IIS-サービスアカウントに管理者権限を付与しますか？

それは超大ざっぱな男に聞こえます。ポリシーは正しいです...私のペンテスティングスキルを導入してテストしたいアプリのようですね。 :)

私はポリシーに同意し、開発者にプッシュして、ホストへの脆弱性を回避し、ホストが危険にさらされた場合に最終的にはネットワーク全体に対する脆弱性を回避するために可能な最小限の権限への標準強化ガイドを提供します。 Webアプリケーションの脆弱性により、ハッカーがシェルを生成してホスト上でコマンドを実行し、ネットワークで足掛かりを獲得し、ネットワーク内で攻撃を開始する可能性があります...

私はおそらくそれを開発ラボサーバーでテストします...基本的なユーザー権限で調整と強化を続けます。次に、アプリケーションが壊れるまで硬化を続けます。セキュリティが強化されたら、ボックスで非ドメイン管理者アカウントのみを使用する必要があります。非ドメインユーザーの場合、最も重要なのは、非常に複雑な非辞書のWordであり、そのアカウントでのみ使用される14文字以上のパスワードであることです。資格情報のリサイクルを避けます。

次に、すべてのドメイン資格情報がクリアされ、ボックスが強化された後に管理者としてログインすると、ローカルの管理者アカウントが特権昇格攻撃によって取得された場合、すぐに別のアカウントにピボットできないため、攻撃者は穏やかに遅くなりますホスト。攻撃者はピボットのグラウンド0からバックオーバーを開始する必要があります。セキュリティ操作は、通常、スケジュールされた変更ウィンドウの外で実行されてはならないコマンドを監視している場合、その時点でそれらをキャッチする必要があります。それほど長い時間ではありませんが、サービスアカウントでは、通常は実行されないさまざまなコマンドの実行による異常な動作を検出するのに十分です。

Windowsで基本的な強化作業を開始する方法に関する基本的な手順を探しているだけの場合。詳細を確認し、問題が解決するまで、Windows用の分離開発ボックスを試してみてください。基本的な「Webシェル」でIISを設定し、Webシェルがほとんど役に立たなくなるまでロックダウンします。「ASP Webshel​​l」をググると、IISでテストするためのコードがいくつか表示されます。次に、システムからWebshel​​lを完全に削除します！<-明らかな理由から非常に重要です！

プロダクションセットアップを実行する準備ができるまで、強化を調整し続け、多くのメモを取ることを確認します。私はそこにガイドがいると確信しており、MSDNは支援する多くのリソースを持っています。

• IISサービスアカウント MSDNリンク
• IISアプリケーションプールID MSDNリンク
• CIS IIS強化ベンチマーク CISセキュリティリンク

何をするかの基本的な概要...これはほとんどの場合、基本的な基本のメモリが不足しています。詳細なポリシーの推奨事項については、CISの強化ガイドを確認してください。

1. 機能アカウントを作成する
2. そのアカウントのユーザー権限を削除する
3. できれば、そのアカウントをCyber​​Arkのようなパスワードソリューションに組み込みます
4. 「サービスとして実行」権限のセキュリティグループを作成する
5. SecPolを開き、新しいセキュリティグループを除いて、サービスとして実行するすべての権限を削除します。
6. その機能アカウントをそのセキュリティグループに追加します
7. そのセキュリティグループを、最小要件以外の多くの基本的なユーザー機能から制限する
8. IISとアプリケーションプールサービスをこれらの制限付きアカウントで実行するように構成します。攻撃者は「ネットワークサービス」を使用してサービスを再構成し、昇格させる可能性があるため、アプリを「ネットワークサービス」で実行することは決してありません。成功した場合、「システム」レベルの特権に。
9. このシステムが信頼されていないか、AD特権の委任されていないことを確認してください。
10. そのサービスアカウントからファイルシステムを強化し、操作に必要な最小限のデータへのアクセスのみを許可します。 （必要に応じて.Netライブラリ、IISロギングなど）