На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2000-2-21 на главную / новости от 2000-2-21
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 21 февраля 2000 г.

Такие разные модели

Компания Novell, уже в течение нескольких лет выпускающая собственную службу каталога Novell NDS , обнаружила прореху в системе безопасности новорожденной Microsoft Active Directory.

Суть проблемы состоит в следующем. В некоторых случаях необходимо ограничить права администратора организации на доступ к информации, имеющейся в определенных подразделениях, например, бухгалтерии, передав их локальному администратору подразделения. При этом система безопасности не должна допускать пользователя, имеющего права администратора вне отдела, к информации отдела и не допускать возможности того, что он сможет получить такие права в результате целенаправленных действий. Необходимо заметить, что администратор организации по умолчанию имеет так называемые "наследуемые" права во всех подразделениях и для обеспечения конфиденциальности наследуемые права следует ограничить с помощью "фильтра наследуемых прав", причем никакие действия администратора не должны допустить восстановления наследуемых прав.

Казалось бы, так должно происходить. Но только не в модели безопасности, реализованной в Active Directory.

Если администратору организации полностью запретить доступ к подразделению, то он не будет иметь не только прав поменять в нем что-либо, но даже и не увидит ничего. Однако только, если он пойдет напрямую.

По заявлению Novell, если перед тем как отправляться по Active Directory в бухгалтерию, он заглянет например, в производственный отдел, в котором его наследованные права не ограничены, а затем завернет в бухгалтерию, то с удивлением заметит, что он может не только видеть структуру безопасности, но и менять ее вплоть до восстановления наследуемых прав.

Весь процесс получения полномочий подробно описан в документе www.novell.com/advantage/nds/ad-security.html.

Как на это отреагировала Microsoft? В документе www.microsoft.com/windows2000/news/bulletins/novellresponse3.asp, призванном дать ответ на вопрос:"Почему в случае когда администратор идет прямым путем он получает ожидаемый отказ в доступе, а если в обход, то разрешение на доступ к объекту?", прямого ответа нет. Зато там объясняется, что администратор домена имеет "священное право собственности" на все объекты домена. Точнее, "право стать собственником" любого объекта. Это сделано специально чтобы в Active Directory не могли возникнуть "объекты-сироты", т.е. объекты, на которые из-за ошибки администрирования никто не имеет прав. И никакие экраны, сообщающие о том, что администратору домена запрещен доступ к какому-то объекту не должны вводить в заблуждение. Все это легко обходится, но, правда, о таких действиях сразу станет известно, благодаря службе аудита.

А что же делать в том случае, когда необходимо запретить администратору домена доступ к информации подразделения? Ответ прост - выделить это подразделение в отдельный домен, с другим администратором и установить между ними доверительные отношения.

Таким образом, Microsoft не признала наличие дыры в системе безопасности, а полагает, что это одна из ее особенностей. Спор между специалистами компаний становится более терминологическим - "дыра" или "не дыра". Но в любом случае, тем системным администраторам, кому придется работать с Active Directory будет полезно ознакомится с документами, опубликованными компаниями, и проверить изложенные там аргументы, чтобы для себя однозначно ответить на этот вопрос.

 

← январь 2000 15  16  17  18  21  22  23  24  25 март 2000 →
Реклама!
 

 

Место для Вашей рекламы!