Последние Статьи


Самые популярные пароли

Сетевая информационная безопасность: мифы и реальность Всемогущество хакеров

Хакеры и кракеры, или Что такое хорошо и что такое плохо?

Хронология ARPANET - INTERNET

Система защиты в Windows — факт или вымысел

Основные принципы обеспечения безопасности

Диспетчер SAM и служба Active Directory

Административные границы: лес или домен?

Можно ли доверять домену, подключенному к Internet?

Идентификаторы защиты (SID)

Почему нельзя входить в систему с правами администратора из любой точки?

Сетевая модель безопасности и совместного использования ресурсов

Удаленные атаки на распределенные вычислительные системы

Характеристика и механизмы реализации типовых удаленных атак

Ложный ARP-сервер в сети Internet

Ложный DNS-сервер в сети Internet

Подмена одного из субъектов TCP-соединения в сети Internet

Нарушение работоспособности хоста в сети

Мифические удаленные атаки в сети Internet

Выделенный канал связи между объектами распределенной ВС

Можно ли доверять домену, подключенному к Internet?

  Нам часто задают вопрос: стоит ли создавать отдельный лес, чтобы добавить в организацию домены с ограниченными доверительными отношениями? Этот вопрос особенно уместен при создании домена, доступного по Internet, скажем, домена для поддержки Web-сервера. В этой ситуации можно пойти по одному из двух путей. Можно создать отдельный лес/домен и установить к нему явные односторонние доверительные отношения по старому методу для главного леса, чтобы защитить этот лес от потенциальной опасности, исходящей из домена/леса, подключенного к Internet.

  При этом вы теряете преимущества использования общего для всех доменов каталога и возникает необходимость управления несколькими лесами. Вторым вариантом является добавление домена, подключенного к Internet, в организационную единицу (OU) внутри домена, который администрирует надежный персонал. При этом администратор организационной единицы должен получить возможность управления только теми объектами, которые входят в его единицу. Даже если учетная запись администратора будет взломана, остальной части леса будет нанесен минимальный ущерб.

  Последствия взлома домена

  Так что же может случиться, если домен будет скомпрометирован? Допустим, хакер пытается войти в сеть через контроллер домена, подключенный к Internet, или рассерженный сотрудник решил поиграть в злобного администратора домена. Вот что они могут попытаться сделать, учитывая вес, что было сказано в этом разделе относительно безопасности леса, дерева и домена.

  По меньшей мере, риску подвергаются все остальные домены леса, поскольку члены групп Domain Admins доменов леса могут стать владельцами контейнера конфигурации (Configuration) службы Active Dirеctory, изменить данные в этом контейнере и продублировать изменения конфигурации на каждом контроллере домена леса.

  Если на взломанном домене прошли аутентификацию учетные записи внешних доменов, злоумышленник может получить эти аутентификаиионные данные из кэш-памяти службы LSA Secrets (см. главу 8, "Расширение сферы влияния"), расширив свое влияние на другие домены леса.
И наконец, если взломан корневой домен, члены групп Enterprise Admins и Schéma Admins могут управлять любыми параметрами любого домена леса, если только права членов этих групп не были ограничены вручную.

ТОП 5 САМЫХ ЧИТАЕМЫХ

Основные правила безопасного поведения в Интернете

Диспетчер SAM и служба Active Directory

Вы забыли пароль. Что делать? Часть 3

Социальная инженерия как способ совершения преступлений в сфере компьютерной информации

Идентификаторы защиты (SID)

Copyright © 2010 BRV ISTCOM S.R.L.- раскрутка сайта