IIS Zugriff auf Daten in der Domäne

[KarlHubert 12]

Hallo,

 

ich hab mal eine Frage, wie man das lösen könnte ohne Probleme mit der Sicherheit zu bekommen.

 

Ich habe einen IIS, der direkt hinter dem Router/Firewall veröffentlicht werden soll.

Dort soll eine Anwendung mit Zugriff auf die Datenbank in einer Domäne laufen. 

 

Die Seiten im IIS laufen mit dem lokalen Administrator. Ändere ich diesen auf den Domänenbenutzer habe ich keinen Zugriff mehr auf inetpub, weil die lokalen Rechten dazu fehlen. Und man kann den Domänenbenutzer nicht lokal hinzufügen oder funktioniert das irgendwie?

Jetzt bräuchte ich Dateien mit lesenden Zugriff von der Domäne.

Mit UNC-Pfad ist das kein Problem, da kann ich einen Domänenbenutzer als Anmeldung mitgeben, aber wie mache ich das, wenn die Datei direkt aus der Anwendung im IIS als Administrator aufgerufen werden?

Da hat man keinen Zugriff auf die Dateien in der Domäne, weil der ja der lokale Administrator in der Domäne nicht bekannt ist.

 

Kann man sowas überhaupt lösen? Und wenn ja wie?

 

Vielen Dank für eure Hilfe im Voraus

 

Gruß

 

Karlhubert

[mwiederkehr 351]

Die Fälle, in denen eine Website im IIS (oder sonst einem Webserver) mit Adminrechten laufen sollte, lassen sich an einer Hand abzählen und Dein Fall zählt wohl nicht dazu.

 

Statische Dateien ruft der IIS über den Benutzer ab, den Du einträgst. Anwendungen laufen im Kontext des Anwendungspools. Du musst einen Domänenbenutzer mit den notwendigen Rechten erstellen und den Anwendungspool darunter laufen lassen. Dem Benutzer kannst Du (Lese-)Rechte auf das inetpub-Verzeichnis erteilen. Schränke den Benutzer so weit wie möglich ein.

 

Da ich "veröffentlichen" und "Datenbank" gelesen habe: Falls es sich um einen Microsoft SQL Server handelt, beachte die Lizenzierung.

[KarlHubert 12]

  

vor 6 Minuten schrieb mwiederkehr:

Die Fälle, in denen eine Website im IIS (oder sonst einem Webserver) mit Adminrechten laufen sollte, lassen sich an einer Hand abzählen und Dein Fall zählt wohl nicht dazu.

 

 

Dem Benutzer kannst Du (Lese-)Rechte auf das inetpub-Verzeichnis erteilen. Schränke den Benutzer so weit wie möglich ein.

 

 

Da ich "veröffentlichen" und "Datenbank" gelesen habe: Falls es sich um einen Microsoft SQL Server handelt, beachte die Lizenzierung.

 

Das wird selbstverständlich noch geändert, ist ja erst ein Szenario.

 

Genau das ist das Problem, ich kann ja keinen Domänenbenutzer auf dem Webserver, der nicht in der Domäne ist dort Berechtigungen erteilen oder?

 

Darum hat sich die Softwarefirma bereits gekümmert und dementsprechend bereits lizenziert

bearbeitet 13. Dezember 2022 von KarlHubert

[mwiederkehr 351]

Entschuldige, ich habe nicht verstanden, dass der Webserver nicht in der Domäne ist.

 

Du könntest eine Kommandozeile mit dem Benutzer des Anwendungspools starten und mittels "cmdkey.exe /add:server.domain.com /user:username /pass" Anmeldeinformationen für die Freigabe hinterlegen. Danach sollte die Anwendung über UNC-Pfade \\server.domain.com\freigabe auf die Daten zugreifen können.

[KarlHubert 12]

Sorry, hatte ich auch nicht explizit erwähnt.

 

Das teste ich gleich mal.

 

Eine andere Frage, würde es funktionieren, wenn ich eine Freigabe in der Domäne mache, dort das inetpub setze und die Berechtigungen und User im IIS auf dieses Verzeichnis ändere?

[NorbertFe 1.805]

Man greift also direkt aus dem Internet über einen Windows IIS ohne sonstiges auf eine interne SQL DB zu, die in einem AD steht? Irgendwie klingt das nicht so richtig super. ;)

[KarlHubert 12]

Gerade eben schrieb NorbertFe:

Man greift also direkt aus dem Internet über einen Windows IIS ohne sonstiges auf eine interne SQL DB zu, die in einem AD steht? Irgendwie klingt das nicht so richtig super. ;)

 

Wie könnte oder würdest du denn das lösen?

[NorbertFe 1.805]

Hab ich mir keine Gedanken dazu gemacht, aber ohne WAF würde ich freiwillig sowas nicht ins Internet hängen. Der Rest hängt dann von der Applikation und dem sonstigen Zinnober drum herum ab. Was sagt denn der Hersteller zum Thema Sicherheit in diesem Konstrukt?

 

Bye

Norbert

[KarlHubert 12]

Leider nicht viel, was die Sicherheit dazu betrifft.

 

Aber etwas anderes, wenn man einen Reverse Proxy davor und den Webserver in die Domäne hängt? Ist das sinnvoller oder auch so abwegig?

bearbeitet 13. Dezember 2022 von KarlHubert

[cj_berlin 1.138]

Du meinst sicher "abwegig", denn es kommt nicht von der Abwägung, sondern vom "vom Weg abkommen"  

 

Es ist schon besser, aber ein Reverse Proxy, der jeden Request unbesehen weiterreicht ist kein großer Sicherheitsgewinn. Wie @NorbertFe sagt: eine minimale WAF, SQL-Umgebung härten, also zumindest verhindern, dass der Service-Account irgendwelche Rechte im System hat, Anwendung härten (SQL Injection).

[NorbertFe 1.805]

Ich bin an der Stelle nicht so tief in der Materie, aber ohne WAF und sich da ggf. auch jemanden kommen zu lassen, würde ich nicht mit gutem Gewissen so ein Konstrukt ins Internet hängen wollen. ;)

[KarlHubert 12]

Danke für eure Antworten.

 

Eine WAF gibt es ja in verschiedenen Varianten. Am liebsten wäre mir natürlich eine OpenSource, die aktuell gehalten wird. 

Allerdings scheinen die besseren unter Linux zu laufen :(

 

Oder hast du da Erfahrungen @cj_berlin?

[NorbertFe 1.805]

Gerade eben schrieb KarlHubert:

Eine WAF gibt es ja in verschiedenen Varianten. Am liebsten wäre mir natürlich eine OpenSource, die aktuell gehalten wird. 

 

Ach es soll nix kosten _und_ es soll einfach funktionieren/zu bedienen sein? ;) Da wirst du keine finden, die beides erfüllen. (zumindest nicht zum jetzigen Zeitpunkt).

 

vor 2 Minuten schrieb KarlHubert:

Allerdings scheinen die besseren unter Linux zu laufen :(

 

Ja, wo denn sonst? ;)

[testperson 1.534]

Hi,

 

je nachdem um was für Daten es da aus der Datenbank geht, könnte man diese auch aus dem vorhandenen DB Server exportieren und dem IIS / der Applikation anderweitig bereitstellen oder eben in eine DB innerhalb der "IIS Sicherheitszone" bereitstellen. Bspw. schiebt der DB Server die benötigten Daten regelmäßig auf den Webserver. So wäre es evtl. auch möglich, die Website samt "Backend" komplett extern zu betreiben.

 

Gruß

Jan

[mwiederkehr 351]

vor 3 Minuten schrieb NorbertFe:

Ja, wo denn sonst? ;)

BSD. Habe den besten TCP/IP-Stack. Ob Open-, Free- oder NetBSD ist noch Gegenstand erbitterter Diskussionen.

 

Was bezüglich WAF zu beachten ist: Böse Anfragen haben nicht "ich bin böse" angeschrieben. Wenn es nicht gerade um SQL-Statements im Querystring geht, ist ein auf die Anwendung angepasstes Ruleset wichtig. Als Basis nimmt man sicher das Ruleset des Herstellers (oder OWASP). Das ist vergleichbar mit signaturbasierter Malware-Erkennung. Dann ergänzt man es durch anwendungsspezifische Regeln. Im Idealfall ist dann, wie bei Paketfiltern, alles verboten, ausser was erlaubt ist. Für Exchange, WordPress & Co. gibt das (gegen Geld) vom Hersteller, sonst muss man selbst ran und wissen, wie weit man gehen will.