Аудит доверительных отношений Windows Active Directory

Опубликовано: 7 Апреля, 2023
Аудит доверительных отношений Windows Active Directory

Введение

Концепция доверительных отношений Windows существует уже давно. Они появились еще в эпоху Windows NT и продолжают оставаться важным аспектом любой корпоративной сети Windows. Отношения доверия позволяют компаниям быстро и эффективно объединять учетные записи пользователей домена, а также иметь разные базы данных для пользователей домена, даже если они работают в одной компании. Этот параметр необходим для корпоративной среды Windows, поэтому проверка установленных доверительных отношений важна с точки зрения аудита и безопасности.

Что такое траст

Доверие — это логическая связь между двумя доменами Windows. В нашем обсуждении мы сосредоточимся на том, что основным доменом Windows является домен Active Directory, так как это то, что есть у большинства компаний. Чтобы понять, как домен Active Directory использует доверие, мы должны сначала получить общее представление о том, как домен структурирован и для чего он используется.

Основная цель домена Windows Active Directory — аутентификация учетных записей пользователей и учетных записей компьютеров. Домен отвечает за хранение учетных записей компьютеров и пользователей в базе данных. Для Active Directory это называется базой данных Active Directory. Домен также будет иметь связанное с ним доменное имя. Доменное имя может быть любым одобренным DNS доменным именем, например microsoft.com, braincore.net, sales.acme.com и т. д.

Для простой компании с одним доменом Active Directory, такой как braincore.net, все учетные записи пользователей и компьютеров хранятся в одной базе данных. Когда пользователь входит в систему, у него есть только один вариант входа в систему: braincore.net.

Предположим, что компания braincore.net покупает другую компанию, techsales.com. Обе компании имеют более 10 000 учетных записей пользователей, поэтому объединение двух компаний в один домен неэффективно. Кроме того, оба названия компаний должны быть сохранены в целях брендинга.

В этом случае между двумя доменами может быть установлено доверие. Это позволит пользователям в любом домене или местоположении входить в любой домен, в зависимости от того, где хранится их учетная запись пользователя. Таким образом, если Ральф посещает офис TechSales и подключается к компьютеру, связанному с доменом TechSales, он все равно может пройти аутентификацию обратно в домен BrainCore, поскольку существует доверие.

Какие типы траста существуют

Существует несколько типов доверительных отношений, которые вы можете увидеть при аудите или при установлении доверительных отношений в Active Directory. Они независимы друг от друга и устанавливаются без комбинирования опций.

— это доверительные отношения, установленные между доменами Active Directory, которые находятся в одном и том же лесу Active Directory. Эти доверительные отношения могут быть между родительско-дочерними доменами или между родительскими доменами верхнего уровня, доменами, начинающими новые деревья в лесу.

— это доверие, которое выходит за пределы леса Active Directory. Эти доверительные отношения могут относиться либо к доменам Active Directory (2000/2003/2008), либо к доменам Windows NT.

. Эти доверительные отношения относятся к сфере Unix Kerberos. Эти области — то, что Unix использует вместо Active Directory. По сути, это тот же тип доверия, что и внешнее доверие к домену Windows.

— эти доверительные отношения являются внутренними по отношению к лесу Active Directory. Идея состоит в том, что доверие между перекрестными ссылками обходит обход дерева Active Directory вверх, а затем вниз по дереву Active Directory для доменов, которые находятся на расстоянии нескольких внутренних доверительных отношений. Эти доверительные отношения создаются для повышения эффективности проверки подлинности в лесу, когда пользователи получают доступ к ресурсам в домене, который находится далеко от того места, где находится пользователь.

. Эти отношения доверия были введены в доменах Windows Server 2003. Они обеспечивают доверие верхнего уровня между двумя лесами Active Directory. Цель состоит в том, чтобы все домены в обоих лесах были доверенными, вместо того, чтобы создавать доверительные отношения между каждым доменом и каждым другим доменом в другом лесу.

Как проводить аудит трастов

Чтобы проверить доверительные отношения, вам нужно будет либо получить снимок экрана, либо запросить вывод командной строки. Есть, конечно, и другие методы, но они могут потребовать покупки программного обеспечения или написания скрипта. Не то чтобы эти варианты были такими уж плохими, но если есть способ получить информацию без каких-либо затрат, я обычно стараюсь вести одитора по этому пути.

Первый вариант, снимок экрана, будет предоставлен администратором домена. На этом снимке экрана будет показана вкладка Trusts для каждого домена, который необходимо проверить. Таким образом, если сетевой администратор сообщил вам, что у компании всего три домена, вам потребуется снимок экрана с каждого домена, всего три снимка экрана. Чтобы получить снимок экрана, администратор домена должен будет использовать инструмент администрирования доменов и доверительных отношений Active Directory. Этот инструмент есть на каждом контроллере домена и является одним из инструментов, устанавливаемых вместе с adminpak.msi (инструменты администрирования для Windows 2000/XP/2003) и RSAT (инструменты администрирования удаленного сервера для Windows Vista/2008/7). Чтобы перейти к нужному экрану, администратору необходимо развернуть список доменов на левой панели, а затем щелкнуть правой кнопкой мыши имя каждого домена. Когда появится меню, выберите опцию «Свойства». Откроется окно свойств домена. Здесь выберите вкладку Trusts, чтобы увидеть список доверенных и доверенных доменов, как показано на рисунке 1.

Изображение 23081
Рисунок 1: Active Directory Domains and Trusts позволяет вам увидеть все доверительные отношения домена.

Если какие-либо трасты установлены, они появятся в этом списке.

Если вы выберете опцию командной строки, вы будете использовать команду nltest. Эта команда встроена во все версии серверов, поэтому администратору будет легко получить ее для вас. Вывод инструмента не так удобен, как снимок экрана, но он дает список доверительных отношений. Синтаксис команды будет таким:

Непроверенный /DOMAIN_TRUSTS

Это создаст список доменов и всех трастов. В нем будут указаны параметры доверия, чтобы вы знали об отношениях, типе доверия и т. д. Если вы хотите, чтобы вывод был в файл, а не в снимок экрана, просто используйте следующий синтаксис и введите имя файла, которое вы предпочитаете:

Nltest /DOMAIN_TRUTS > c:имя_файла.txt

Что еще вы проверяете, чтобы обеспечить доверительные отношения

Теперь, когда у вас есть список доверительных отношений домена, вы просто проверяете, что все они «действительны» и «известны» администраторам. Если есть какие-либо из перечисленных, которые не являются «действительными» или «известными», то их следует записать.

Что касается аудита трастов, это все, что вам нужно будет сделать. Однако это не все, что будет проверяться в отношении доверенных пользователей или доверенного ресурса. Вы также будете проверять безопасность в отношении того, «кто» имеет доступ к «какому» ресурсу. Это делается через различные другие контрольные точки аудита. В частности, вы будете проверять права пользователей для каждого сервера, список управления доступом (ACL) для каждого «критического» ресурса (файл, папка, раздел реестра и т. д.) и членство в группах.

Именно на этих дополнительных проверках вы будете проверять, каким пользователям и группам из доверенного домена был предоставлен доступ к ресурсам в доверенном домене. Вы ясно увидите, что «другой» домен, доверенный домен, будет иметь записи в ACL, которые включают имя этого домена. Например, вы можете увидеть BRAINCOREderek или TECHSALESVidessa в списке ACL, что четко указывает на домен, из которого происходит пользователь или группа.

Резюме

Аудит доверительных отношений домена Windows не так уж и сложен, однако необходим для полноты аудита. Вам нужно будет собрать информацию о трастах для каждого домена, который вы аудируете, поскольку они не зависят друг от друга. Вы просто убедитесь, что перечисленные трасты известны и действительны, а затем двигаетесь дальше. Другие сведения о безопасности для вашего аудита будут обнаружены и проверены при аудите прав пользователей, списков ACL и членства в группах. Выполнив все эти проверки, вы проведете аудит всех аспектов доверительных отношений домена Windows.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023