【atrust】UEM访问同域名不同路径不能隔离问题测试与分享

每天坚持打卡学习签到！！

每天坚持打卡学习签到！！

每天坚持打卡学习签到！！

分享一个atrust测试中遇到的问题

一、问题描述

现有环境中，客户使用DFS分布式文件共享访问文件服务器。需要使用AD域的域名作为命名空间，指向根路径\\bxxxxxxxc.com\fileshare。此路径对应隧道资源需要放入沙箱进行保护，但放入沙箱后，在个人空间仍能访问。

二、客户需求及预期效果

客户需要做到个人空间访问不了\\bxxxxxxxc.com\fileshare，沙箱工作空间中可以\\bxxxxxxxc.com\fileshare，但个人空间需要访问到\\bxxxxxxxc.com(域策略下发需要使用的路径)  

三、问题现象

\\bxxxxxxxc.com    ---->此路径为AD共享路径，用于下发AD域策略和脚本。对应IP为AD服务器IP192.168.25.150，对应资源放在个人空间

\\bxxxxxxxc.com\fileshare    ---->此路径为DFS根路径，用于访问文件服务器，对应IP为文件服务器IP192.168.25.151和192.168.25.152，对应资源放在UEM工作空间中。

当前现象：

\\bxxxxxxxc.com\fileshare对应的服务器IP放入到UEM工作空间中，但在个人空间仍能访问

UEM工作空间截图--橙色窗口

个人空间仍然能访问截图--无颜色窗口

四、问题分析

UEM沙箱的smb拦截和放行是基于文件系统来做的，无法区分\\bxxxxxxxc.com和\\bxxxxxxxc.com\fileshare两个路径分别对应的真实服务器ip。现在沙箱内通过smb访问bxxxxxxxc.com\fileshare时，其实跟bxxxxxxxc.com\识别为同一个命名路径。使用真实服务器IP访问资源时不会出类似问题，只有使用相同域名访问不同路径时会出现以上问题。

原因：沙箱无法隔离相同域名不同路径文件系统，当用户访问\\bxxxxxxxc.com\fileshare时，只能将其识别为\\bxxxxxxxc.com，因此当\\bxxxxxxxc.com对应的资源放在个人空间时，个人空间也能访问UEM沙箱中\\bxxxxxxxc.com\fileshare，即使两个路径对应的真实服务器IP不一样。

五、解决方案

现有的技术方案实现不了客户预期效果，可尝试使用两个不同的域名，不要根据目录来区分如：\\bxxxxxxxc.com-->域服务器上的共享目录\\bxxxxxxxc2.com-->fileshare服务器上的共享目录

六、解决方案内部测试及效果

1、 域环境搭建创建域服务器，192.168.25.150，域名：bxxxxxxxc.com

创建子域服务器，192.168.25.151，域名：fileserver.bxxxxxxxc.com（此域只针对文件服务器进行使用）

DFS文件服务器，192.168.25.152，加入子域fileserver.bxxxxxxxc.com

2、 DFS搭建把文件服务器加入子域fileserver.bxxxxxxxc.com，然后在子域控制器（192.168.25.151）和文件服务器（192.168.25.152）上创建以fileserver.bxxxxxxxc.com为域名的命名空间，命名空间包括子域控制器（192.168.25.151）和文件服务器空间（192.168.25.152），根路径\\fileserver.bxxxxxxxc.com\fileserver

把子域控制器和文件服务器同时放入UEM工作空间

把主域资源放到个人空间


登录后资源显示如下：

  3、 测试实现效果

（1）个人空间能访问主域共享\\bxxxxxxxc.com，但不能访问文件服务器共享\\fileserver.bxxxxxxxc.com\fileserver

（2）\\fileserver.bxxxxxxxc.com\fileserver只能在UEM工作空间访问，不能在个人空间访问。橙色窗口为工作空间