Вторгнення на довірчу територію

Одін з основних прийомів зломщиків — пошук даних користувачів домена (а не локальної системи). Це дозволяє хакерам дістати доступ до контроллера домена і легко обдурити систему безпеки домена. Такій діяльності зазвичай мимоволі сприяють адміністратори, які реєструються на локальній машині з використанням даних облікового запису домена. Система Win 2000 не може застерегти своїх користувачів від очевидних помилок.

Засоби отримання даних LSA -жівут і є здоровими

Як було показано в розділі 5, отримання даних LSA — основний механізм для вгпома довірчих стосунків, оскільки дозволяє отримати дані про декілька останніх зареєстрованих в системі користувачів і паролі облікових записів служб.
Хоча компанія Microsoft оголосила про усунення помилок, пов'язаних з отриманням даних LSA, в сервісному пакеті Sp3, багато з цих важливих даних можна отримати за допомогою оновленої утиліти Isadump2 Тодда Сабіна (Todd Sabin) . Приведемо приклад витягання за допомогою lsadump2 даних облікового запису служби на контроллері домена Win 2000. Останній запис свідчить про те, що служба Bckpsvr реєструється з паролем password1234.

С:\>lsadump2
$MACHINE.ACC
7d 58 DA 95 69 3e 3e 9e AC Cl B8 09 Fi Ос C4 9e } X.. i»...
6a BE DA 2d F7 94 B4 90 B2 39 D7 77 j ..-...9.w
Temservliceningsignkey-12d4b7c8-77d5-lld1-8c24-ooc04fa3080d
Ts:internetconnectorpswd
36 00 36 00 2в 00 32 00 48 00 68 О0 32 0o 62 00 6.6.+.2.H.h.i.b.2
44 00 55 00 41 00 44 00 47 00 50 00 ОС О0 D.u.d.g.p....
Sc_bckpsrv
74 00 65 00 73 00 74 00 75 00 73 00 65 00 72 00 р. а. s. s.w.o. r .d.
31 00 32 00 33 00 34 00 1.2.3.4.

Контрзаходи проти Isadump2

Компанія Microsoft вважає, що описана ситуація не представляє загрози для безпеки системи, оскільки для запуску утиліти Isadump2 потрібний привілей seoebugprivilege, що делегується за умовчанням тільки адміністраторам. Кращий спосіб протистояння lsadump2 - захистити облікові записи адміністраторів. Якщо ж хакер дістане доступ до облікового запису адміністратора, то за допомогою lsaduir.P2 він зможе отримати і облікові записи служб зовнішніх доменів, і з цим нічого не поробиш.

Нова система множинної реплікації і модель довірчих стосунків

Однією з найбільш значних відмінностей Win 2000 від NT в області архітектури доменів є перехід до системи множинної реплікації і моделі довірчих стосунків. В рамках лісу Win 2000 всіх доменів зберігають репліки спільно використовуваної служби Active Directory і будують двосторонні довірчі стосунки один з одним за транзитивним принципом на базі протоколу Kerberos (довірчі стосунки між лісами доменів або з доменами нижнього рівня NT 4 як і раніше залишаються односторонніми). Це приводить до цікавих следствіям при розробці топології доменів.
Першим поривом багатьох адміністраторів доменів є спроба створення окремого лісу для кожного об'єкту захисту в рамках організації. Насправді це невірний підхід. Головним завданням адміністраторів повинна стати консолідація доменів в рамках єдиної схеми управління. Тонше управління доступом можна підтримувати на рівні окремих об'єктів лісу. Можливості такого управління настільки широкі, що багато адміністраторів приходять в замішання від великої кількості наявних варіантів дозволів. У рішенні задачі велику допомогу можуть надати контейнери каталогів OL (Organizational Units) і новий засіб делегування має рацію (delegation feature).
Проте в рамках цієї моделі члени нових універсальних груп (наприклад, групи адміністраторів підприємства Enterprise Admins) і у меншій мірі глобальних груп домена (наприклад, Domain Admins) вступають у довірчі відносини зі всіма доменами лісу. Тому злом облікового запису члена однієї з таких груп забезпечує хакерові доступ до всіх доменів лісу. Тому автори радять організовувати не цілком довірену суть (наприклад, підмережі організацій-партнерів) або об'єкти, схильні до погроз ззовні (наприклад, центр даних Internet) в окремий ліс або реалізовувати їх як окремі сервери.
Крім того, при двосторонніх транзитивних довірчих стосунках група Authenticated Users набуває зовсім іншого сенсу. У великих організаціях не має сенсу розглядати цю групу як довірену.