bga68

Categories:

Модель разделения администрирования Active Directory



Область применения. Windows Server
 

Эта многоуровневая модель предназначена для защиты систем идентификации за счет использования нескольких буферных зон между зоной полного контроля над средой (уровень 0) и ресурсами рабочих станций, для которых характерен высокий риск компрометации со стороны злоумышленников.

Эта модель состоит из трех уровней и предусматривает только учетные записи администраторов, не предполагая записи для обычных пользователей:

  • Уровень 0 — прямое управление удостоверениями предприятия в среде. К уровню 0 принадлежат учетные записи, группы и другие ресурсы с прямым или непрямым административным контролем над лесами, доменами или контроллерами доменов Active Directory, а также над их ресурсами. Степень безопасности всех ресурсов уровня 0 одинакова, так как фактически все они находятся под контролем друг друга.
  • Уровень 1 —контроль над серверами и приложениями предприятия. К ресурсам уровня 1 принадлежат серверные операционные системы, облачные службы и корпоративные приложения. Учетные записи администраторов уровня 1 предоставляют права административного управления значительной частью бизнеса, в основе которого лежат эти ресурсы. Распространенный пример такой роли — администратор сервера. Он занимается обслуживанием операционных систем этих ресурсов и может повлиять на все службы предприятия.
  • Уровень 2 — управление рабочими станциями и устройствами пользователей. Учетные записи администраторов уровня 2 предоставляют права административного управления значительной частью бизнеса, а именно над рабочими станциями и устройствами, лежащими в его основе. К их примерам можно отнести администраторов службы технической поддержки или компьютеров, так как они могут повлиять на целостность данных практически любого пользователя.

Примечание

Уровневая система также служит базовым механизмом расстановки приоритетов для защиты административных ресурсов. Тем не менее крайне важно учитывать, что если злоумышленник получит контроль над ресурсом какого-либо уровня, он сможет получить доступ к большинству ресурсов или ко всем им. Польза базового механизма расстановки приоритетов заключается в сложности и больших затратах для злоумышленника. Ему проще действовать при полном доступе ко всем удостоверениям (на уровне 0) или серверам и облачным службам (на уровне 1), чем когда нужно получить данные организации при наличии доступа к отдельной рабочей станции или устройству пользователя (на уровне 2). 

Далее: 

 

Error

default userpic

Your IP address will be recorded 

When you submit the form an invisible reCAPTCHA check will be performed.
You must follow the Privacy Policy and Google Terms of use.