Comments | amarao_san: логин по smart-cards: идеологическая дырка?

amarao_san

логин по smart-cards: идеологическая дырка?

Oct 25, 2009 12:59

Одной из (лично меня раздражающей) идей виндового домена является мысль о том, что "зайти под пользователем" можно только зная пароль. Который знает пользователь, но не знает администратор. И никаких su username. Администратор может получить доступ к файлам и документам, но не может имперсонализироваться ( Read more... )

администрирование, smart card, windows server

Comments 6

anonymous October 25 2009, 17:04:21 UTC

По большому счёту не дело админа иметь доступ к инфе пользователя и не дело пользователя как-либо вмешиваться в работу админа.

То есть админу нужно что-то типа мастер кея, который дает доступ ко всему конфигу пользователя, но не дает доступа к инфе. Обычный админский вход не катит потому-что многие криво задуманные проги только под пользователем и настраиваются, причем иногда только под пользователем которому дали локального админа.

amarao_san October 25 2009, 18:14:43 UTC

ой, ну давай не будем в эту область лесть. Я не видел работающей системы, в которой бы это было. Даже попытка мелкософта сделать новые правила для roaming profiles (когда в хранилище профилей имеет доступ только пользователь) приносит столько головной боли, что первое, что я делаю, используя roaming profiles, это меняю на старую политику (когда пользователь + админы).

Я говорю про идею, что имперсонализация возможна только с паролем пользователя. (Это касается аудита в первую очередь. А смарт-карты эту идилию портят (потому что у пользователя может быть произвольное число смарт-карт одновременно).

paracloud October 25 2009, 21:36:55 UTC

Процесс под администратором, если у него есть SeCreateTokenPrivilege через NtCreateToken API может сделать user token и без login/password и имперсонализировать его - хотя готовой утилиты для этого нет.

amarao_san October 26 2009, 05:14:44 UTC

Даже доменной учётной записи? (Что-то мне это не кажется разумным - локальный админ никак не может получить доменного админа так просто).

paracloud October 26 2009, 11:47:08 UTC

С доменом конечно нет. Токен то мы сделаем (локально), но он не будет authenticated в контроллере домена, а проверка проходит там и там - хотя деталей я не знаю. Так что доступа к сетевым ресурсам мы не получим.
Кстати, даже локально NtCreateToken() насколько я помню можно выполнить только под LSA, просто админа будет недостаточно.

amarao_san October 26 2009, 18:40:59 UTC

вот это и раздражает. Вместо su domain\username (от пользователя, у которого есть такие права, конечно), мы играем в игрушку "а нажмите yes, пожалуйста" в рабочее время сотрудника.