Pull to refresh

Comments 15

UFO just landed and posted this here
<холивар>
Зачем мучаться? Вы о чем? :)
Автор в конце статьи привел скрипт для создания «бэкдора».
Так можно легко сваять скрипт мониторинга.
На выбор у пользователя есть: продвинутые окошки и продвинутая «консоль».
В *никсах окошки для настроек да — неудобные. В конфиги все время лезть приходится, при этом помнить какой конфиг может быть перекрыт каким другим конфигом.
</холивар>
UFO just landed and posted this here
UFO just landed and posted this here
В реестре сохраняет. Довольно удобный способ хранения настроек, кстати.
В данном случае полагаю что в NTDS.DIT все же.
Дима, надеюсь в скрипте есть антикиддис защита?
UFO just landed and posted this here
Я как бы против подобных вещей, потому, разумеется, нет.
Чтобы сделать подобное, уже надо обладать привилегиями. В маленьких компаниях просто делается выгрузка привилегий и смотрится, что и как. Это не долго и легко находится. А в крупных компаниях за действиями админа стоит (как например, в одном из наших проектов) служба безопасности, у которой свой сервер аудита, куда админ не может зайти и которая следит за его действиями. Более того, пароль админа домена не знают от и до никто из персонала. Им делегированы права на выполнение определенных действий и не более того. Для привилегированного режима требуется три человека, из которых каждый знает лишь кусок пароля.
Вот и все.
Так что это не блекдор, на мой взгляд, а обычная халатность, которая пройдет лишь там, где в сети нечего брать. В конце концов, сброс паролей для всех учеток спасет от подобных глупостей. Мне так кажется.
Могу Вас заверить, что халатность в крупных компаниях встречается сплошь и рядом. Потому не стоит быть слишком уверенным в том, что реализованные механизмы защиты действительно работают.

>> Для привилегированного режима требуется три человека, из которых каждый знает лишь кусок пароля.

Бесспорно — это хороший подход! Но возникает вопрос, действительно ли все так хорошо? Как реализовано обслуживание контроллеров такого домена? Я говорю про управление обновлениями, конфигурациями, антивирусной защитой, мощностями, резервным копированием и пр.

Из недавней практики. В корневом домене используется подобная практика. Вместе с тем усложнение доступа к обслуживанию контроллеров домена привело к тому, что на них не установлены обновления MS08-067. И это конец 2009 года в очень крупной компании.

>> В конце концов, сброс паролей для всех учеток спасет от подобных глупостей.

Кстати, история из жизни для размышления, по поводу сброса паролей. Какова стоимость и за какое время будет произведена смена паролей для 65.000 учетных записей домена? :)
1. во многодоменной структуре корневой домен обязан быть пустым. Это основа безопасности. Т.е. там вообще быть никого, кроме админа, не должно. Про пароль админа я уже высказался
2. антивирусы на контроллере домена? С точки зрения безопасности сервера должны быть вынесены в отдельный физический сегмент сети и отделены маршрутизатором с настроенными правилами фильтрации (если надо). таким образом вирус не пройдет дальше бродкаст домена юзеров, если произошло заражение неизвестным гадом
3. резервное копирование и т.п. должно быть четко задокументировано. Вот этим абсолютно пренебрегают все средние компании. Живет себе админ, все в голове держит. Потом испарился и все, туши свет. Так вот. Делать резервное копирование и иметь доступ к резервным копиям — далеко не одно и тоже. Мы в свое время внедряли систему, которая интегрировалась с БСК и были, например, такие условия: нельзя логиниться на ПК, если не вошел в помещение. Т.е. как бы вы за консоль ПК не попали, он не примет ваш пароль, если ваша карта не была приложена к датчику входа в помещение, где он расположен.
4. стоимость смены 65.000 паролей велика, тут спорить не буду. Но мы должны так же оценить потенциальные риски их несмены. И не будет ли цена последнего выше? ;)

В общем, я на своем опыте подтвержу ваши слова, что халатность есть и иной раз в колоссальных объемах. Но если компания не проводит аудит безопасности, не интересуется ценой простоя и тем более ценой потерь, то разве AD в этом виновато? :) Как говорят мои сисадмины «техника ломается, но чтобы окончательно ее испортить, нужен человек»
Sign up to leave a comment.

Articles