28
Мар
Автор: | Рубрика: Сокртыие следов | Комментарии отключены
Нам часто задают вопрос: стоит ли создавать отдельный лес, чтобы добавить в организа¬цию домены с ограниченными доверительными отношениями? Этот вопрос особенно уме¬стен при создании домена, доступного по Internet, скажем, домена для поддержки Web-сервера. В этой ситуации можно пойти по одному из двух путей. Можно создать отдельный лес/домен и установить к нему явные односторонние доверительные отношения по старому методу для главного леса, чтобы защитить этот лес от потенциальной опасности, исходящей из домена/леса, подключенного к Internet. При этом вы теряете преимущества использования общего для всех доменов каталога и возникает необходимость управления несколькими леса¬ми. Вторым вариантом является добавление домена, подключенного к Internet, в организаци¬онную единицу (OU) внутри домена, который администрирует надежный персонал. При этом администратор организационной единицы должен получить возможность управления только теми объектами, которые входят в его единицу. Даже если учетная запись администра¬тора будет взломана, остальной части леса будет нанесен минимальный ущерб.
28
Мар
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
Мы часто задаем этот вопрос: что же в действительности является границей для системы безопасности в лесу Windows Server 2003 — домен или лес? Отвечая коротко, можно сказать, что даже если домен и является первичной административной границей, он не создает сплошную границу зашиты, как это было в системах Windows NT. И тому есть несколько причин.
Читать полностью
27
Мар
Автор: | Рубрика: Хакинг сервера | Комментарии отключены
Есть еще несколько важных конфигурационных файлов вля платформы .NET Framework, которые имеют значение для безопасности. В файле %CLi? путь установwi%\Conf ig\ Machine. conf ig устанавливаются глобальные параметры для сборок, которые запускаются в системе. В файле %корень Web приложения* \ Web. conf ig определяются параметры безопасности на уровне приложения, например протокол аутентификации и списки имен пользователей и паролей. Кроме того, конфигурация может быть задана в других файлах с расширением . conf ig, которые хранятся в каталогах приложений.
27
Мар
Автор: | Рубрика: Защита | Комментарии отключены
Во многом подобно NT4 и Windows 2000, для систем Windows Server 2003 могут устанавли¬ваться междоменные отношения, которые называют доверительными отношениями. Довери¬тельные отношения лишь делают возможным междоменный доступ, но явно они этого не по¬зволяют. Установление доверительных отношений часто сравнивают с постройкой моста с опущенным шлагбаумом. Например, при установлении доверительных отношений с другим доменом можно использовать элементы системы безопасности этого (доверенного, trusted) домена для создания списка контроля доступа (ACL — Access Control List) к ресурсам, но только на усмотрение администраторов доверяющего (trusting) домена и без наследования.
Читать полностью
27
Мар
Автор: | Рубрика: Уязвимости служб | Комментарии отключены
В системах под управлением Windows 2000 не существовало возможности устанавливать доверительные отношения между лесами. Если пользователям одного леса было необходимо предоставить доступ к ресурсам, хранящимся в другом лесу, то приходилось создавать "внешние" доверительные отношения между двумя доменами обоих лесов. Такие довери¬тельные отношения являются односторонними и нетранзитивными, и доверительные отно¬шения не распространяются на весь лес.
Читать полностью
