cuán inseguro es que el servidor web de Windows IIS tenga privilegios de dominio

4

Normalmente, en el pasado, he logrado que el servidor de producción solo sirva http (s) a Internet, y está aislado de su base de datos por un firewall que solo permite que las consultas de la base de datos viajen. Sin embargo, tengo una situación en la que un grupo de trabajadores que utilizan MS Office manipulan archivos que viven en un dominio. Estos archivos también deben ser entregados a los clientes, por lo que pensé que el servidor web podría tener privilegios de dominio para que pudiera acceder a las carpetas con esos archivos y solo con esas carpetas. Obviamente, esto significa que la pared de archivos que separa el servidor web del dominio necesitaría permitir un montón de puertos, para autenticarse en el dominio, compartir archivos, etc. ¿Qué tan peligroso es esto? ¿Algún consejo sobre cómo hacerlo mejor? Sería IIS 7.5 ejecutándose en 2008.

    
pregunta Knox 28.03.2011 - 21:44
fuente

2 respuestas

3

Esto generalmente no es un gran problema. Mucha gente necesita hacer esto. Hay una buena discusión en los foros de IIS aquí: enlace

También hay una buena descripción general de alto nivel en TechNet: enlace

Y los puertos necesarios para la autenticación de Windows: enlace

    
respondido por el Steve 28.03.2011 - 22:00
fuente
1

Sugiero que se realice una auditoría de este servidor IIS con la herramienta Microsoft TCM Spider. Creo que Coalfire Systems tiene un contrato para proporcionar este servicio con el equipo de Microsoft ACE.

También depende de qué más se ejecuta en el servidor IIS. Por ejemplo, MySQL (que normalmente no se instala en un entorno Windows, pero es bueno especificar estas cosas) se ejecutará bajo la cuenta del SISTEMA. Si se compromete a través de una inyección de SQL, es probable que todas las cuentas, incluidas las de dominio, se vean comprometidas.

Sin embargo, la situación no difiere mucho si se instala MS-SQL, aunque la versión reciente de MS-SQL se ejecuta al menos con privilegios más bajos.

    
respondido por el atdre 29.03.2011 - 22:34
fuente

Lea otras preguntas en las etiquetas