Последние Статьи


Самые популярные пароли

Ложный ARP-сервер в сети Internet

Почему нельзя входить в систему с правами администратора из любой точки?

Идентификаторы защиты (SID)

Можно ли доверять домену, подключенному к Internet?

Административные границы: лес или домен?

Основные принципы обеспечения безопасности

Система защиты в Windows — факт или вымысел

Хронология ARPANET - INTERNET

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Административные методы защиты от удаленных атак в сети Internet

Контроль за виртуальными соединениями в распределенной ВС

Контроль за маршрутом сообщения в распределенной ВС

Плюсы и минусы распределенной ВС с выделенными каналами

Мифические удаленные атаки в сети Internet

Нарушение работоспособности хоста в сети

Подмена одного из субъектов TCP-соединения в сети Internet

Административные границы: лес или домен?

  Мы часто задаем этот вопрос: что же в действительности является границей для системы безопасности в деру Windows Service T2003 — домен или лес? Отвечая коротко, можно сказать, что даже если домен И является первичной административной границей, он не создает сплошную границу защиты, как это было в системах Windows NT. И тому есть несколько причин.

  Одна из причин — существование универсальных групп, которые могут получить привилегии в любом домене леса, поскольку транзитивные двусторонние доверительные отношения устанавливаются автоматически между всеми доменами леса. Например, члены групп Enterprise Admins и Schema Admins по умолчанию получают доступ к некоторым элементам порожденных лесов (child forest). Чтобы члены вышеупомянутых групп не могли выполнять операции внутри данного домена, эти разрешения необходимо удалять вручную. Также необходимо обратить внимание на группы Domain Admins всех остальных доменов леса. У лесов службы Active Directory сеть одно малоизвестное свойство. Вот как говорится о нем в руководстве Windows 2000 Server Resource Kit Deployment Planning Guide: "Администраторы любого из доменов леса имеют потенциальную возможность стать владельцами и изменить информацию из контейнера конфигурации (Configuration container) службы Active Directory. Эти изменения можно продублировать на всех доменных контроллерах леса. Таким образом, можно считать, что администратор любого присоединившегося к лесу домена имеет доверительные отношения, приравнивающие его по возможностям к любому другому администратору домена (из группы Domain Admins).

ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Что делать, если вы забыли пароль BIOS

Как взламывают пароли?

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации

Вы забыли пароль. Что делать? Часть 3


Copyright © 2010 BRV ISTCOM S.R.L.- раскрутка сайта