Последние Статьи


Самые популярные пароли

Ложный ARP-сервер в сети Internet

Почему нельзя входить в систему с правами администратора из любой точки?

Идентификаторы защиты (SID)

Можно ли доверять домену, подключенному к Internet?

Административные границы: лес или домен?

Основные принципы обеспечения безопасности

Система защиты в Windows — факт или вымысел

Хронология ARPANET - INTERNET

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Административные методы защиты от удаленных атак в сети Internet

Контроль за виртуальными соединениями в распределенной ВС

Контроль за маршрутом сообщения в распределенной ВС

Плюсы и минусы распределенной ВС с выделенными каналами

Мифические удаленные атаки в сети Internet

Нарушение работоспособности хоста в сети

Подмена одного из субъектов TCP-соединения в сети Internet

Можно ли доверять домену, подключенному к Internet?

  Нам часто задают вопрос: стоит ли создавать отдельный лес, чтобы добавить в организацию домены с ограниченными доверительными отношениями? Этот вопрос особенно уместен при создании домена, доступного по Internet, скажем, домена для поддержки Web-сервера. В этой ситуации можно пойти по одному из двух путей. Можно создать отдельный лес/домен и установить к нему явные односторонние доверительные отношения по старому методу для главного леса, чтобы защитить этот лес от потенциальной опасности, исходящей из домена/леса, подключенного к Internet.

  При этом вы теряете преимущества использования общего для всех доменов каталога и возникает необходимость управления несколькими лесами. Вторым вариантом является добавление домена, подключенного к Internet, в организационную единицу (OU) внутри домена, который администрирует надежный персонал. При этом администратор организационной единицы должен получить возможность управления только теми объектами, которые входят в его единицу. Даже если учетная запись администратора будет взломана, остальной части леса будет нанесен минимальный ущерб.

  Последствия взлома домена

  Так что же может случиться, если домен будет скомпрометирован? Допустим, хакер пытается войти в сеть через контроллер домена, подключенный к Internet, или рассерженный сотрудник решил поиграть в злобного администратора домена. Вот что они могут попытаться сделать, учитывая вес, что было сказано в этом разделе относительно безопасности леса, дерева и домена.

  По меньшей мере, риску подвергаются все остальные домены леса, поскольку члены групп Domain Admins доменов леса могут стать владельцами контейнера конфигурации (Configuration) службы Active Dirеctory, изменить данные в этом контейнере и продублировать изменения конфигурации на каждом контроллере домена леса.

  Если на взломанном домене прошли аутентификацию учетные записи внешних доменов, злоумышленник может получить эти аутентификаиионные данные из кэш-памяти службы LSA Secrets (см. главу 8, "Расширение сферы влияния"), расширив свое влияние на другие домены леса.
И наконец, если взломан корневой домен, члены групп Enterprise Admins и Schéma Admins могут управлять любыми параметрами любого домена леса, если только права членов этих групп не были ограничены вручную.

ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Что делать, если вы забыли пароль BIOS

Как взламывают пароли?

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации

Вы забыли пароль. Что делать? Часть 3


Copyright © 2010 BRV ISTCOM S.R.L.- раскрутка сайта