কার্বেরোস প্রতিনিধি দলের ঝুঁকি

8

আমি আইআইএস .5.৫-তে উইন্ডোজ প্রমাণীকরণ, কার্বেরোস, এসপিএন এবং কনস্ট্রেন্ডড ডেলিগেশন শিখতে ও বুঝতে চেষ্টা করার জন্য কয়েক ঘন্টা সময় ব্যয় করেছি। একটি জিনিস যা আমি পাচ্ছি না তা হ'ল প্রশাসনিক, সিইও ইত্যাদির জন্য প্রতিনিধিদের সক্ষম করা (যেমন সংবেদনশীল অ্যাকাউন্টগুলির জন্য প্রতিনিধিদের অক্ষম না করা) ছেড়ে দেওয়া "ঝুঁকিপূর্ণ" কেন? আপনার উত্তরটি একটি ইন্ট্রনেট পরিবেশের সাথে শ্রদ্ধার সাথে ফ্রেম করুন।

আমার যুক্তিটি হ'ল এটি উদ্বেগের বিষয় হওয়া উচিত নয়, কারণ প্রতিনিধিরা কেবলমাত্র একটি ফ্রন্ট-এন্ড ওয়েব সার্ভারকে উদাহরণস্বরূপ, অন্যান্য সার্ভারের সাথে যোগাযোগ করার সময় উইন্ডোজ প্রমাণীকৃত ব্যক্তির পক্ষে কাজ করার অনুমতি দেয়। যদি ব্যক্তির অ্যাক্সেস থাকে তবে তাদের অ্যাক্সেস রয়েছে, কেন এটি উদ্বেগের বিষয় হওয়া উচিত তা আমি বুঝতে পারি না।

আমার অজ্ঞতা দয়া করে ক্ষমা করুন। আমি প্রাথমিকভাবে একজন বিকাশকারী, তবে আমার সংস্থাটি এই দিনগুলিতে খুব দুর্বল চলছে এবং আমি সার্ভারের অ্যাডমিন টুপিটিও পড়তে বাধ্য হচ্ছি ... দুর্ভাগ্যক্রমে, এটি এখনও খুব ভাল ফিট করে না, হ্যাঁ।

iis-7.5  kerberos  windows-authentication  intranet  delegation 
Chiramisu
সূত্র

উত্তর:

7

দুটি উদাহরণ:

  1. প্রতিবন্ধী প্রতিনিধি ব্যবহারকারীর শংসাপত্র বা প্রমাণীকরণ টোকেন ছাড়াই ছদ্মবেশ তৈরি করে ables উদাহরণস্বরূপ, এই উত্তরটি দেখুন

  2. আরও সাধারণ মাংস-এবং-আলুগুলি নিয়ন্ত্রণহীন প্রতিনিধিদলের দৃশ্যে, এটি উইন্ডোজ ইন্টিগ্রেটেড প্রমাণীকরণ হোক বা প্রমাণীকরণ তৈরি করুক না কেন, ব্যবহারকারীর প্রমাণীকরণ টোকনে প্রতিনিধিদের অ্যাক্সেস থাকা খুব শক্তিশালী। এর আক্ষরিক অর্থ হ'ল টোকেনটি যে কোনও নেটওয়ার্ক সংস্থান অ্যাক্সেস করতে সেই ব্যবহারকারীর ছদ্মবেশ তৈরি করতে ব্যবহার করা যেতে পারে। এই প্রক্রিয়াটির সাথে জড়িত যে কোনও, যেমন একজন বিকাশকারী, অননুমোদিত অ্যাক্সেস পাওয়ার জন্য এটিকে নিগ্রহ উপায়ে ব্যবহার করতে পারেন।

উভয় উদাহরণে, যদি বাক্সটি "অ্যাকাউন্ট সংবেদনশীল এবং ডেলিগেশন দেওয়া যায় না" জন্য পরীক্ষা করা হয় তবে এগুলি সুরক্ষা সম্পর্কিত সমস্যা নয়। এমন কোনও সিস্টেম / বৈশিষ্ট্যটির আর্কিটেকিং করাও সম্ভব যেখানে এই ক্ষমতাগুলি বিদ্যমান তবে এটি দৃ tight়ভাবে নিয়ন্ত্রণ করা।

এই বাক্সটি প্রশাসনিক অ্যাকাউন্টগুলির জন্য যেমন এন্টারপ্রাইজ প্রশাসনিক গোষ্ঠীর সদস্যদের জন্য চেক করা উচিত, কারণ (আশা করি) সেই অ্যাকাউন্টগুলিতে নকলকরণের প্রয়োজন এমন অ্যাপ্লিকেশন খুব কমই প্রয়োজন। সিআইও, সিওও, অর্থ / ট্রেজারি বিভাগের প্রধান ইত্যাদির মতো সংবেদনশীল তথ্যে অ্যাক্সেস প্রাপ্ত প্রবীণ আধিকারিকদের পক্ষে এটিও ভাল ধারণা is

তল লাইনটি হ'ল, মাইক্রোসফ্ট খুব ভাল কারণে সেই চেকবাক্স এবং তার সাথে সতর্কতা সরবরাহ করেছিল এবং নির্দিষ্ট পরিস্থিতিতে অযাচিত ঝুঁকিপূর্ণ এক্সপোজার বা কিছু ক্ষতিপূরণ নিয়ন্ত্রণ নেই এমনটি প্রমাণ না করা পর্যন্ত এটিকে খারিজ বা হালকাভাবে নেওয়া উচিত নয়। এর মধ্যে সাধারণত কিছু যোগ্য ব্যক্তি (গুলি) যাচাই করা জড়িত যা কোনও প্রয়োগ বা সিস্টেমের প্রকৃত বাস্তবায়ন বা বিকাশের সাথে জড়িত নয়।

গ্রেগ অ্যাস্কিউ
সূত্র
প্রথমে, অবিশ্বাস্যরূপে সহায়ক এবং গভীর-উত্তর আমি আপনাকে কতটা প্রশংসা করতে পারি তা বলতে পারি না। :) আমি এখনও অবাক হই, এটির কী কী কাজে লাগানো দরকার তা কারণ আমাদের কার্যনির্বাহীদের শংসাপত্রগুলিতে লোকেরা অবশ্যই অ্যাক্সেস পাবে না। এটিও লক্ষ করা উচিত যে আমরা যেসব সিস্টেমে প্রতিবন্ধী প্রতিনিধিদের অনুমতি দিচ্ছি সেগুলি নেটওয়ার্কের প্রতিটি কর্মীর দ্বারা অ্যাক্সেসযোগ্য। এছাড়াও, আমি এটি ইন্টিগ্রেটেড পাইপলাইন মোড এবং NO ASP.NET ছদ্মবেশে সম্পন্ন করার চেষ্টা করছি।
চিরামিসু
1
ইন্টিগ্রেটেড পাইপলাইন মোড ব্যবহার করেও, যদি টুথ টোকেন উপস্থিত থাকে তবে এটি আইআইএস দ্বারা ব্যবহার করা যেতে পারে এবং যা কিছু অ্যাপ্লিকেশন চলছে। উইন্ডোজ ইন্টিগ্রেটেড অথেনটিকেশন ব্যবহার করার সময়, লেখক টোকেনটি এইচডিপি শিরোনামের অংশ। আপনি যা সঠিক মনে করেন তা নির্ধারণের জন্য প্রস্তাবিত কনফিগারেশনে অনুপ্রবেশ পরীক্ষা করার চেষ্টা করা কার্যকর হতে পারে।
গ্রেগ অ্যাস্কিউ
পবিত্র বাজে! এইচটিটিপি শিরোলেখের অংশ? এটি অবশ্যই অন্তত এনক্রিপ্ট করা উচিত? নাহলে কেবল উন্মাদ! মাইক্রোসফ্ট এমনকি কেন এমন হাস্যকর সুপারিশ করবে? আমি ভয় করি কলমের পরীক্ষার বিষয়ে আমার প্রথম সূত্র নেই, তাই এর জন্য আমাকে কেবল আপনার কথাটি নিতে হবে। তবুও, এই নির্দিষ্ট ইন্ট্রানেট সার্ভারের কোনও অ্যাপই অভ্যন্তরীণভাবে সীমাবদ্ধ নয় তাই আমি মনে করি এটি নিরাপদ হবে। টোকেনগুলি কি সীমিত সময় এবং গতিশীলভাবে সঠিকভাবে উত্পন্ন হয়? আমরা কেবলমাত্র allow/ denyঅনুমোদন ট্যাগ ব্যবহার করে নির্দিষ্ট পৃষ্ঠাগুলি সীমাবদ্ধ করি ।
চিরামিসু
2

আমি বেশিরভাগ অনিয়ন্ত্রিত প্রতিনিধি দলের সাথে 1000 গ্রাহক সেটআপ করেছি। আমি মনে করি এটি জরুরী যে আপনি যদি নিজের অ্যাপ্লিকেশনটিতে বিশ্বাস না করেন (আইআইএস-এ মোতায়েন করা যাক) বা অন্যদের নিখরচায়ভাবে ব্যবহারের জন্য আপনি আমাদের প্রতিনিধি পরিষেবা অ্যাকাউন্ট শংসাপত্রাদি দিচ্ছেন, তবে সীমাবদ্ধ প্রতিনিধিদল সম্ভবত একটি ভাল ধারণা। তবে যদি আপনি কারও কাছে আপনার অ্যাপ্লিকেশনটি পুনরায় লেখার ক্ষমতা রাখার প্রত্যাশা না করেন তবে আপনি নিজের পরিষেবা অ্যাকাউন্ট শংসাপত্রগুলি নিরাপদ রাখেন এবং আপনি বিশ্বাস করেন যে আপনার অ্যাপ্লিকেশনগুলি কেবলমাত্র সেগুলির জন্য ডিজাইন করা সেবার (সেগুলি) অর্পণ করতে চলেছে, সেখানে সেখানে সাধারণত উদ্বিগ্ন হওয়ার কিছু নেই। আমি কিছু "সুরক্ষা সচেতন" গ্রাহকরা এ জাতীয় ইস্যুতে খুব বেশি মনোযোগ নিবদ্ধ করতে দেখেছি যখন তাদের সংস্থানগুলি সত্যিকারের সুরক্ষা হুমকির জন্য আরও ভালভাবে ব্যয় করা যায় ...

BasicTek
সূত্র
আমি আপনার অন্তর্দৃষ্টি প্রশংসা করি; খুব উপকারী. আমি দীর্ঘদিন থেকে আমাদের ইন্ট্রানেটে প্রতিনিধি কনফিগার করার বিষয়ে ছেড়ে দিয়েছি এবং পূর্বে সেটআপ হওয়ায় প্রয়োজনীয় সংস্থানগুলিতে অ্যাক্সেস সহ একটি বিশেষ অ্যাকাউন্টের অধীনে আইআইএস-এ অ্যাপপুল চালানোতে ফিরে এসেছি। আমি আশা করি এই সমস্যাটি পুনর্বিবেচনা করতে হবে এবং এটির জায়গায় একটি বাস্তব সমাধান পাব, তবে প্রতিনিধি দলের সাথে সময় এবং অভিজ্ঞতার অভাব এই প্রত্যাশাটিকে আপাতত প্রত্যাখ্যান করে। :(
চিরামিসু
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.