Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

День сисадмина

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

День сисадмина

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

Виртуализация

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

Книжная полка

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

Книжная полка

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

Разбор полетов

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

Принципы проектирования

Dependency Inversion Principle. Принцип инверсии зависимостей в разработке

Мы подошли к последнему принципу проектирования приложений из серии SOLID – Dependency

Рынок труда

Вакансия: Администратор 1С

Администратор 1С – это специалист, который необходим любой организации, где установлены программы

Книжная полка

Книги для профессионалов, студентов и пользователей

Книги издательства «БХВ» вышли книги для тех, кто хочет овладеть самыми востребованными

Принципы проектирования

Interface Segregation Principle. Принцип разделения интерфейсов в проектировании приложений

Эта статья из серии «SOLID» посвящена четвертому принципу проектирования приложений – Interface

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Потоковая обработка данных

19.03.2018г.

Комментарии: 0

Релевантный поиск с использованием Elasticsearch и Solr

19.03.2018г.

Комментарии: 0

Конкурентное программирование на SCALA

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

Друзья сайта

Active Directory и безопасность. Часть 3. Методика защиты

Архив номеров / 2014 / Выпуск №10 (143) / Active Directory и безопасность. Часть 3. Методика защиты

Рубрика: Безопасность / ИТ-инфраструктура

СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS. msv121@mail.ru

ЛЕОНИД ШАПИРО, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, CCEE. shapiro_leonid@yahoo.com

Active Directory и безопасность
Часть 3. Методика защиты

В предыдущих статьях этого цикла [1, 2] мы выяснили актуальность защиты учетных записей привилегированных пользователей в службе каталога. Давайте посмотрим, как это можно выполнить, какие средства предлагает нам операционная система для реализации данной задачи

Защищаем административные учетные записи

Рассмотрим, что нужно сделать, на примере самой важной учетной записи в домене – записи Built-in Administrator. Руководствуясь приведенными ниже принципами, можно обеспечить защиту и других привилегированных учетных записей. Изучим те свойства, которые обычно многими администраторами игнорируются, и совершенно напрасно.

Между прочим, не лишним будет вспомнить, что административная учетная запись обладает широчайшими, а по сути своей, гораздо большими, чем у системы, полномочиями в рамках своего домена, а если этот домен – корневой, то и во всем лесу. Так что обеспечение ее безопасности для нас весьма и весьма актуально.

Вернемся к ее свойствам. Многое можно сделать простыми средствами. Воспользуемся консолью Active Directory Users and Computers и посмотрим, что у нас есть для того, чтобы защитить учетную запись пользователя (см. рис. 1).

Рисунок 1. Свойства учетной записи. Запрет делегирования

Свойство Account is sensitive and cannot be delegated. Обратите внимание на то, что она не включена. Что же означает эта опция? По умолчанию все учетные записи в AD могут быть делегированы – это позволяет службам, функционирующим на данном компьютере, или самому компьютеру представляться другим компьютерам или службам от имени учетной записи, которая в настоящий момент используется. Проще говоря, некое зловредное ПО теоретически сможет работать от привилегированной учетной записи, что является угрозой безопасности. Разумеется, нам может потребоваться функция делегированной аутентификации, например, при работе с EFS на сетевом ресурсе, однако с административными записями надо быть предельно аккуратными, потому для них мы обычно включаем эту опцию.

Статью целиком читайте в журнале «Системный администратор», №10 за 2014 г. на страницах 47-49.

PDF-версию данного номера можно приобрести в нашем магазине.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru