логин по smart-cards: идеологическая дырка?
Одной из (лично меня раздражающей) идей виндового домена является мысль о том, что "зайти под пользователем" можно только зная пароль. Который знает пользователь, но не знает администратор. И никаких su username. Администратор может получить доступ к файлам и документам, но не может имперсонализироваться.
Вполне стройная (хотя, повторю, часто раздражающая на практике) идея.
Однако... Логин со смарт-картами...
Как он делается? В доменном CA (после настройки шаблонов) с компьютера выписывается сертификат (на смарт-карту), который даёт право логина. (Без пароля!).
И таких смарт-карт у пользователя может быть сколько угодно! Как понятно, администратор может выписывать их без ведома пользователей.
Более того, лёгким движением руки (сделать бэкап CA, выписать сертификат, восстановить бэкап) можно даже убрать в CA записи о выписывании сертификата (а сертификат всё равно будет работать, потому что подписан CA, а в SAS его нет).
Итог: и какого хрена миллионы администраторов по всему миру страдают от отсутствия принудительной имперсонализации???? Если злоумышленник это обходит на раз-два-три (в принципе, можно даже поднять CA, а потом удалить его, когда дело сделано), а добросовестные администраторы вынуждены что-то там от пользователей спрашивать, чтобы им поправить настройки в профиле?
Вполне стройная (хотя, повторю, часто раздражающая на практике) идея.
Однако... Логин со смарт-картами...
Как он делается? В доменном CA (после настройки шаблонов) с компьютера выписывается сертификат (на смарт-карту), который даёт право логина. (Без пароля!).
И таких смарт-карт у пользователя может быть сколько угодно! Как понятно, администратор может выписывать их без ведома пользователей.
Более того, лёгким движением руки (сделать бэкап CA, выписать сертификат, восстановить бэкап) можно даже убрать в CA записи о выписывании сертификата (а сертификат всё равно будет работать, потому что подписан CA, а в SAS его нет).
Итог: и какого хрена миллионы администраторов по всему миру страдают от отсутствия принудительной имперсонализации???? Если злоумышленник это обходит на раз-два-три (в принципе, можно даже поднять CA, а потом удалить его, когда дело сделано), а добросовестные администраторы вынуждены что-то там от пользователей спрашивать, чтобы им поправить настройки в профиле?