Aktivni direktorijum nudi sigurnost kroz nekoliko domena i šuma koristeći poverenje između šuma (Forest trust). U ovoj lekciji naučićete različite elemente poverenja, tipove poverenja, najčešća scenarija za kreiranje poverenja, i kako možete efikasno da upravljate poverenjem iz perspective sigurnosti.
Poverenje je odnos koji se uspostavlja između domena ili između šuma, a koji omogućava korisnicima i kompjuterima (Security Principals) da budu autentifikovani uz pomoć domenskih kontrolera u drugom domenu. Poverenje omogućava security principals da prenose svoje podatke o identitetu (credentials) iz jednog domena u drugi jer je to neophodno da bi dobili pristup resursu kojem moraju da pristupe. Pristup ga kontroliše korišćenjem Security Descriptor-a na resursu kojem treba da se pristupi.
Poverenja koja su podržana u Windows Server 2003 su:
- Parent-child: Postoji između domena koji se nalaze u istom drvetu domena. Ovo dvosmerno poverenje (two-way transitive trust) omogućava korisnicima i kompjuterima da budu autentifikovani u bilo kojem drugom domenu unutar šume.
- Tree-root: Postoji između svih drveća domena unutar šume. Ovo dvosmerno poverenje (two-way transitive trust) omogućava korisnicima i kompjuterima da budu autentifikovani u bilo kojem drugom domenu unutar šume. Ovo poverenje je kreirano po defoltu i ne može se ukloniti.
- External: Može se kreirati između domena koji nisu deo iste šume. Ova poverenja mogu biti jednosmerna ili dvosmerna ali nisu tranzitivna.
- Realm: Može se kreirati između domena Non-Windows operativnih sistema i Windows Server 2003 domena. Ovo poverenje može biti jednosmerno ili dvosmerno i transitivno ili netransitivno.
- Forest: Može se kreirati između šuma koje su u Windows Server 2003 forest functional mode-u. Ovo poverenje može biti jednosmerno ili dvosmerno i tranzitivno ili netranzitivno.
- Shortcut: Može se krerati unutar Windows Server 2003 šume i kreira se da bi se smanjilo vreme logovanja između domena i šuma. Ovo dvosmerno ili jednosmerno poverenje je korisno kada je potrebno preći Tree-root poverenje, iz razloga što staza poverenja ka odredišnom domenu je potencijalno smanjena.
Autentifikacioni metodi i poverenje (Trust) u Windows Server 2003
Iz razloga što nam poverenje omogućava da unapredimo pristup resursima u višedomenskom okruženju, veoma je važno da uvek koristimo najsigurniji autentifikacioni protokol kada kreiramo poverenje između domena i područja kad god je to moguće.
Takođe, veoma je važno da razumemo različite autentifikacione tipove koji idu sa tipom poverenja. Sledeći autentifikacione protokole možemo da koristimo sa specifičnim tipom poverenja:
- Parent-child: Kerberos, NTLM
- Tree-root: Kerberos, NTLM
- External: NTLM
- Realm: Kerberos
- Forest: Kerberos, NTLM
- Shortcut: Kerberos, NTLM
Tipovi poverenja i serverski operativni sistem
Verzija serverskog operativnog sistema na kojem radimo određuje koje autentifikacione protokole možemo da koristimo kroz poverenje. Određeni operativni sistemi imaju mogućnost da koriste samo određene autentifikacione protokole. Na primer, Windows 95 može da koristi samo LanMan (LM) autentifikacioni protokol. Iz tog razloga, tipovi poverenja koje možemo da kreiramo između domena i šuma zavise od operativnog sistema koji se koristi u svakom domenu ili šumi.
Poverenje između Windows Server 2003 šuma: Kada uspostavljamo poverenje uzmeđu dve Windows Server 2003 šume, potrebno je odrediti da li svi domeni moraju da odrade proces autentifikacije korisnika iz svih drugih domena. Na primer, ako imamo dve šume i svaka šuma sadrži 10 domena. Ako korisnicima iz samo dva domena treba da prođu procesi autentifikacije, poverenje šuma (forest trust) bi u tom slučaju bilo potpuno nepraktično. Takođe, nekad se dešava da poverenje šuma (forest trust) nudi karakteristike koje drugi tipovi ne nude ili ne podržavaju, kao što je na primer Kerberos autentifikacija, UPN logovanje, i podrška za grupne polise. Ako je potrebna forest-wide autentifikacija ili su potrebne dodatne karakteristike koje pruža poverenje šuma onda je potrebno konfigurisati Forest trust. Ako samo neki domeni moraju da se autentifikuju drugim domenima, potrebno je konfigurisati jednosmerno ili dvosmerno eksterno poverenje (External trust) između domena koji zahtevaju autentifikaciju.
Poverenje između Windows Server 2003 i Windows 2000: Kerberos poverenje radi samo između Windows Server 2003 šuma. Ne možemo da kreiramo transitivno Kerberos poverenje između Windows Server 2003 šume i Windows 2000 šume iz razloga što Windows 2000 nema mogućnost, tj. ne može da pronađe Kerberos Key Distribution (KDC) u drugim domenima. Da bi uspostavili poverenje između Windows Server 2003 i Windows 2000 domena, potrebno je da kreiramo jednosmerno ili dvosmerno eksterno poverenje (external trust) između domena.
Poverenje između Windows Server 2003 i Windows NT 4.0 domena: Kao i kod Windows Server 2003 i Windows 2000 servera, ne možemo da kreiramo tranzitivno Kerberos poverenje između Windows Server 2003 šume i Windows NT 4.0 domena. Da bi uspostavili poverenje između Windows Server 2003 i Windows NT 4.0 domena, potrebno je da kreiramo jednosmerno ili dvosmerno eksterno poverenje (external trust) između domena kojima treba pristup resurima.
Poverenje sa serverima koji rade na drugim operativnim sistemima: Za razliku od Windows 2000 i Windows NT 4.0, možemo da kreiramo poverenje između Windows Server 2003 domena i domena koji koriste UNIX ili druge operativne sisteme koji podržavaju Massachusetts Institute of Technology (MIT)-kompatibilnu Kerberos verziju. Ovaj tip poverenja je poznat kao Realm poverenje. Kao i eksterno poverenje, realm poverenje može biti jednosmerno ili dvosmerno.
Jednosmerno poverenje
Kako možemo da sprečimo SID Spoofing koristeći SID filtriranje
U sigurnom Windows okruženju, korisnici, kompjuteri, ili servisi koji su reprezentovani kao security pricipals mogu da odrade aktivnosti kao što su čitanje fajlova ili startovanje programa. Windows dodeljuje ili zabranjuje pricipals-ima prava ili privilegije da koriste resurse koristeći Access Control List (ACLs). ACLs koristi sigurnosne identifikatore koji se nazivaju SID-ovi da bi jedinstveno identifikovali principals (korisnika, kompjuter ili servis) i njihovo članstvo u grupama. Svaki SID je napravljen iz dva dela: domenski SID koji je podeljen svim principals-ima koji se nalaze u domenu, i Relative ID (RID) koji je jedinstven za svaki principals unutar domena.
Local Security Authority podsistem: Kada su podaci koji dokazuju identitet (credentials) principals-a (korisnika, kompjutera ili servisa) provereni u toku procesa autentifikacije, proces koji je poznat pod imenom Local Security Authority Subsystem (Lsass.exe) pronalazi principalsov SID, i kao dodatak SID-ovima svih grupa kojima taj principals pripada.
SID Spoofing: Korisnici sa odgovarajućim privilegijama, kao što su domenski administratori, mogu da manipulišu SID-ovima koji su pripadaju određenim nalozima. SID Spoofing (prevara) se dešava kada domenski administrator iz domena kojem verujemo (trusted domain) zakači dobro poznati security principal na SID normalnog korisničkog naloga iz domena kojem verujemo. U procesu SID spoofing-a, uljez ili pokvareni administrator njuška (sniffs) pakete iz domena kojem verujemo da bi pronašao SID security principal-a koji poseduje Full pristup resursima u domenu. Koristeći različite programe, administrator može da zakači špijunirani SID u SIDHistory atribut korisnika. Ako ovo odradi, administratori iz trusted domena može da poveća svoje privilegije u trusted domenu i samim tim dobije pristup resursima za koje nije autorizovan.
Korišćenje SID Filtering-a za zaštitu poverenja: Možemo da koristimo SID filtriranje da sprećimo SID spoofing (prevaru). SID filtriranje omogućava administratorima da odbace podatke o identitetu (credentials) koje koriste SID-ovi koji su kandidati za SID spoofing.
Kada smo kreirali principals u domenu, domenski SID je uključen u SID security principal-a da bi bio identifikovan domen u kojem je principal kreiran. Domenski SID je veoma važna karakteristika sigurnosnog principala, iz razloga što ga koristi Windows sigurnosni podsistem da bi proverio autentičnost Security Principal-a. Možemo da iskoristimo alatkicu Netdom.exe da omogućimo i onemogućimo SID filtriranje na bilo kojem odnosu poverenja između domena i šuma.
Onemogućavanje SID filterianja: Iako se generalno ne preporučuje, u nekim slučajevima možda ćemo morati da isključimo SID filtriranje koristeći Netdom.exe alatkicu. SID filtriranje bi trebalo da bude onemogućeno samo u sledećim situacijama:
- Ako imamo isti nivo poverenja u sve administratore koji imaju fizički pristup domenskim kontrolerima u domenu kojem verujemo kao što imamo u sve administratore u domenu kojem verujemo.
- Ako imamo striktno napisanu sigurnosnu polisu u kojoj se navodi zahtev da je potrebno dodeliti univerzalne grupe resursima u domenu kojem verujemo, ali da te univerzalne grupe nisu kreirane u domenu kojem verujemo.
- Ako korisnici moraju da budu migrirani u domen kojem verujemo (trusted domain) zajedno sa njihovom SID istorijom i želimo da im dodelimo pristup resursima koji se nalaze u domenu kojem verujemo na osnovu njihovih SID History atributa. Na primer, korisnički nalozi su migrirani iz Domena A u Domen B, ali postoji još resursa koje nismo migrirali iz domena A u domen B. Da bi dozvolili migriranim korisnicima iz Domena B pristup resursima koji se nalaze u Domenu A, moramo da isključimo SID filtriranje tako da korisnici i dalje mogu da koriste stare SID-ove iz domena B da bi pristupili resursima koji se nalaze u Domenu A.
