НОУ ІНТУІТ, Лекція, Відносини довіри в лісах та доменах

Часто буває, що корпоративна мережа складається з кількох доменів, а іноді й лісів, у цьому випадку в корпоративній мережі можна виділити внутрішню та зовнішню межі. Сетями, що знаходяться за зовнішнім кордоном, як і раніше, вважатимемо мережі ніяк не підконтрольні організації, внутрішніми ж кордонами вважатимемо кордони доменів або лісів корпоративної мережі підприємства.

Для того, щоб користувачі різних доменів мали доступ через внутрішні межі корпоративної мережі між доменами та лісами, необхідно встановити відносини довіри. Щоб побудувати систему відносин довіри, необхідно: задокументувати поточну архітектуру лісів або доменів; визначити потреба у доступі до ресурсів у всіх наявних доменах; вибрати напрямок довіри; визначити обмеження стосунків довіри.

Припустимо, що документація з архітектури існуючих доменів є частиноюПолітики безпеки корпоративної мережі, тому одразу перейдемо до другого етапу та вкажемо аспекти, що потребують уваги при аналізі потреб доступу до ресурсів. По-перше, необхідно переконатися, що доступ до даних через внутрішній кордон дійсно необхідний (цілком можливо, що дані можна розмістити на зовнішньому Web-сервері, тоді відпаде необхідність у перетині внутрішнього кордону. По-друге, необхідно визначитися з локалізацією ресурсів, до яких необхідний доступ (визначити чи знаходяться необхідні ресурси в одному або в різних доменах, а може бути на єдиному сервері.) По-третє, необхідно з'ясувати, хто даватиме дозволи на доступ, хто його контролюватиме (визначитися з власниками потрібних об'єктів та адміністративними обліковими) записами).

Довіра буває наступних типів:

  1. відсутністьдовіри(застосовується за умовчанням у доменах WindowsNT 4.0; робить домен ізольованою сутністю; передбачає, що користувачі отримають доступ до ресурсів цього домену за наявності в ньому відповідного облікового запису);
  2. довіра між доменами одного лісу(всі домени WS2003 в одному лісі пов'язані двосторонніми перехідними відносинами. Це означає, що кожен домен, що є учасником таких відносин, довіряє іншому домену, який також є учасником зазначеної довіри);
  3. спрямляюча довіра(стосунки довіри з доменом з того ж лісу, є одностороннім і не перехідним; також відрізняється від довіри між доменами в одному лісі тим, що дозволяє скоротити шлях довіри. У цьому випадку запит сеансових квитків відбувається безпосередньо в цільовому домені та не проходить повний шлях ієрархії доменів у лісі.);
  4. зовнішня довіра(відносини довіри між доменом WindowsNT 4.0 і деяким лісом або доменом іншого лісу. Є одностороннім і не перехідним. Для встановлення двосторонньої довіри потрібно використовувати дві різноспрямовані довіри, якими треба пов'язати всі необхідні пари доменів.);
  5. довіра між лісами(це двосторонні або односторонні відносини довіри між різними лісами, які завжди є перехідними. Для їх організації обидва ліси повинні працювати в режимі WS2003.).

Взагалі, зловмисник може використовувати довіру для несанкціонованого доступу в іншому домені, тому необхідно встановлювати додаткові обмеження щодо довіри. По-перше, необхідно використовувати фільтрацію SID. Цей механізм вмикається автоматично та забезпечує незастосування зовнішніх ідентифікаторів безпеки при доступі до внутрішніх ресурсів лісу. Якби такий механізм був відсутній,вийшло б, що адміністратори довіреного домену ставали б адміністраторами в довіряючому. Аналогічна ситуація відбулася б з іншими учасниками безпеки. Тому в домені, що довіряє, ідентифікатори безпеки з інших доменів не повинні довільно використовуватися. Механізм фільтрації SID можна вимкнути, але робити це не рекомендується.

Також з погляду безпеки важливо розуміти, що новостворене ставлення довіри вразливе через потенційно широкий доступ до об'єктів групиВсе. Будь-який користувач із довіреного домену матиме повноваження цієї групи в домені, що довіряє, навіть якщо йому явно не призначено дозвіл на доступ до об'єктів. Тому доступ до важливих ресурсів цієї групи слід обмежити до створення довірчих відносин. Те саме стосується групиМережа. Також довіру слід обмежити так:

  1. відключити список учасників довіри домену(не варто відключатиЗапис з інформацією про доменповністю. Це рівнозначно забороні використання довіри. Для обмеження потрібно використовувати записTopLevelExclusion, який дозволяє виключити частина простору з довіри.);
  2. обмежити автентифікацію(можна явно дозволити перевірку на рівні сервера або домену. Без такої перевірки жоден користувач з довіреного домену не зможе звернутися до ресурсів довіряючого.);
  3. встановити дозвіл на автентифікацію(це можна зробити у властивостях безпеки контролера домену для встановлення довіри між доменами або лісами або у властивостях безпеки конкретного сервера).

Впроваджуючи довіру, необхідно керуватися такими рекомендаціями:

  • для скорочення шляху довіри та часу відгуку потрібновикористовувати спрямовуючу довіру;
  • для доступу до ресурсів домену Windows NT 4.0 потрібно використовувати зовнішню односторонню довіру;
  • двостороння довіра між лісами підійде для лісів WS2003 за умови розміщення спільних ресурсів в обох лісах;
  • якщо користувачам одного домену WS2003 необхідний доступ до ресурсів у різних доменах іншого лісу, необхідно використовувати односторонню довіру між вихідним доменом і кожним з цільових;
  • якщо використовуються домени WS2000, потрібно використовувати попарний зв'язок лісів з двосторонніми довірами.

Грамотно налаштовані стосунки довіри дозволять користувачеві проходити автентифікацію у своєму домені при доступі до ресурсів іншого домену або лісу, а це означає, що для забезпечення санкціонованого доступу до ресурсів необхідно буде контролювати його не у всій мережі, а лише в межах потрібного домену. Відносини довіри полегшують працю адміністраторів та роблять систему доступу до ресурсів більш прозорою та контрольованою.