我花了几个小时试图学习和理解IIS 7.5中的
Windows身份验证,Kerberos,SPN和约束委派.我不明白的一件事是,为管理员,首席执行官等启用授权(即不禁用敏感帐户授权)是“冒险”的原因.有人可以用简单的方式向我解释一下吗?请根据Intranet环境构建您的答案.
我的理由是它不应该成为一个问题,因为委托只允许前端Web服务器在与其他服务器通信时代表Windows Authenticated人员行事.如果该人有访问权限,他们可以访问,我不明白为什么这应该是一个问题.
请原谅我的无知.我主要是一名开发人员,但这些天我的公司运行非常精简,我也被迫戴上服务器管理员帽……不幸的是,它仍然不太合适,哈哈.
两个例子:
>约束委派可以在没有用户凭据或身份验证令牌的情况下进行模拟.有关示例,请参阅此answer.
>在更典型的肉和土豆无约束委派方案中,无论是Windows集成身份验证还是表单身份验证,具有对用户身份验证令牌的委派访问权限都非常强大.字面意思是令牌可用于模拟该用户访问任何网络资源.参与该过程的任何人(例如开发人员)都可以以恶意的方式使用它来获取未经授权的访问.
在这两个示例中,如果选中“帐户敏感且无法委派”复选框,则这些不是安全问题.也可以构建一个系统/功能,这些功能确实存在,但是受到严格控制.
应该检查该框的管理帐户,例如Enterprise Admins组的成员,因为(希望)这些帐户很少需要使用需要模拟的应用程序.对于能够访问敏感信息的高级管理人员来说,这也是一个好主意,例如首席信息官,首席运营官,财务/财政部负责人等.
因此,最重要的是,微软提供了复选框和附带警告的原因非常充分,除非可以证明特定情况没有不良风险或某些补偿控制,否则不应该被忽略或轻视.这通常涉及一些未参与实际实施或开发应用程序或系统的合格人员进行审查.