windows – 如何拒绝从特定计算机访问安全项?

假设我有一个文件夹,文件或共享,我希望几乎所有域用户都可以访问(该域位于专用网络内.)我在域中也有一些Web服务器面向公众的网站界面等.如果Web服务器由于某种原因而受到损害,比如说用户的身份通常会被访问上述文件/文件夹/共享,我想这样做,以便没有用户可以读取或执行该文件/文件夹/共享只要其主要上下文包含其中一个Web服务器.

我无法通过简单地拒绝计算机帐户的权利来实现这一点.我怎样才能做到这一点?

最接近你正在寻找的最接近的功能Windows Server 2012和2012 R2中的 Dynamic Access Control(DAC),但我认为你最终不会只是站在所有必要的基础设施上.即使你确实站起来DAC,你仍然依赖于很多“活动部件”,你真的应该采用分层防御的“腰带和吊带”方法.

将DAC放在一边,我认为最好先使用3-7层访问控制机制(ACL,防火墙设备等)对网络进行分段,将那些执行面向公众角色的服务器放入网络的一部分严格的入口和出口规则,以防止这些服务器受到攻击,作为网关攻击网络的其余部分.如果这意味着您必须将某些角色拆分为新主机,那么就这样吧.我倾向于成为那些认为你应该对安全区进行物理隔离的人之一,因为这是可行的.单独的交换机,VM主机,防火墙,IDS等应该是理想的,您应该在可行性指示的情况下远离它.

你是对此感到担忧的.我的一个朋友关于外部Web应用程序测试,最终变成了公共Web应用程序所在的“防火墙后面”局域网上的Active Directory的成功折衷.这种事情可以而且确实会发生.

相关文章

(1)when you ping a computer from itsafe,the ping command should return the local IP address. (...
1、点击win菜单,点击设置图标 2、选择系统选项 3、选择应用与程序选项 4、拉到最下方,选择程序与功能...
目前一直直接往Windows 2008 R2 Server中复制文件(暂时还没有搭建ftp服务),突然不能复制了,于是百度...
windows下使用vscode配合xebug调试php脚本 要下载有php_xebug.dll扩展的版本,最新版可能没有这个扩展,p...
在控制面板的程序与功能里启用和关闭windows功能打开,适用于linux的windows子系统
效果演示 推荐一个非常牛的文档网站生成器:docsify 我通过这个工具,成功将码云上的个人学习笔记发布到...