На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Оборотная сторона: можно ли доверять домену, подключенному к Internet?

Нам часто задают вопрос: стоит ли создавать отдельный лес, чтобы добавить в организа­цию домены с ограниченными доверительными отношениями? Этот вопрос особенно уме­стен при создании домена, доступного по Internet, скажем, домена для поддержки Web-сервера. В этой ситуации можно пойти по одному из двух путей. Можно создать отдельный лес/домен и установить к нему явные односторонние доверительные отношения по старому методу для главного леса, чтобы защитить этот лес от потенциальной опасности, исходящей из домена/леса, подключенного к Internet. При этом аы теряете преимущества использования общего для всех доменов каталога и возникает необходимость управления несколькими леса­ми. Вторым вариантом является добавление домена, подключенного к Internet, в организаци­онную единицу (OU) внутри домена, который администрирует надежный персонал. При этом администратор организационной единицы должен получить возможность управления только теми объектами, которые входят в его единицу. Даже если учетная запись администра­тора будет взломана, остальной части леса будет нанесен минимальный ущерб.
Последствия взлома домена
Так что же может случиться, если домен будет скомпрометирован? Допустим, хакер пыта­ется войти в сеть через контроллер домена, подключенный к Internet, или рассерженный со­трудник решил поиграть в злобного администратора домена. Вот что они могут попытаться сделать, учитывая вес, что было сказано в этом разделе относительно безопасности леса, де­рева и домена.
По меньшей мере, риску подвергаются все остальные домены леса, поскольку члены групп Domain Admins доменов леса могут стать владельцами контейнера конфигурации (Configuration) службы Active Directory, изменить данные в этом контейнере и продублиро­вать изменения конфигурации на каждом контроллере домена леса.
Если на взломанном домене прошли аутентификацию учетные записи внешних доменов, злоумышленник может получить эти аутентификаиионные данные из кэш-памяти службы LSA Secrets (см. главу 8, "Расширение сферы влияния"), расширив свое влияние на другие домены леса.
И наконец, если взломан корневой домен, члены групп Enterprise Admins и Schema Ad­mins могут управлять любыми параметрами любого домена леса, если только права членов этих групп не были ограничены вручную.
Доверительные отношения между лесами
В системах под управлением Windows 2000 не существовало возможности устанавливать доверительные отношения между лесами. Если пользователям одного леса было необходимо предоставить доступ к ресурсам, хранящимся в другом лесу, то приходилось создавать "внешние" доверительные отношения между двумя доменами обоих лесов. Такие довери­тельные отношения являются односторонними и нетранзитивными, И доверительные отно­шения не распространяются на весь лес.
В Windows Server 2003 появилась возможность создания доверительных отношений между лесами, при которых все домены одного леса (транзитивно) доверяют всем доменам другого леса с помощью одного доверительного отношения, установленного между двумя корневыми доменами лесов. Основное преимущество этого метода заключается в облегчении интеграци­онного процесса (при сохранении существующей инфраструктуры) для компании, которая приобрела другую компанию или объединилась с ней.
Для создания доверительных отношений между лесами все контроллеры домена в обоих лесах должны работать в однородном режиме (native mode), то есть все контроллеры домена должны работать под управлением Windows Server 2003.
Доверительные отношения между лесами могут быть как односторонними, так и двусторонними, но они не являются транзитивными на уровне трех или большего количества лесов. Если лес А доверяет лесу В и лес В доверяет лесу С, то это не означает установку доверительных отношений между ле­сом А и лесом С.
По умолчанию пользователи из лесов, с которыми установлены доверительные отноше­ния, после аутентификации получают доступ к любым ресурсам в другом лесу с помощью до­бавления в группу Authenticated Users. Однако такой доступ можно запретить с помощью оп­ции "Selective authentication" (Избирательная аутентификация). Эта опция позволяет устано­вить аутентификационный брандмауэр, который является новым свойством в системах Windows Server 2003 и позволяет предоставлять пользователям из доверенных лесов доступ только к определенным администратором ресурсам.
Аутентификационный брандмауэр блокирует вес попытки аутентификации на контрол­лерах домена в лесу, ресурсы которого запрашивает пользователь. При этом контроллер до­мена добавляет идентификатор защиты (SID) "Other Organization" (см. таб л аутентификация") на доступ к объекту для указанного пользователя или группы из другого леса или домена (последнее должно быть настроено предварительно). Если проверка дает положительный ре­зультат, к маркеру идентификации пользователя добавляется SID "This organization", который заменяет идентификатор "Other organization" (может быть установлен только один из этих двух идентификаторов безопасности).
Обобщая сказанное по теме лесов, деревьев и доменов в системах Windows Server 2003, с точки зрения хакера все это выглядит следующим образом.
Наиболее вероятной целью атак являются контроллеры домена, поскольку они содержат ог­ромное количество информации об учетных записях. Кроме того, это наиболее защищенные
и охоаняемыс системы в окоужении Windows Server 2003. поэтому чаше атакуются слабо лаиги-
щенные системы домена, которые затем используются для получения полного контроля над всеми связанными с этими системами доменами. Размер ущерба, нанесенного взломом одной системы, намного увеличивается, если учетные записи одного домена обладают правом доступа
Аутентификационный брандмауэр
Выводы
в других доменах при установленных доверительных отношениях. Границей защиты в Windows Server 2003 является лес, а не домен, как это было в системах Windows NT. Довери­тельные отношения между лесами могут быть установлены, когда контроллеры домена под управлением Windows Server 2003 работают в однородном режиме. Если при этом не запущен аутентификационный брандмауэр, то границы зоны защиты расширяются на обалеса.
Идентификаторы защиты (SID)
До настоящего времени мы говорили об элементах системы безопасности, пользуясь их "общими" названиям, такими как администратор или группа администраторов домена Domain Admins. Но внутри систем семейства Windows NT каждый из этих объектов представлен гло­бально уникальным 48-разрядным числом, которое называется идентификатором системы за­щиты или SID (Security Identifier). Такой подход позволяет системе различать, например, ло­кальную учетную запись Administrator компьютера А и одноименную локальную учетную запись Administrator компьютера В.
Идентификатор SID состоит из нескольких частей. Рассмотрим пример такого идентифи­катора.
S-1-5-21-1507001333-1204550764-1011284298-500
Перед идентификатором SID ставится буква S, а его части разделяются дефисами. Первое число (в данном случае 1) является номером редакции, второе — значение полномочий иден­тификатора (для Windows Server 2003 это всегда 5). Далее следуют четыре значения подполно-мочий (в рассматриваемом примере это 21 и три длинные последовательности цифр), а по­следним указывается относительный идентификатор (RID — Relative Identifier) (в нашем примере его значение равно 500).
Идентификатор SID может показаться слишком сложным, но важно понять, что одна его часть уникальна для инсталляции или домена, а другая — общая для всех инсталляций и до­менов (относительный идентификатор RID). После установки Windows Server 2003 локаль­ный компьютер случайным образом выбирает SID. То же самое происходит и при создании домена под Windows Server 2003 — он также получает уникальный идентификатор SID. Таким образом, для любого компьютера или домена под управлением Windows Server 2003 значения подполномочий всегда будут уникальными (если только их не подделывали и не дублировали, как это происходит при некоторых видах низкоуровневого копирования дисков).
В любом случае, значение R1D является постоянным для всех компьютеров и доменов. Например, идентификатор SID, у которого значение RiD равно 500, всегда принадлежит учетной записи Administrator локальной машины. RID 501 используется для учетной записи Guest. Для домена RID начинается со значения 1001 и показывает количество учетных запи­сей пользователей (например, RID 1015 получит пятнадцатый пользователь домена). Доста­точно сказать, что переименование учетной записи никак не влияет на соответствующий ей S1D, поэтому учетная запись всегда будет идентифицирована. Переименовав учетную запись Administrator, вы лишь измените ее имя, система Windows Server 2003 (или злоумышленник, использующий специальные средства) всегда определит се по значению R1D 500.
Почему нельзя входить в систему с правами администратора из любой точки?
Очевидно (мы надеемся), что учетная запись Administrator на компьютере А отличается от учетной записи Administrator на компьютере В, так как они имеют разные идентификаторы SID, по которым их различает система Windows Server 2003, хотя для человека обе эти записи выглядят одинаково.


Эта особенность может довести неопытного хакера до головной боли. Врем! в этой книге будут встречаться описания ситуаций, в которых не удается войти в учетной записью Administrator.

[ от времени систему под

С:\> net usb \\193.1E8.334.44\ipc$ password /иtAdministrator

 

 

Logon failure: unknown user name

>r bad p;

is sword.

 

 

 

Кто-то на этом может остановиться, забыв, что Windows при попытке входа в систему че­рез сеть автоматически передает текущие сведения о подключенных к системе пользователях. Таким образом, если на клиентской машине пользователь был зарегистрирован в системе с учетной записью Administrator, то это будет воспринято как попытка входа локального ад­министратора клиентской машины на удаленной системе. Конечно же, эта учетная запись на удаленном сервере не имеет контекста. Контекст входа в систему можно определить вручную, используя ту же команду, только для этого перед именем пользователя необходимо указать удаленный домен, имя компьютера или его IP-адрес, отделив его обратной косой чертой.
C;S>net use W193- 168.234.44\ipc5 password /и: damain\Adminlstrator
The command completed successfully.
Естественно, если система, с которой происходит соединение, не входит в домен, необхо­димо использовать имя компьютера или его IP-адрес. Об этом трюке мы еще вспомним, ко­гда будем рассматривать удаленную работу с командными интерпретаторами (shell) в главе 7, "Переход к интерактивному режиму работы". Этот механизм используется для удаленного запуска командного интерпретатора, поскольку он обычно выполняется в контексте учетной записи SYSTEM. Удаленные серверы не могут интерпретировать выполнение команд net use в контексте LocalSystem, поэтому почти всегда необходимо указывать домен или имя удаленного компьютера, как это было сделано в предыдущем примере.
Просмотр идентификаторов SID с помощью утилит user2sid/sid2user
Для получения значений идентификаторов SID можно использовать утилиту user2sid Ев­гения Рудного (Evgcnii Rudnyi). Ниже приведен результат выполнения программы user2sid для удаленной локальной машины.
С:\>user3sid Wcansare Administrator
S-l-5-21-150700133 3-1204550764-1011284298-500 Number of subauthorities is 5 Domain is CORP
Length of SID in memory is 28 bytes Type of SID is SidTypeUser
Утилита sid2user выполняет обратную операцию, предоставляя имя пользователя по за­данному идентификатору S1D. Используем SID, полученный в предыдущем примере.
C:\>sid2user Wcaesare 5 21  1507001333  1204550764 1011284298-500
Name is Administrator
Domain is CORP
Type of SID is SidTypeUser
Отметим, что идентификатор SID необходимо вводить, начиная с идентификатора пол­номочий (который для Windows Server 2003 всегда равен 5), а для разделения частей номера используются пробелы, а не дефисы.
Как мы расскажем далее в главе 4, "Инвентаризация", эту информацию можно извлечь во время анонимного сеанса работы в системе Windows Server 2003 при наличии в ней запущенной службы SMB, которая сконфигурирована оп­ределенным образом.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика