IIS 7.5의 Windows 인증, Kerberos, SPN 및 제한 위임을 배우고 이해하려고 몇 시간 씩 시간을 보냈습니다. 내가 얻지 못하는 한 가지는 관리자, CEO 등을 위해 위임을 활성화 (즉, 민감한 계정에 대한 위임을 비활성화하지 않음)하는 것이 “위험한”이유입니다. 인트라넷 환경과 관련하여 답변을 작성하십시오.
필자의 이유는 위임이 단순히 다른 서버와 통신 할 때 Windows 인증 된 사람을 대신하여 프런트 엔드 웹 서버가 작동하도록 허용하기 때문에 문제가되지 않아야한다는 것입니다. 그 사람이 접근 할 수 있고 접근 할 수 있다면 왜 이것이 문제가되는지 이해할 수 없습니다.
내 무지를 용서해주세요. 나는 주로 개발자이지만 요즘 회사는 매우 마른 상태로 운영하고 있으며 서버 관리 모자도 착용해야합니다. 불행히도 여전히 잘 맞지 않습니다.
답변
두 가지 예 :
-
제한 위임은 사용자의 자격 증명이나 인증 토큰없이 가장을 가능하게합니다. 예를 들어이 답변을 참조하십시오 .
-
보다 일반적인 고기와 감자 제한되지 않은 위임 시나리오에서는 Windows 통합 인증이든 양식 인증이든 관계없이 사용자의 인증 토큰에 대한 위임 액세스 권한이 매우 강력합니다. 이것은 말 그대로 토큰을 사용하여 해당 사용자를 가장하여 네트워크 리소스에 액세스 할 수 있음을 의미합니다. 개발자와 같이 해당 프로세스에 관련된 모든 사람은이 프로세스를 악의적으로 사용하여 무단 액세스를 얻을 수 있습니다.
두 예에서 모두 “계정이 민감하고 위임 할 수 없습니다”확인란이 선택되어 있으면 보안 문제가 아닙니다. 이러한 기능이 존재하지만 엄격하게 제어되는 시스템 / 기능을 설계 할 수도 있습니다.
이 상자는 가장이 필요한 응용 프로그램을 거의 사용할 필요가 없으므로 Enterprise Admins 그룹의 구성원과 같은 관리 계정에 대해이 상자를 선택해야합니다. 또한 CIO, COO, 재무 / 재무 책임자 등 민감한 정보에 액세스 할 수있는 고위 임원에게도 좋습니다.
결론적으로, Microsoft는 해당 확인란과 함께 제공되는 경고를 매우 적절한 이유로 제공했으며 특정 시나리오에 바람직하지 않은 위험 노출이 없거나 일부 보상 통제가 없음을 입증 할 수 없다면이를 무시하거나 가볍게 취해서는 안됩니다. 여기에는 일반적으로 응용 프로그램이나 시스템의 실제 구현 또는 개발에 관여하지 않는 일부 유자격자가 심사하는 것이 포함됩니다.
답변
나는 대부분의 제약을받지 않고 1000 명의 고객을 위임했습니다. 응용 프로그램을 신뢰하지 않거나 (IIS에 배포되었다고 말하면) 다른 사람이 자유롭게 사용할 수 있도록 위임 된 서비스 계정 자격 증명을 제공하는 경우 제한 위임이 좋은 생각 일 수 있습니다. 그러나 응용 프로그램을 다시 작성할 수있는 사람이 없을 것으로 예상되는 경우 서비스 계정 자격 증명을 안전하게 유지하고 앱이 설계된 서비스에만 위임 할 것이라고 믿습니다. 보통 걱정할 것이 없습니다. 나는 “보안에 민감한”고객들이 이와 같은 문제에 매우 집중하는 것을 보았지만 실제 보안 위협에 대한 작업에 더 많은 자원을 소비 할 수있었습니다 …