Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Вопрос по ADSI

Ответить
Настройки темы
2008 R2 - Вопрос по ADSI

Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать

Здравствуйте!
Коллеги, прошу Вас разъяснить некоторые моменты этой статьи
http://habrahabr.ru/blogs/infosecurity/90990/

Как я понимаю можно создать учётную запись, которую не смогут удалить другие администраторы.
Верно ли я понял?
Спасибо!

Отправлено: 02:18, 07-11-2010

 
QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Уважаемый VOX13, если Вас интересуют принципы построения безопасной инфраструктуры Active Directory и обзор "лучших практики", то Вам стоит почитать материалы:
Best Practice Guide for Securing Active Directory Installations
Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II

В целом можно сказать, что если владелец AD не заботится о ее безопасности, то с AD можно сделать что угодно. Если на смену старому админу пришел новый, у которого уровень знаний ниже, то высока вероятность, что старый админ может воспользоваться оставленным back-door.

Маловероятно, что существует функционал ограничения в удалении тех или иных данных в Active Directory для Ent.Admin; да, можно существенно затруднить обнаружение и сам процесс удаления данных и параметров, но полностью его заблокировать, как мне кажется - невозможно.

Даже если новый админ очень недалек в безопасности, первая попытка доступа в сеть с back-door учетной записью приведет к появлению соответствующих записей в журнале аудита... с соответствующими последствиями (уголовными) для хакера.

PS: какие именно моменты статьи Вы хотели бы уточнить?
Это сообщение посчитали полезным следующие участники:

Отправлено: 12:01, 07-11-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать

Спасибо!
Вообще интересует вопрос возможности скрытия присутствия пользователя в какой либо группе.
Спасибо!

Отправлено: 17:08, 07-11-2010 | #3

QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать

Hiding the Membership of the Service Administrator Groups
читать дальше »
Because members of the service administrator groups are highly privileged, they constitute an attractive target for attackers. Therefore, the membership information of these groups should be guarded as much as possible. For maximum security, it is best to hide the membership information for all service administrator groups from regular users. However, the default security descriptor on AdminSDHolder that is used to protect service administrator groups allows their membership information to be visible to regular users.

It is possible to tighten security further by removing access for Authenticated Users from the security descriptor on AdminSDHolder. Because this can cause some server-based applications to stop functioning, care must be taken when doing this. Systematically remove access for Authenticated Users by performing the following set of tasks:

If you have not already done so, disable Pre-Windows 2000 Compatible Access for your domain. For more information, see "Disabling Pre-Windows 2000 Compatible Access" earlier in this guide.

Create a group called "Server Applications," and grant it Read access to AdminSDHolder by adding the ACE, as shown in Table 40.

Add the individual service accounts used by your applications that require the ability to enumerate group membership of the service administrator groups to this group.

Remove the Authenticated User entry and the Pre-Windows 2000 Compatible Access entry from the security descriptor.

At this point, your service administrator accounts should not be visible to regular users on your network. Because it is impossible to predict the impact on every application, closely monitor applications running in your environment, and make sure that they still function properly. If you observe application problems, simply add Authenticated Users as a member of the newly created Server Applications group to restore functionality while you diagnose how to remove the application dependency.


Собственно к чему это я.... Если закрываете членство в рядовой группе, то никаких проблем - пользуйтесь банальными ACLs на группу и соответствующих пользователей - снимите для всех (кроме админов) разрешения List Contents, Read All Properties, Read Permissions; если нужно ограничивать видимость в группе админов, то нужно править разрешения на AdminSDHolder!

PS: в приведенной Вами ссылке ничего про AdminSDHolder не сказано...
Это сообщение посчитали полезным следующие участники:

Отправлено: 22:17, 07-11-2010 | #4


Новый участник


Сообщения: 29
Благодарности: 0

Профиль | Отправить PM | Цитировать

Огромное спасибо, буду изучать!

только что то ссылка не работает...

Отправлено: 09:43, 08-11-2010 | #5



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Вопрос по ADSI

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Прочее - Вопрос по Wi-Fi. arif84 Сетевое оборудование 7 26-09-2010 13:58
VBS/WSH/JS - вопрос VB BRAT2 Скриптовые языки администрирования Windows 0 13-07-2009 11:04
вопрос по VB slaine Вебмастеру 3 18-03-2005 20:45
Вопрос tupoy lamer Хочу все знать 1 28-08-2004 07:01


« Предыдущая тема | Следующая тема »


 
Переход