Riscos de segurança de uma relação de confiança unidirecional entre domínios

4

Um fornecedor está nos pedindo para criar uma relação de confiança unidirecional entre seu domínio e o nosso, para que nossos usuários possam fazer logon em seus aplicativos / servidores com credenciais de nosso domínio.

Quais são os riscos de segurança envolvidos? Meu primeiro pensamento é negar a solicitação e insistir para que instalem o aplicativo em servidores que verificamos e que monitoramos / digitalizamos em nosso domínio. Mas eu gostaria de ter algo para me apoiar, para que não seja apenas "porque eu disse isso".

EDIT: Seus servidores estão localizados no site aqui, mas em seu próprio domínio (something.local).

    
por Benjamin Hubbard 08.05.2015 / 20:23

2 respostas

4

Seu fornecedor não teria recursos de acesso em sua floresta com uma fidedignidade unidirecional, portanto, o risco para o seu ambiente é um pouco minimizado no nível funcional do AD AD.

Em um nível de rede, há uma grande quantidade de portas que precisam ser abertas entre seus controladores de domínio e os controladores de domínio de fornecedores. Se os controladores de domínio ou os servidores de aplicativos estiverem comprometidos, as máquinas comprometidas do fornecedor poderão ter acesso direto no nível da rede para atacar seus controladores de domínio.

Os invasores também podem comprometer o hash de suas contas que estão sendo autenticadas nos sistemas do fornecedor e usar essas credenciais comprometidas para obter acesso ao seu ambiente.

As soluções federadas geralmente são uma opção muito melhor.

    
por 08.05.2015 / 20:56
3

O risco de segurança de uma confiança de domínio é que seu ambiente é comprometido. É possível usar a sidhistory para escalonamento de privilégios. A mais segura é a confiança entre florestas, que permite a transmissão segura de princípios de segurança estrangeiros (e, mais importante, eles são identificados como estrangeiros). Você também pode usar autenticação seletiva para garantir que apenas o FSP adequado seja permitido.

A questão indireta com relações de confiança de qualquer tipo é que a participação de usuários autenticados significa usuários autenticados - que incluirão usuários autenticados da floresta externa.

    
por 08.05.2015 / 20:35