Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Active Directory требует пересмотра политики безопасности

Митч Вагнер

Пока идут жаркие дебаты относительно службы Active Directory ОС Windows 2000, критики называют ее “дырявой”. Фирма же Microsoft утверждает, что по замыслу ее архитектура безопасности является гибкой, однако до перехода на эту службу справочника пользователи должны тщательно проанализировать собственную политику и практику в области защиты информации.

Многие эксперты считают, что организации — пользователи ОС Windows NT 4.0, которая предоставляет администраторам широкие полномочия внутри своих доменов, должны пересмотреть собственную корпоративную модель безопасности, если собираются внедрять службу Active Directory, имеющую дело вместо нескольких отдельных доменов с одним глобальным доменом. Таким образом, работая с Active Directory, те же самые администраторы могут получать глобальные права доступа фактически к любой корпоративной информации.

По мнению Дэна Блама, аналитика компании Burton Group, в Active Directory всемогущий администратор — это аналог пользователя root в ОС Unix, наделенного правами на выполнение любых операций на сервере Unix. Однако здесь имеется одно критически важное отличие. “Мы говорим в данном случае не просто об одной хост-системе, — считает Блам. — Мы имеем в виду огромный домен. Вам придется изменить модели администрирования, управления доступом и организации пользовательских групп таким образом, чтобы большая часть работ была вынесена за пределы группы администраторов домена”.

В связи с этим некоторые менеджеры отделов информационных технологий (ИТ) выражают свою озабоченность. “Мы надеемся, что ситуация с доменным администрированием Windows 2000 будет исправлена до того, как настанет время ее широкого внедрения, — говорит Тони Скотт, главный технолог фирмы General Motors. — У нас нет каких-либо конкретных гарантий от фирмы Microsoft, но мы дали понять, что рассчитываем на них. Я думаю, фирма прислушается к этому требованию”.

Для тех предприятий, в которых ответственным за безопасность менеджерам, системным администраторам и владельцам приложений предоставляются различные полномочия, переход к Active Directory, вероятно, будет более гладким, чем для организаций, предоставляющих этим администраторам одинаковые права доступа, заметил Дарвин Шарп, бывший старший советник по электронной коммерции фирмы Exxon, а ныне “главный идеолог” консалтинговой фирмы Virtual Thinking, предлагающей свой услуги крупным корпорациям по вопросам стратегии в области ИТ и управления бизнесом.

Шарп охарактеризовал компанию, в которой он работал раньше, как организацию, относящуюся к вопросам безопасности должным образом, где четко было определено, кто имеет доступ к конкретным системам, приложениям и данным. Поскольку служба Active Directory централизует функции администрирования, ее использование может иметь свои преимущества. Тем не менее Шарп, будучи активным участником многих промышленных организаций и объединений, предсказывает, что по крайней мере половина предполагаемых пользователей Windows 2000 будет вынуждена пересмотреть свою корпоративную модель управления доступом.

Проблема, по мнению аналитиков, состоит в том, что невозможно заблокировать доступ администратора к любому объекту в дереве справочника — даже к тем конфиденциальным данным, которые администраторам в принципе не должны быть доступны. В некоторых случаях управляющие средства Active Directory могут создать у начинающих администраторов впечатление, что доступ к определенным объектам якобы заблокирован, в действительности же, согласно результатам наших исследований, опытные администраторы всегда могут получить доступ к конфиденциальной информации (см.: “Анатомия бреши”).

“Это создает ложное ощущение безопасности у тех, кто отвечает за эту информацию, — говорится в одном из отчетов об исследованиях службы Active Directory, размещенном на Web-узле BugNet, публикующем информацию об ошибках в ПО и их исправлениях. — Для сетевых администраторов это означает необходимость повторного тщательного изучения модели информационной безопасности своей организации для выяснения, кому предоставляются те или иные административные привилегии”.

Фирма Microsoft, со своей стороны, распространила в Интернет заявление о том, что “в реальных организациях имеются веские причины для того, чтобы администратор имел возможность получить право доступа к различным объектам, но с условием тщательного контроля”. Если какой-либо администратор окажется временно нетрудоспособным или уволится из компании, то последней необходимо иметь способ вновь получить доступ к объекту, который ранее был под полным и исключительным контролем этого администратора.

В Active Directory администратор может контролировать любой объект сети, “присваивая” права собственности на него, при этом истинный владелец этого объекта узнает об этом факте только тогда, когда заглянет в журнал аудита.

Поскольку администраторы получат такие всеобъемлющие полномочия, то, по мнению экспертов, предприятиям необходимо будет ограничить их предоставление небольшой группе доверенных лиц, даже если в компании служат десятки тысяч человек. Например, по сообщению Дастина Сотера, инженера по корпоративным системам банка Wells Fargo, этот банк планирует организовать 120 тыс. бюджетов пользователей Active Directory, но при этом собирается создать только один бюджет администратора для нескольких доверенных сотрудников. “Использование этого бюджета будет тщательно контролироваться, и круг лиц, имеющих доступ, будет ограничен десятью особо доверенными лицами. Должны же у кого-то быть ключи от квартиры”, — говорит Сотер.

В ограниченном объеме администраторы будут делегировать соответствующие полномочия остальному персоналу ИТ Wells Fargo. Этот персонал сможет, например, настраивать принтеры или изменять пароли пользователей в небольшой рабочей группе. Но такую предусмотрительность компании проявляют далеко не всегда. “Наверняка найдутся какие-нибудь умники, которые включат в административную группу всех поголовно, за исключением, быть может, секретаря в приемной. У них обязательно будут проблемы”, — обещает Сотер и добавляет, что лично он считает Active Directory вполне разумно спроектированным продуктом.

Широкие полномочия администраторов вызывают особое беспокойство в тех случаях, когда важные данные, касающиеся, например, кредитных карт и банковских счетов, могут быть получены из Интернет или каких-либо приложений электронной коммерции. Кроме того, по мнению критиков, беспокойство также вызывает возможность утечки информации о заработной плате сотрудников.

Фирма Microsoft заявила, что служба Active Directory просто работает так, как это было задумано. Она заменяет действующую доменную архитектуру Windows NT, в рамках которой большинство организаций используют много отдельных доменов и которая является незрелой предшественницей службы справочника. Microsoft настаивает на том, что для организаций возможность создавать единый домен, охватывающий все предприятие, и предоставлять администраторам в этом домене полную власть рационализирует процесс управления информационной инфраструктурой. “Внутри домена возможности администраторов становятся практически неограниченными, — говорит Питер Хьюстон, менеджер по продуктам Active Directory фирмы Microsoft. — Но это отнюдь не означает, что каждый желающий сможет получить такой уровень полномочий”.





  
5 '2000
СОДЕРЖАНИЕ

колонка редактора

• Время собирать данные

локальные сети

• Кабельные системы становятся быстрее

• Управление СКС в реальном масштабе времени: выигрывают все

• Успешный запуск оптической сети

• Что мешает распространению беспроводных ЛВС?

• Адаптеры CardBus

• Новые средства для разделки оптического кабеля и полировки наконечников оптических разъемов

услуги сетей связи

• Телекоммуникационные сети: вечная динамика. Часть I

• Современные технологии каналообразования в спутниковых сетях связи

• IPv6: время пришло!

новые продукты

• Шестипроцессорные серверы компании Hewlett-Packard, Беспроводная магистраль от Digital Microwave, Powerware - это не просто название, Axxium Pro - динамичная надежность, Маршрутизатор AXI 540 для IP-сетей общего пользования, Новый автозагрузчик DLT компании Hewlett-Packard


• КАЛЕЙДОСКОП

корпоративные сети

• Системы дистанционного управления: ноги могут отдохнуть

• Коммутаторы Gigabit Ethernet не подведут

бизнес

• Планируйте перемены

электронная коммерция

• Комплексные PoPs-решения. Руководство для покупателя

• Центры электронной торговли: не может быть легких решений

системы учрежденческой связи

• Российские тарификаторы: испытания в редакции

защита данных

• Active Directory требует пересмотра политики безопасности

• Межсетевой экран и распределитель нагрузки: союз безупречен?



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх