些服务器受到攻击,作为网关攻击网络的其余部分.如果这意味着您必须将某些角色拆分为新主机,那么就这样吧.我倾向于成为那些认为你应该对安全区进行物理隔离的人之一,因为这是可行的.单独的交换机,VM主机,防火墙,IDS等应该是理想的,您应该在可行性指示的情况下远离它.
你是对此感到担忧的.我的一个朋友关于外部Web应用程序测试,最终变成了公共Web应用程序所在的“防火墙后面”局域网上的Active Directory的成功折衷.这种事情可以而且确实会发生.