Phần 3: Quản lý định danh và truy nhập trong môi trường Active Directory

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
1. Cơ chế xác thực người dùng và điều khiển quyền truy cập tài nguyên

  • Trong mạng máy tính, việc truyền tải dữ liệu giữa các máy tính với nhau là điều tất yếu phải có, điều quan trọng là làm sao để các thông tin truyền tải giữa các máy tính được đảm bảo tính bảo mât thông tin.
  • Để đảm bảo tính bảo mật thông tin trong Active Directory các đối tượng người dùng và tài nguyên được thiết kế các thuộc tính thích hợp với các giao thức bảo mật thông tin như :
+ IDA(Identity and Access).
+ AAA(Authentication-Authorization-Auditing).
+ CIA(Confidentiality-Integrity-Availability).

  • Trong đó cốt lõi của bảo mật thông tin là hai khái niệm quan trọng:nhận dạng và truy cập(IDA).
Cụ tỉ các thuộc tính người dùng và tài nguyên đảm bảo tính bảo mật như sau :

2. Đối với đối tượng người dùng (User) :


User’s Acess Token

  • Hệ thống sẽ xác thực người dùng.
  • Hệ thống sẽ tạo ra một thẻ an ninh truy cập (sercurity access token) hay có thể gọi tắt là thẻ truy cập (access token), nó đại diện cho người sử dụng hệ thống bằng cách thu thập SID của người dùng và các SID của tất cả các nhóm mà người sử dụng là thành viên.
  • Nó cũng đại diện cho quyền hạn người sử dụng trên hệ thống, ví dụ : người dùng có quyền shutdown hệ thống hay không …[stextbox id="info"]
  • Chú ý :
​+ Thẻ truy cập này chỉ có hiệu lực trên hệ thống mà nó được sinh ra.
+ ví dụ : bạn muốn truy cập vào một share folder của một máy tính khác thì bạn không thể sử dụng tài khoản trên máy tính của bạn, bạn phải sử dụng tài khoản được xác thực bên máy tính đó.[/stextbox]

3. Đối với đối tượng là tài nguyên (resource):

Security Descriptor

  • Đối với tài nguyên (resource) (ví dụ như một file hoặc folder trên phân vùng NTFS) tương ứng có một mô tả bảo mật (Sercurity Descriptor), nó mô tả đầy đủ các đặc điểm bảo mật của tài nguyên.
  • Một mô tả bảo mật bao gồm
​+ DACL (Discretionary Access Control List)
+ SACL (System Access Control List).

2.1 DACL :

  • Xác định đối tượng được ủy quyền cho phép hoặc từ chối truy cập đến đối tượng tài nguyên được bảo mật.
  • Trong mỗi DACL chứa các ACE (Access Control Entries)
  • Các ACE này sẽ quy định cụ thể từng đối tượng có quyền hạn gì trên tài nguyên.
  • ACE chứa SID của đối tượng và Access Mask (mức độ truy nhập).
Khi có một quá trình cố gắng truy cập vào một đối tượng được bảo mật hệ thống kiểm tra các ACE trong DACL của đối tượng để xác định cấp hoặc không cấp quyền truy cập vào nó.
  • Nếu có thì hệ thống dựa vào ACE để cấp quyền truy cập cho đối tượng
  • Nếu không có trong list ACE thì nó sẽ áp dụng quyền của nhóm everyone cho đối tượng
  • Nếu DACL không có ACE nào thì mặc định nó áp dụng deny cho tất cả các đối tượng

2.2 SACL
:

  • Cho phép người quản trị có thể ghi chép lại event log theo dõi lại những đối tượng truy cập thành công hoặc thất bại đến đối tượng tài nguyên được bảo vệ

DACL – SACL – ACE

3. Quá trình nhận dạng và truy cập

  • Quá trình nhận dạng và truy cập chính là quá trình xử lý dựa trên kết quả “so sánh” giữa Access TokenSecurity Descriptor qua đó hệ thống sẽ quyết định đối tượng có quyền truy cập tài nguyên không và mức độ truy cập đến đâu.
Access token-Security Descriptor

  • Hệ thống so sánh lần lượt User SIDGroup SID trong Access Sercurity Token với Trustee SID trong từng ACE của DACL.
  • Nếu chúng chính xác thì áp dụng mức độ truy nhập dựa trên Access Mask của ACE
  • Nếu không có ACE nào phù hợp với Access Sercurity Token thì mặc định đối tượng được áp dụng chế độ deny
Đó là cơ chế xác thực người dùng và điều khiển truy nhập tài nguyên trong một hệ thống bất kì.

4. So sánh Active Directory thì ưu điểm hơn Stand Alone

Active Directory Stand Alone
- Định danh người sử dụng được lưu trong SAM database và
được lưu trên ổ cứng local của hệ thống.
- Điều này rất nguy hiểm, với chỉ một chiếc USB Hiren’t Boot
là người xấu có thể phá được password của bạn một cách dễ
dàng
-Active Directory là nơi lưu trữ định danh tin cậy : bảo mật của Active Directory rất mạnh và lưu trữ các định danh trên Active Directory
- An toàn hơn rất nhiều so với lưu trữ trên local
- Không có vùng lưu trữ chia sẻ định danh, bạn muốn chia sẻ một bộ phim cho một một số đồng nghiệp đồng nghĩa với việc
bạn phải cung cấp cho họ một hoặc một số tài khoản trên
máy tính của bạn.
Thật nguy hiểm nếu một trong số họ có ý đồ phá hoại máy
tính bạn
Active Directory cung cấp cơ chế xác thực mạnh mẽ sử dụng giao thức xác thực Kerberos, cung cấp điều khiển truy nhập và giám sát
- Một vấn đề nữa rất “đau đầu” là vấn đề quản lý password.
- Trong một số trường hợp bạn phải đổi password và bạn phải đi thông báo cho từng người một biết, với bạn cũng thế, bạn phải nhớ rất nhiều password khác nhau ứng
với từng tài nguyên chia sẻ cho bạnUgh!. Đây thực sự là vấn đề rắc rối
Điểm nổi bật của Active Directory là cung cấp 4 service rất quan trọng đó là :
- Active Directory Lightweight Directory Services (Active Directory LDS)
- Active Directory Certificate Services (Active Directory CS)
- Active Directory Rights Management Services (Active Directory RMS)
- Active Directory Federation Services (Active Directory FS)

Nguồn :
http://chaycoi.info/tong-quan-ve-active-directory-tren-windows-server-2008-tiep/
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu