Иллюстрированный самоучитель по Secure Web

         

Наконец после двойного щелчка на



5. Наконец после двойного щелчка на элементах CN=Users и CN=Builtin в левой панели диалогового окна появится перечень пользователей и встроенных групп сервера, соответственно (рис. 3.4).



Рис. 3.4. Утилита ldp.exe, средство администрирования активного каталога, позволяет выполнить инвентаризацию пользователей активного каталога через аутентифицированное соединение

Благодаря чему с помощью простого гостевого подключения можно извлечь подобную информацию? Некоторым службам (таким как RAS и SQL Server) системы NT4, требуется получать информацию об объектах групп и пользователей, содержащуюся в активном каталоге. Процедура установки активного каталога Win 2000 (dcpromo) предоставляет возможность расширить разрешения на доступ к активному каталогу и предоставить их серверам более ранних версий для получения требуемой информации (рис. 3.5). Если в процессе установки был выбран этот режим, то объекты пользователей и групп будут доступны для инвентаризации через протокол LDAP.

Инвентаризация службы активного каталога: контрмеры

Первое и самое важное, что необходимо осуществить, это контролировать доступ к TCP-портам с номерами 389 и 3268 по границам сети. Если в ваши задачи не входит предоставление данных активного каталога всему миру, запретите несанкционированный доступ к нему.

Для того чтобы предотвратить утечку информации в те части сети, у которых нет разрешений на использование дерева активного каталога, ограничьте соответствующим образом эти разрешения. Различие между смешанным режимом (который следует понимать как "менее безопасный") и основным режимом работы системы Win 2000 определяется членством в группе Pre-Windows 2000 Compatible Access, которой по умолчанию предоставлены разрешения на использование активного каталога (см. табл. 3.2).

Таблица 3.2. Paзрешения на использование бъектов дерева активного калога для группы Pre-Wind ows 2000 Compatible Access













































Объект



Разрешения



К каким объектам применяется



Корневой каталог



Просмотр содержимого



К данному и всем дочерним объектам



Пользователи



Просмотр содержимого, чтение всех свойств и разрешений



К объектам пользователей



Группы



Просмотр содержимого, чтение всех свойств и разрешений



К объектам групп

<

Содержание  Назад  Вперед