информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / operating systems
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
[offtop] Домен решает проблему централизованной авторизации и распространения политик. 01.03.07 14:16  Число просмотров: 2436
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
<operating systems>
Грамотный переход на доменную структуру сети 28.02.07 09:52  
Автор: Fh Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Какие шаги предпринять, чтобы грамотно, с наименьшим геморроем перевести локалку в доменную структуру?
Извиняюсь, что не в тему, но подумываю, как бы избавится от... 28.02.07 11:27  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Какие шаги предпринять, чтобы грамотно, с наименьшим
> геморроем перевести локалку в доменную структуру?

Извиняюсь, что не в тему, но подумываю, как бы избавится от доменной структуры. Преимущества домена не столь велики для небольших сетей. Недостатков тоже не много.

Если не секрет - сколько компов/юзеров? Сколько серваков? Отчего такая нужда возникла?
[offtop] Домен решает проблему централизованной авторизации и распространения политик. 01.03.07 14:16  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
... так что если куча серваков, то, чтоб на каждом всех... 01.03.07 14:49  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
... так что если куча серваков, то, чтоб на каждом всех пользователей не заводить, очень полезно их все в домен включить, и серваки, и пользователей, и правами рулить.
А если файловый сервак один (ну, может, еще один резервный или бэкап), то потребность в домене близка к нулю.
Очень правильно подмечено. Комп в домене может быть даже... 20.03.07 05:42  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> ... так что если куча серваков, то, чтоб на каждом всех
> пользователей не заводить, очень полезно их все в домен
> включить, и серваки, и пользователей, и правами рулить.
> А если файловый сервак один (ну, может, еще один резервный
> или бэкап), то потребность в домене близка к нулю.
Очень правильно подмечено. Комп в домене может быть даже больше уязвим нежеле не в домене.
Домен нужен 90%для централизации проводимости политики партии. А так ... можно обойтись.
Вот у нас 90% сервисов по ТЦП/ЮДП работает с кастом протоколами. Я даже не знаю, нужны ли те домены нам (мне нужны для зарплаты). Для тако рода инфраструктуры - что есть домены, что нет ....
С чего это вдруг? 21.03.07 17:52  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Очень правильно подмечено. Комп в домене может быть даже
> больше уязвим нежеле не в домене.

С чего это вдруг?
Напротив, домен позволяет повысит уровень защиты за счет применения доменных политик и централизованной аутентификации.
Как известно, защищенность всей системы классифицируется по наименее защищенному узлу системы.

Конечно, можно переодически бегать от одного рабочего места к другому, настраивая локальные политики рабочих станций и синхронизируя учетные записи, а также заниматься сбором и анализом security log'ов со всех этих рабочих станций, но куда проще использовать для этих целей домен.

> Домен нужен 90%для централизации проводимости политики
> партии. А так ... можно обойтись.
> Вот у нас 90% сервисов по ТЦП/ЮДП работает с кастом
> протоколами. Я даже не знаю, нужны ли те домены нам (мне
> нужны для зарплаты). Для тако рода инфраструктуры - что
> есть домены, что нет ....

Как по-твоему, сколько процентов коммерческих структур используют кастомизированные протоколы и нестандартные службы? На мой взгляд, вы больше исключение из правил.
Нет. Таких контор море. На входе/выходе системы стандартные... 22.03.07 03:44  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Как по-твоему, сколько процентов коммерческих структур
> используют кастомизированные протоколы и нестандартные
> службы? На мой взгляд, вы больше исключение из правил.
Нет. Таких контор море. На входе/выходе системы стандартные для финансовых контор протоколы передачи данных поверх тцп/юдп. Внутри - кастом протоколы обработки финсовой инфы в мультикасте. Из "стандарных" протоколов - только CIFS. Без остального можно обойтись при условии нормального разделения и защиты сетей предприятия. W2k/W2k3 домены не более чем удобство намойвзгляд.
Усиленный режим центролизации приводит к повышенным требованиям к центральному узлу (ам). Многие (к сожалению, очень многие) это игнорируют. Нет ни серверного железа, ни второго ДС. 21.03.07 18:29  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Хотя в одноранговых сетях вопрос безопасноти слабое место.
Достаточно ЕРД коммандером снять пароль с одного компа и получить ко всей рабочей группе.

Инструменты позволяющие обойди доменную безопасность, даже при физическом доступе к ДС, но залоченной консоли - мне не известны:)
Каким образом ... На каждой рабочей станции может быть... 22.03.07 03:29  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Хотя в одноранговых сетях вопрос безопасноти слабое место.
> Достаточно ЕРД коммандером снять пароль с одного компа и
> получить ко всей рабочей группе.

Каким образом ... На каждой рабочей станции может быть только один юзер являющийся администратором. Рабочая станция не W95.

>
> Инструменты позволяющие обойди доменную безопасность, даже
> при физическом доступе к ДС, но залоченной консоли - мне не
> известны:)

Ты думаешь, что шаблоны (локальные) политик безопасности (если их применять конечно) менее секурные, чем то, что перезаписывается доменными политиками? Примени политики, отключи все ненужные сервисы, сделай логаут или логоф - попробуй обойди локальную безопасность даже при физическом доступе.

ПС. Кстати секурности Windows вовсе не единственное ПО, которое может работать на Windows машине.
Вот эта...не надо про физический доступ. При наличии оного - все что угодно делается (и довольно легко). 27.03.07 01:35  
Автор: AlexD <Alexander> Статус: Member
<"чистая" ссылка>
Если ты имеешь ввиду обычный виндовз, то я не имел здесь... 28.03.07 05:16  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
Если ты имеешь ввиду обычный виндовз, то я не имел здесь ввиду возможность "восстановления" аккаунта администратора. Если ты имеешь в виду виндовз, где стоит аппаратная защита и соответствующее ПО, то я в сомнениях относительно возможности взлома. Ты думаешь это возможно за разумное время?
Ну что вы спорите. Правила просты. Удаленную систему можно... 28.03.07 10:56  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Ну что вы спорите. Правила просты. Удаленную систему можно сделать надежной.
Если есть физический доступ к системе, то она уязвима. В какой степени? Поясню:

> Если ты имеешь ввиду обычный виндовз, то я не имел здесь
> ввиду возможность "восстановления" аккаунта администратора.

А нужно ли получать возможность логина под админом? Задача - добраться до информации. Берем винт и работаем с ним.

> Если ты имеешь в виду виндовз, где стоит аппаратная защита

Если же стоит плата сквозного шифрования, ключ вводится в оперативку платы при запуске системы, отсутствует возможность прочитать ключ из оперативки однокристального микропроцессорного контроллера, то добраться до информации будет слишком проблематично, даже при физическом доступе.
Всегда остается возможность подбора ключа или пароля админа за конечное время, но это время может быть слишком болшим.

> и соответствующее ПО, то я в сомнениях относительно
> возможности взлома. Ты думаешь это возможно за разумное
> время?

Доменность тут не причем. Основная ее задача - централизованная авторизация при доступе к ресурсам на других серверах при их наличии.
Ну так я об этом и говорю. И ещё про то, что пока это... 29.03.07 03:16  
Автор: void <Grebnev Valery> Статус: Elderman
<"чистая" ссылка>
> Ну что вы спорите. Правила просты. Удаленную систему можно
> сделать надежной.
> Если есть физический доступ к системе, то она уязвима. В
> какой степени? Поясню:
>
> > Если ты имеешь ввиду обычный виндовз, то я не имел
> здесь
> > ввиду возможность "восстановления" аккаунта
> администратора.
>
> А нужно ли получать возможность логина под админом? Задача
> - добраться до информации. Берем винт и работаем с ним.
>
> > Если ты имеешь в виду виндовз, где стоит аппаратная
> защита
>
> Если же стоит плата сквозного шифрования, ключ вводится в
> оперативку платы при запуске системы, отсутствует
> возможность прочитать ключ из оперативки однокристального
> микропроцессорного контроллера, то добраться до информации
> будет слишком проблематично, даже при физическом доступе.
> Всегда остается возможность подбора ключа или пароля админа
> за конечное время, но это время может быть слишком болшим.
>
> > и соответствующее ПО, то я в сомнениях относительно
> > возможности взлома. Ты думаешь это возможно за
> разумное
> > время?
>
> Доменность тут не причем. Основная ее задача -
> централизованная авторизация при доступе к ресурсам на
> других серверах при их наличии.

Ну так я об этом и говорю. И ещё про то, что пока это манагеры и их советники не понимают - у нас есть работа и зарплата ... домены прикручивать.
[NT] Это действительно так. Доменная струкутра позволяет организовывать доверительные отношения к ресурсам сети без необходимости выносить ключевую информацию с ненадежного хранения на хостах (рабочих станций). Домен в одноранговой малоэффективен. 28.03.07 19:35  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
сеть небольшая. нужда возникла из-за постоянного гемора с... 28.02.07 16:02  
Автор: Fh Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Какие шаги предпринять, чтобы грамотно, с наименьшим
> > геморроем перевести локалку в доменную структуру?
>
> Извиняюсь, что не в тему, но подумываю, как бы избавится от
> доменной структуры. Преимущества домена не столь велики для
> небольших сетей. Недостатков тоже не много.
>
> Если не секрет - сколько компов/юзеров? Сколько серваков?
> Отчего такая нужда возникла?

сеть небольшая. нужда возникла из-за постоянного гемора с обновлениями и неграмотными юзерами. надоело по этажам летать
Какое значение имеет цена вопроса? (покупка нового железа) 01.03.07 14:17  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
[NT] Не вижу проблем с обновлениями и бездоменья. 50 рм. ВСУС. А что бы не бегать - DameWare - удаленное управление. А домен добавит проблем надежного железа и бакапа. 28.02.07 16:46  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
+1 Домен не решает автоматически проблемму обновлений... 01.03.07 10:13  
Автор: Cyril <sc> Статус: Member
<"чистая" ссылка>
Домен не решает автоматически проблемму обновлений, wsus можно установить и без него
проблему с глупыми юзерами доменная структура не решает тем более ;-)
имх, основное - это определиться с рабочими станциями 28.02.07 10:16  
Автор: !mm <Ivan Ch.> Статус: Elderman
Отредактировано 28.02.07 10:18  Количество правок: 1
<"чистая" ссылка>
в частности по софту и политикам безопасности - насколько я понимаю сейчас с ним полнейший беспредел )

я бы сделал следующим образом - переводил народ не сразу, а постепенно, по 5-6 машин в день загоняя в домен таким образом:

1. подготавливаешь образ, который будешь разворачивать на воркстейшенах.
файловая система-нтфс, применяешь все необходимые политики - типа - доступ юзеру на чтение - винда сама даст ему запись только в домашнюю директорию и в личную папочку на сервер, поверюзеру - плюсуем запись по всему диску (винда опять же сама ему доступ порежет, где ему нельзя), запись "все" - удаляем из списков доступа везде
прокатываешь все SP и патчи, антивирус, если он предусмотрен
забиваешь туда стандартный набор софта - офис, просмотровщик типа ирфанвью, или ацдси, адоберидер, фар, радмин, пгп и прочих раров на вкус и цвет, плюс стандартные ваши приложения - может цитрикс, или еще чего - в общем чтобы не ставить один и тот же софт каждый раз
(у меня слив образа с сети + загон машины в домен и настройка для пользователя занимает минут 15)
про подготовку образа если надо-отдельно распишу

2. поднимаешь сервер, тестишь-отлаживаешь-проверяешь доменные политики которые нужны на 3-5-10 машинах (остальные пока работают как раньше)

3. перетаскиваешь машинки в домен по 5-6 в день - чтобы особо не напрягаться и успевать юзерам отвечать на глупые вопросы

p.s. просто загонять существующие машины с существующим ПО в домен крайне не советую - проблем потом не оберешься
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach