Правильный способ управления привилегированными группами администраторов для двух доверенных лесов Active Directory?

Question

Правильный способ управления привилегированными группами администраторов для двух доверенных лесов Active Directory?

Сценарий таков:

Есть два домена (DomA и DomB) с доверительными отношениями. Эта связь распространяется на весь лес, за исключением того, что DomA может обращаться к ресурсам в DomB, но пользователи в DomB не должны иметь доступа к DomA.

В Домене A есть группы по умолчанию: Администраторы домена и Администраторы предприятия. Администраторы домена должны быть только администраторами в DomA, а не DomB. Администраторы предприятия будут администраторами обоих доменов. Проблема с администраторами предприятия решается путем добавления группы администраторов предприятия DomA во встроенную группу администраторов в DomB, чтобы пользователи этой группы могли без проблем администрировать домен B из домена A. Но здесь есть одна БОЛЬШАЯ дыра в безопасности:

Домен A Администраторы домена могут добавлять себя в группу "Администраторы предприятия домена A" и стать администраторами домена B.

Есть ли способ как-то обезопасить эти вещи?

1

active-directory windows-server-2008 domain security-groups trust-relationship

Источник

Marko Farkas 11 май '18 в 13:19

1 ответ

Другие вопросы по тегам active-directory windows-server-2008 domain security-groups trust-relationship

Semicolon 11 май '18 в 14:59 2018-05-11 14:59 · Answer 1 · 2018-05-11 14:59

Ваше решение - создать выделенные административные учетные записи в DomB для выбранных пользователей из DomA, чтобы использовать их для администрирования DomB.

Это предотвращает влияние компрометации в DomA на DomB и предотвращает получение доступа к DomB для тех, кому требуется доступ администратора домена в DomA.

Теперь вы можете

Создайте новую группу безопасности "Администраторы DomB" или что-то (без привилегированного доступа в DomA), которую можно использовать для делегирования необходимого доступа в DomB.
Вы можете защитить группу "Администраторы DomB" соответствующими изменениями в ACL, чтобы администраторы DomA \ Domain не могли изменить членство в группе.

Следует признать, что этот второй вариант будет несколько бессмысленным, поскольку администраторы домена смогут изменять ACL в рассматриваемой группе. И если новая группа защищена от модификации администратора домена, администратор домена может стать владельцем группы и изменить ACL.

В теоретическом плане эта проблема должна быть относительно необоснованной, поскольку только пользователи, которым абсолютно необходим доступ администратора домена, должны быть членами группы администраторов домена (подробнее об этом позже). Кроме того, изменения административных групп должны контролироваться, проверяться и проверяться.

Таким образом, в настоящее время существует самая большая дыра в безопасности, связанная с тем, что у вас есть учетные записи в группе администраторов домена, которые могут (по вашему вопросу) не принадлежать им. Вашей второй по величине дырой в безопасности будет тот факт, что компрометация одного леса автоматически компрометирует второй лес.

Когда возникает вопрос: "Как ограничить доступ администратора домена" или "Как защитить ресурс от модификации администраторами домена", возникает неверная конфигурация. Потому что они не предназначены для ограничения.