日出 发表于 2024-7-22 13:11
  
每天坚持打卡学习签到!!
小鱼儿 发表于 2024-7-22 13:17
  
每天坚持打卡学习签到!!
小西北 发表于 2024-7-22 13:17
  
每天坚持打卡学习签到!!
【atrust】UEM访问同域名不同路径不能隔离问题测试与分享
  

Spanlee 4784

{{ttag.title}}
本帖最后由 Spanlee 于 2023-12-13 15:46 编辑

分享一个atrust测试中遇到的问题
一、问题描述
现有环境中,客户使用DFS分布式文件共享访问文件服务器。需要使用AD域的域名作为命名空间,指向根路径\\bxxxxxxxc.com\fileshare。此路径对应隧道资源需要放入沙箱进行保护,但放入沙箱后,在个人空间仍能访问。

二、客户需求及预期效果
客户需要做到个人空间访问不了\\bxxxxxxxc.com\fileshare,沙箱工作空间中可以\\bxxxxxxxc.com\fileshare,但个人空间需要访问到\\bxxxxxxxc.com(域策略下发需要使用的路径)  

三、问题现象
\\bxxxxxxxc.com    ---->此路径为AD共享路径,用于下发AD域策略和脚本。对应IP为AD服务器IP192.168.25.150,对应资源放在个人空间
\\bxxxxxxxc.com\fileshare    ---->此路径为DFS根路径,用于访问文件服务器,对应IP为文件服务器IP192.168.25.151和192.168.25.152,对应资源放在UEM工作空间中。
当前现象:
\\bxxxxxxxc.com\fileshare对应的服务器IP放入到UEM工作空间中,但在个人空间仍能访问
UEM工作空间截图--橙色窗口

个人空间仍然能访问截图--无颜色窗口

四、问题分析
UEM沙箱的smb拦截和放行是基于文件系统来做的,无法区分\\bxxxxxxxc.com和\\bxxxxxxxc.com\fileshare两个路径分别对应的真实服务器ip。现在沙箱内通过smb访问bxxxxxxxc.com\fileshare时,其实跟bxxxxxxxc.com\识别为同一个命名路径。使用真实服务器IP访问资源时不会出类似问题,只有使用相同域名访问不同路径时会出现以上问题。

原因:沙箱无法隔离相同域名不同路径文件系统,当用户访问\\bxxxxxxxc.com\fileshare时,只能将其识别为\\bxxxxxxxc.com,因此当\\bxxxxxxxc.com对应的资源放在个人空间时,个人空间也能访问UEM沙箱中\\bxxxxxxxc.com\fileshare,即使两个路径对应的真实服务器IP不一样。

五、解决方案
现有的技术方案实现不了客户预期效果,可尝试使用两个不同的域名,不要根据目录来区分如:\\bxxxxxxxc.com-->域服务器上的共享目录\\bxxxxxxxc2.com-->fileshare服务器上的共享目录

六、解决方案内部测试及效果
1、 域环境搭建创建域服务器,192.168.25.150,域名:bxxxxxxxc.com

创建子域服务器,192.168.25.151,域名:fileserver.bxxxxxxxc.com(此域只针对文件服务器进行使用)

DFS文件服务器,192.168.25.152,加入子域fileserver.bxxxxxxxc.com

2、 DFS搭建把文件服务器加入子域fileserver.bxxxxxxxc.com,然后在子域控制器(192.168.25.151)和文件服务器(192.168.25.152)上创建以fileserver.bxxxxxxxc.com为域名的命名空间,命名空间包括子域控制器(192.168.25.151)和文件服务器空间(192.168.25.152),根路径\\fileserver.bxxxxxxxc.com\fileserver


把子域控制器和文件服务器同时放入UEM工作空间

把主域资源放到个人空间


登录后资源显示如下:


  3、 测试实现效果
(1)个人空间能访问主域共享\\bxxxxxxxc.com,但不能访问文件服务器共享\\fileserver.bxxxxxxxc.com\fileserver

(2)\\fileserver.bxxxxxxxc.com\fileserver只能在UEM工作空间访问,不能在个人空间访问。橙色窗口为工作空间

70148657950528adb0.png (72.9 KB, 下载次数: 248)

70148657950528adb0.png

打赏鼓励作者,期待更多好文!

打赏
14人已打赏

发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

25
13
5

发帖

粉丝

关注

本版达人