Инвентаризация пользователей и групп NT/2000
Благодаря чему с помощью простого гостевого подключения можно извлечь подобную информацию? Некоторым службам (таким как RAS и SQL Server) системы NT4, требуется получать информацию об объектах групп и пользователей, содержащуюся в активном каталоге. Процедура установки активного каталога WIN 2000 (dcpromo) предоставляет возможность расширить разрешения на доступ к активному каталогу и предоставить их серверам более ранних версий для получения требуемой информации (рис. 3.5). Если в процессе установки был выбран этот режим, то объекты пользователей и групп будут доступны для инвентаризации через протокол LDAP.
Рис. 3.5. Мастер установки службы активного каталога WIN 2000 (dcpromo) предоставляет возможность расширить разрешения на доступ к активному каталогу и предоставить их серверам более ранних версий
Инвентаризация службы активного каталога: контрмеры
Первое и самое важное, что необходимо осуществить, это контролировать доступ к TCP-портам с номерами 389 и 3268 по границам сети. Если в ваши задачи не входит предоставление данных активного каталога всему миру, запретите несанкционированный доступ к нему.
Для того чтобы предотвратить утечку информации в те части сети, у которых нет разрешений на использование дерева активного каталога, ограничьте соответствующим образом эти разрешения. Различие между смешанным режимом (который следует понимать как "менее безопасный") и основным режимом работы системы WIN 2000 определяется членством в группе Pre-Windows 2000 Compatible Access, которой по умолчанию предоставлены разрешения на использование активного каталога (см. табл. 3.2).
Таблица 3.2. Разрешения на использование бъектов дерева активного каталога для группы Pre-Wind ows 2000 Compatible Access.
| Объект | Разрешения | К каким объектам применяется |
|---|---|---|
| Корневой каталог | Просмотр содержимого | К данному и всем дочерним объектам |
| Пользователи | Просмотр содержимого, чтение всех свойств и разрешений | К объектам пользователей |
| Группы | Просмотр содержимого, чтение всех свойств и разрешений | К объектам групп |
При выборе режима Permissions compatible with pre-Windows 2000 servers (рис. 3.5) мастером установки активного каталога в группу Pre-Windows 2000 Compatible Access автоматически будет добавлена группа Everyone. В специальную группу Everyone входят все аутентифицированные пользователи. Если группу Everyone удалить из группы Pre-Windows 2000 Compatible Access (а затем перезагрузить контроллеры домена), то домен будет функционировать с более высокой степенью безопасности, что обеспечивается основным режимом работы Windows 2000. Если по каким-либо соображениям требуется снизить уровень защиты, то группу Everyone необходимо добавить снова, запустив в командной строке следующую команду.
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
Более подробная информация содержится в статье Q240855 базы данных (Knowledge Base) компании Microsoft, которую можно найти по адресу http://search.support.microsoft.com.
Механизм управления доступом, определяемый членством в группе Pre-Windows 2000 Compatible Access, применяется также и к запросам, генерируемым при использовании открытых сеансов NetBIOS. Подтверждением этого может служить следующий пример, где снова используется утилита enum (описанная выше). Первый раз эта утилита запущена для инвентаризации сервера WIN 2000 Advanced Server, на котором в группу Pre-Windows 2000 Compatible Access входит группа Everyone.
D:\Toolbox> enum -U corp-dc server: corp-dc setting up session… success. getting user list (pass 1, index 0)… success, got 7. Administrator Guest IUSR_CORP-DC IWAM_CORP-DC krbtgt NetShowServices TsInternetUser cleaning up… success.
Теперь удалим группу Everyone из группы Pre-Windows 2000 Compatible Access, выполним перезагрузку и запустим тот же самый запрос.
D:\Toolbox> enum -U corp-dc server: corp-dc setting up session… success. getting user list (pass 1, index 0)… fail return 5, Access is denied. cleaning up… success.
Серьезно рассмотрите вопрос обновления всех серверов RAS (Remote Access Service – служба удаленного доступа), RRAS (Routing and Remote Access Service – служба маршрутизации и удаленного доступа) и SQL и установки на них системы Windows 2000 перед тем, как перейти на использование службы активного каталога. Это позвонит заблокировать возможность случайного просмотра информации об учетных записях.