БЕЗОПАСНОСТЬ
Компания Novell (www.novell.com), имеющая давний опыт работы со службой каталога, обнаружила прореху в системе безопасности, предоставляемой новорожденной службой каталога Microsoft Active Directory.
Суть проблемы состоит в следующем. В некоторых случаях бывает необходимо ограничить права администратора организации на доступ к информации, имеющейся в том или ином подразделении, например в бухгалтерии, передав их локальному администратору отдела. При этом система безопасности не должна допускать пользователя, имеющего права администратора организации, к информации отдела; плюс к этому должна быть исключена возможность получения им таких прав в результате его целенаправленных действий. Необходимо заметить, что администратор организации по умолчанию имеет так называемые наследуемые права во всех подразделениях, поэтому для обеспечения конфиденциальности эти права нужно ограничить с помощью “фильтра наследуемых прав”, причем никакие действия администратора не должны приводить к их восстановлению.
Казалось бы, так и должно происходить. Но только не в модели безопасности, реализованной в Active Directory.
Если администратору организации полностью запретить доступ к объекту Подразделение, то он не будет иметь не только прав поменять в нем что-либо, но даже и не увидит ничего. Однако лишь в том случае, если он пойдет напрямую.
По заявлению Novell, если перед тем как отправляться по Active Directory в бухгалтерию, он заглянет, например, в производственный отдел, в котором его наследуемые права не ограничены, а затем завернет в бухгалтерию, то с удивлением обнаружит, что он может не только видеть структуру безопасности, но и менять ее, вплоть до восстановления наследуемых прав.
Весь процесс получения полномочий подробно описан в документе www.novell.com/advantage/nds/ad-security.html.
Как на это отреагировала Microsoft? В документе www.microsoft.com/windows2000/news/bulletins/novellresponse3.asp, призванном ответить на вопрос: “Почему в случае, когда администратор идет прямым путем, он получает ожидаемый отказ в доступе, а если в обход - то неожиданный доступ к объекту?”, прямого ответа, к сожалению, нет. Зато там объясняется, что администратор домена имеет “священное право собственности” на все объекты домена. Точнее, “право стать собственником” любого объекта. Это сделано специально, чтобы в Active Directory не могли возникнуть “объекты-сироты”, т. е. объекты, на которые из-за ошибки администрирования никто не имеет прав. И никакие экраны, сообщающие о том, что администратору домена запрещен доступ к какому-то объекту, не должны вводить в заблуждение. Все это легко обойти, но, правда, о таких действиях сразу станет известно благодаря службе аудита.
А что же делать в том случае, когда необходимо запретить администратору домена доступ к информации подразделения? Ответ прост: выделить это подразделение в отдельный домен, с другим администратором и установить между ними доверительные отношения.
Таким образом, Microsoft не признала наличие дыры в системе безопасности - это просто одна из особенностей данной системы, полагают в корпорации. Спор о том, дыра это или буква “О”, между специалистами компаний продолжается. Но в любом случае, тем системным администраторам, кому придется работать с Active Directory, будет полезно ознакомиться с документами, опубликованными компаниями, и с изложенными в них аргументами, чтобы однозначно ответить для себя на этот вопрос.