IIS 7.5의 Windows 인증, Kerberos, SPN 및 제한 위임을 배우고 이해하려고 몇 시간 씩 시간을 보냈습니다. 내가 얻지 못하는 한 가지는 관리자, CEO 등을 위해 위임을 활성화 (즉, 민감한 계정에 대한 위임을 비활성화하지 않음)하는 것이 "위험한"이유입니다. 인트라넷 환경과 관련하여 답변을 작성하십시오.
필자의 이유는 위임이 단순히 다른 서버와 통신 할 때 Windows 인증 된 사람을 대신하여 프런트 엔드 웹 서버가 작동하도록 허용하기 때문에 문제가되지 않아야한다는 것입니다. 그 사람이 접근 할 수 있고 접근 할 수 있다면 왜 이것이 문제가되는지 이해할 수 없습니다.
내 무지를 용서해주세요. 나는 주로 개발자이지만 요즘 회사는 매우 마른 상태로 운영하고 있으며 서버 관리 모자도 착용해야합니다. 불행히도 여전히 잘 맞지 않습니다.
답변:
두 가지 예 :
제한 위임은 사용자의 자격 증명이나 인증 토큰없이 가장을 가능하게합니다. 예를 들어이 답변을 참조하십시오 .
보다 일반적인 고기와 감자 제한되지 않은 위임 시나리오에서는 Windows 통합 인증이든 양식 인증이든 관계없이 사용자의 인증 토큰에 대한 위임 액세스 권한이 매우 강력합니다. 이것은 말 그대로 토큰을 사용하여 해당 사용자를 가장하여 네트워크 리소스에 액세스 할 수 있음을 의미합니다. 개발자와 같이 해당 프로세스에 관련된 모든 사람은이 프로세스를 악의적으로 사용하여 무단 액세스를 얻을 수 있습니다.
두 예에서 모두 "계정이 민감하고 위임 할 수 없습니다"확인란이 선택되어 있으면 보안 문제가 아닙니다. 이러한 기능이 존재하지만 엄격하게 제어되는 시스템 / 기능을 설계 할 수도 있습니다.
이 상자는 가장이 필요한 응용 프로그램을 거의 사용할 필요가 없으므로 Enterprise Admins 그룹의 구성원과 같은 관리 계정에 대해이 상자를 선택해야합니다. 또한 CIO, COO, 재무 / 재무 책임자 등 민감한 정보에 액세스 할 수있는 고위 임원에게도 좋습니다.
결론적으로, Microsoft는 해당 확인란과 함께 제공되는 경고를 매우 적절한 이유로 제공했으며 특정 시나리오에 바람직하지 않은 위험 노출이 없거나 일부 보상 통제가 없음을 입증 할 수 없다면이를 무시하거나 가볍게 취해서는 안됩니다. 여기에는 일반적으로 응용 프로그램이나 시스템의 실제 구현 또는 개발에 관여하지 않는 일부 유자격자가 심사하는 것이 포함됩니다.
allow/ deny인증 태그를 사용하여 특정 페이지 만 제한 합니다.
나는 대부분의 제약을받지 않고 1000 명의 고객을 위임했습니다. 응용 프로그램을 신뢰하지 않거나 (IIS에 배포되었다고 말하면) 다른 사람이 자유롭게 사용할 수 있도록 위임 된 서비스 계정 자격 증명을 제공하는 경우 제한 위임이 좋은 생각 일 수 있습니다. 그러나 응용 프로그램을 다시 작성할 수있는 사람이 없을 것으로 예상되는 경우 서비스 계정 자격 증명을 안전하게 유지하고 앱이 설계된 서비스에만 위임 할 것이라고 믿습니다. 보통 걱정할 것이 없습니다. 나는 "보안에 민감한"고객들이 이와 같은 문제에 매우 집중하는 것을 보았지만 실제 보안 위협에 대한 작업에 더 많은 자원을 소비 할 수있었습니다 ...