Назад | Перейти на главную страницу

Как я могу запретить доступ к защищаемому объекту с определенного компьютера?

Допустим, у меня есть папка, файл или общий ресурс, к которым я хотел бы, чтобы почти все пользователи моего домена могли получить доступ (домен находится в частной сети). У меня также есть некоторые веб-серверы в домене, у которых есть общедоступный интерфейс для веб-сайтов и так далее. Если веб-серверы будут скомпрометированы по какой-либо причине, скажем, скомпрометирована личность пользователя, который обычно имеет доступ к вышеупомянутому файлу / папке / общему ресурсу, я хотел бы сделать так, чтобы ни один пользователь не мог читать или выполнять этот файл / папку / общий ресурс. если их основной контекст включает один из этих веб-серверов.

Я не могу добиться этого, просто отказав этой компьютерной учетной записи в правах. Как я могу этого добиться?

Самая близкая функция, которая наиболее близка к тому, что вы ищете, - это Динамический контроль доступа (DAC) в Windows Server 2012 и 2012 R2, но я не думаю, что вы в конечном итоге создадите всю необходимую инфраструктуру только для этого. Даже если вы встали DAC, вы полагаетесь на множество «движущихся частей», и вам действительно нужен подход «ремень и подтяжки» с многоуровневой защитой.

Если отложить DAC в сторону, я думаю, вам лучше начать с сегментации вашей сети, используя механизмы контроля доступа уровня 3-7 (ACL, устройства брандмауэра и т. Д.), Чтобы поместить те серверы, которые выполняют общедоступные роли, в часть вашей сети, которая имеет строгие правила входа и выхода, чтобы в случае взлома эти серверы не могли действовать как шлюзы для атаки на остальную сеть. Если это означает, что вам нужно разделить некоторые роли между новыми хостами, пусть будет так. Я склонен быть одним из тех людей, которые считают, что необходимо физически разделить зоны безопасности, насколько это возможно. Отдельные коммутаторы, хосты виртуальных машин, брандмауэры, IDS и т. Д. Должны быть идеальными, и вам следует избегать этого только в случае необходимости.

Вы правы, что беспокоитесь об этом. Мой друг рассказал о пентесте внешнего веб-приложения, который закончился успешным взломом Active Directory в локальной сети «за брандмауэром», где находилось общедоступное веб-приложение. Такие вещи могут случиться и случаются.