Нам часто задают вопрос: стоит ли создавать отдельный лес, чтобы добавить в организацию домены с ограниченными доверительными отношениями? Этот вопрос особенно уместен при создании домена, доступного по Internet, скажем, домена для поддержки Web-сервера. В этой ситуации можно пойти по одному из двух путей. Можно создать отдельный лес/домен и установить к нему явные односторонние доверительные отношения по старому методу для главного леса, чтобы защитить этот лес от потенциальной опасности, исходящей из домена/леса, подключенного к Internet.
При этом вы теряете преимущества использования общего для всех доменов каталога и возникает необходимость управления несколькими лесами. Вторым вариантом является добавление домена, подключенного к Internet, в организационную единицу (OU) внутри домена, который администрирует надежный персонал. При этом администратор организационной единицы должен получить возможность управления только теми объектами, которые входят в его единицу. Даже если учетная запись администратора будет взломана, остальной части леса будет нанесен минимальный ущерб.
Последствия взлома домена
Так что же может случиться, если домен будет скомпрометирован? Допустим, хакер пытается войти в сеть через контроллер домена, подключенный к Internet, или рассерженный сотрудник решил поиграть в злобного администратора домена. Вот что они могут попытаться сделать, учитывая вес, что было сказано в этом разделе относительно безопасности леса, дерева и домена.
По меньшей мере, риску подвергаются все остальные домены леса, поскольку члены групп Domain Admins доменов леса могут стать владельцами контейнера конфигурации (Configuration) службы Active Dirеctory, изменить данные в этом контейнере и продублировать изменения конфигурации на каждом контроллере домена леса.
Если на взломанном домене прошли аутентификацию учетные записи внешних доменов, злоумышленник может получить эти аутентификаиионные данные из кэш-памяти службы LSA Secrets (см. главу 8, "Расширение сферы влияния"), расширив свое влияние на другие домены леса.
И наконец, если взломан корневой домен, члены групп Enterprise Admins и Schéma Admins могут управлять любыми параметрами любого домена леса, если только права членов этих групп не были ограничены вручную.
|