Security 通过Active Directory保护web应用的安全性
这是我目前正在处理的一个情况。我正在从事一个Web项目,其安全性与Active Directory密切相关。从技术上讲,这意味着当您通过应用程序添加用户时,我们将向服务器上的Active Directory添加一个新用户。现在我的问题是,这是一个好的做法吗 此时,我想到了一个漏洞,即您可以使用通过应用程序创建的帐户在部署服务器上执行远程桌面操作(如果我错了,请纠正我)。但我只是想在我通知我的建筑师之前确认一下 如有任何建议,我们将不胜感激Security 通过Active Directory保护web应用的安全性,security,active-directory,Security,Active Directory,这是我目前正在处理的一个情况。我正在从事一个Web项目,其安全性与Active Directory密切相关。从技术上讲,这意味着当您通过应用程序添加用户时,我们将向服务器上的Active Directory添加一个新用户。现在我的问题是,这是一个好的做法吗 此时,我想到了一个漏洞,即您可以使用通过应用程序创建的帐户在部署服务器上执行远程桌面操作(如果我错了,请纠正我)。但我只是想在我通知我的建筑师之前确认一下 如有任何建议,我们将不胜感激 等待您的回复 如果web应用程序具有在Active Di
等待您的回复 如果web应用程序具有在Active Directory中创建帐户的权限,则这意味着web应用程序可能拥有对Active Directory域具有(可能有限)管理权限的帐户。如果你不小心的话,这可能会被用来做各种坏事 如果要继续,那么第一步(如果尚未这样做)是将管理权限委托给web应用程序的帐户,以便它只能在特定OU中创建帐户。有关详细信息,请参阅,或在谷歌上搜索其他描述 您可能还希望设置组策略和组成员身份,以进一步限制新创建的帐户(例如,禁用远程桌面),并且您希望这样做不依赖于web应用程序做正确的事情(作为web应用程序受损时的额外安全层) 是了解Active Directory安全模型以及如何最好地设置这些限制的更好地方
最后,如果您不需要在ActiveDirectory域中自动创建用户,那么您应该考虑其他方法。例如,如果您只希望将Active Directory用作稳定、健壮的用户身份验证源,那么您可以使用(以前称为Active Directory应用程序模式)在不影响域安全的情况下获取Active Directory的功能。
如果web应用程序具有在Active Directory中创建帐户的权限,则这意味着web应用程序可能拥有对Active Directory域具有(可能有限)管理权限的帐户。如果你不小心的话,这可能会被用来做各种坏事 如果要继续,那么第一步(如果尚未这样做)是将管理权限委托给web应用程序的帐户,以便它只能在特定OU中创建帐户。有关详细信息,请参阅,或在谷歌上搜索其他描述 您可能还希望设置组策略和组成员身份,以进一步限制新创建的帐户(例如,禁用远程桌面),并且您希望这样做不依赖于web应用程序做正确的事情(作为web应用程序受损时的额外安全层) 是了解Active Directory安全模型以及如何最好地设置这些限制的更好地方最后,如果您不需要在ActiveDirectory域中自动创建用户,那么您应该考虑其他方法。例如,如果您只希望将Active Directory用作稳定、健壮的用户身份验证源,那么您可以使用(以前称为Active Directory应用程序模式)获得Active Directory的功能,而不会对域的安全性产生任何影响