wlasnie odkrylem, ze w obsludze Restricted Groups w GPO jest bug.

Restricted Groups – jak dziala
z zalozenie RG daje mozliwosc zdefiniowana czlonkow grupy na poziomie GPO. daje to dodatkowy poziom zabezpieczenia – tym fajniejszy, ze pierwsza lepsza lama o tym nie wie.
scenariusz
dzien pelen pracy, jestesmy [zupelnie niezgodnie z zaleceniami polityki bezpieczenstwa] zalogowani na koncie z wysokimi uprawnieniami. tak wysokimi, ze pozwalaja dodac uzytkownika do grupy domain admins. w calym chaosie dnia odchodzimy od stacji, zapominajac ja zalockowac. pech chce, ze aqrat wypatrzyl do domorosly hakjer i szybciutko wykonal ‘net group “domain admins” kontohakjera /add /domain’, po czym zadowolony z siebie ulotnil sie. jesli zdefiniowane jest GPO, ktore okresla przynaleznosc do grupy domain admins poprzez Restricted Groups, to wszystkie DC podczas zaciagania polisy [czyli standardowo co 5min], usuna konto hakjera. ten wielce zdzwiony, po zalogowaniu skonstatuje, ze nie ma zadnych przywilejow.

BUG
korzystanie z RG jest bardzo dobrym, dodatkowym mechanizmem zabezpieczajacym przed podobnymi scenariuszami. jest jednak bug, pozwalajacy to ominac:
wystarczy poza dodaniem sie do grupy, ustawic ja jako ‘primary group’. czyli jedno klikniecie wiecej, jesli robi sie to z interface’u. jest tak, poniewaz system nie pozwala usunac czlonkowstwa w grupie, z atrybutem primary.

Spread the love

Comments (1)

  1. Pingback: majowka … restricted « IT Info

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.