Windows Webサーバーがドメイン権限を持つことは、どの程度安全ではありませんかIIS
通常、私は過去に、運用サーバーがインターネットにhttp(s)のみを提供し、データベースクエリの移動のみを許可するファイアウォールによってデータベースから隔離されていることを管理しました。しかし、私は、MS Officeを使用している多数のワーカーがドメインにあるファイルを操作している状況があります。これらのファイルも顧客に提供する必要があるので、ウェブサーバーがそれらのファイルを含むフォルダーとそれらのフォルダーのみにアクセスできるドメイン権限を持っていると考えていました。明らかにこれは、ドメインからWebサーバーを分離するファイルウォールが、ドメインへの認証、ファイル共有などのために、多数のポートを許可する必要があることを意味します。これはどれほど安全ではありませんか?それをより良くする方法について何かアドバイスはありますか? IIS 2008で実行されている7.5)。
通常、これはそれほど問題ではありません。多くの人がこれを行う必要があります。 IISここのフォーラム: http://forums.iis.net/t/1175096.aspx については良い議論があります。
TechNetには優れた概要も記載されています。 http://technet.Microsoft.com/en-us/library/cc731278(WS.10).aspx
Windows認証に必要なポート: http://support.Microsoft.com/kb/832017
このサーバーの監査を推奨しますIISサーバーはMicrosoft TCM Spiderツールで実行します。CoalfireSystemsはMicrosoft ACEチームとこのサービスを提供する契約を結んでいると思います。
IISサーバーで他に何が実行されているかにも依存します。たとえば、MySQL(通常Windows環境にはインストールされませんが、これらを指定することをお勧めします)はSYSTEMアカウントで実行されます。 SQLインジェクションによって侵害された場合、ドメインアカウントを含むすべてのアカウントが侵害される可能性があります。
ただし、MS-SQLがインストールされている場合でも、状況はそれほど変わりません。ただし、最新バージョンのMS-SQLは少なくとも低い特権で実行されます。