Иллюстрированный самоучитель по Secure Web


Вторжение на доверительную территорию - часть 2


Контрмеры против Isadump2


Компания Microsoft считает, что описанная ситуация не представляет угрозы для безопасности системы, поскольку для запуска утилиты Isadump2 требуется привилегия seoebugprivilege, делегируемая по умолчанию только администраторам. Лучший способ противостояния lsadump2 - защитить учетные записи администраторов. Если же хакер получит доступ к учетной записи администратора, то с помощью lsaduir.P2 он сможет получить и учетные записи служб внешних доменов, и с этим ничего не поделаешь.

Новая система множественной репликации и модель доверительных отношений

Одним из наиболее значительных отличий Win 2000 от NT в области архитектуры доменов является переход к системе множественной репликации и модели доверительных отношений. В рамках леса Win 2000 все домены хранят реплики совместно используемой службы Active Directory и строят двухсторонние доверительные отношения друг с другом по транзитивному принципу на базе протокола Kerberos (доверительные отношения между лесами доменов или с доменами нижнего уровня NT 4 по-прежнему остаются односторонними). Это приводит к интересным следствиям при разработке топологии доменов.

Первым порывом многих администраторов доменов является попытка создания отдельного леса для каждого объекта защиты в рамках организации. На самом деле это неверный подход. Главной задачей администраторов должна стать консолидация доменов в рамках единой схемы управления. Более тонкое управление доступом можно поддерживать на уровне отдельных объектов леса. Возможности такого управления настолько широки, что многие администраторы приходят в замешательство от обилия имеющихся вариантов разрешений. В решении задачи большую помощь могут оказать контейнеры каталогов OL (Organizational Units) и новое средство делегирования прав (delegation feature).

Однако в рамках этой модели члены новых универсальных групп (например, группы администраторов предприятия Enterprise Admins) и в меньшей степени глобальных групп домена (например, Domain Admins) вступают в доверительные отношения со всеми доменами леса. Поэтому взлом учетной записи члена одной из таких групп обеспечивает хакеру доступ ко всем доменам леса. Поэтому авторы советуют организовывать не вполне доверенные сущности (например, подсети организаций-партнеров) или объекты, подверженные угрозам извне (например, центр данных Internet) в отдельный лес или реализовывать их как отдельные серверы.

Кроме того, при двухсторонних транзитивных доверительных отношениях группа Authenticated Users приобретает совсем другой смысл. В больших организациях не имеет смысла рассматривать эту группу как доверенную.





Начало  Назад  Вперед