Active Directory, скрыть объекты от Authenticated Users?

Question

[vittmann]

Привет!

С AD никогда плотно не работал, оттого возник вопрос правильной организации безопасности.
В куче best practice мануалов рекомендуют, например, отключите встроенного Administrator, вместо него создайте другого юзера с тем же набором привилегий. Более того, эту супер привилегированную учетку не юзайте почти никогда, а, мол заведите себе для администрирования несколько учеток, с разным уровнем привилегий. Ок, вроде толково.

Но вот все Authenticated Users могут просматривать все объекты домена, в т.ч атрибуты юзеров и вычислить, кто же там имеет привилегии Domain User и т.д. Да и просто видеть структуру домена (которая очень часто говорит о структуре организации)
Нашел примеры ,как можно эту видимость отключить (причем, по хорошему, надо бы чтобы юзеры не видели ничего дальше своих OU) https://windowsnotes.ru/activedirectory/active-dir...
Однако тут уже предлагают редактировать с помощью ADSIEdit, что в большинстве случаев не рекомендуют. Плюс где-то натыкался на упоминания, что подобное поведение может привести к проблемам работы GPO (ибо юзеры не будут их видеть), хз насколько правда.

Как вы решаете этот вопрос? Надуманная ли вообще проблема?

Comments

[Владимир Юрченков]

У вас домен не внутри компании?

[vittmann]

Владимир Юрченков, он, скажем, на этапе построения. Но да, будет внутри сети компании

Answer 1

[Максим Гришин]

Authenticated Users - это в первую очередь именно авторизованные пользователи, т.е. если вы что-то хотите спрятать от них, значит, предполагаете, что у вас в сети есть легальный крот. Как по мне, прятать есть смысл только имена привилегированных учеток (т.е. сами объекты), при этом оставить доступ хотя бы для domain computers, иначе рискуете поиметь проблем, когда придется логиниться под ними в домен.
По поводу статьи - описанное изменение не должно поломать GPO, так как разрешения на них вам желательно не исправлять, а прятать только нечто более-менее критичное с точки зрения безопасности, а-ля группы domain admins и подобное. А прятать сами OU и других пользователей несколько нелогично, можно поломать что-то из инфраструктуры неочевидным образом (скажем, сбор адресной книги Exchange'м).
Использование ADSIEdit в статье может быть оправдано, но только в той мере, в которой указано, а иногда и меньше, но конкретно этот параметр описан тут https://docs.microsoft.com/en-us/openspecs/windows... и тут сказано, что если вдруг в параметре есть хоть что-то, менять стоит только один символ - в данном случае третий слева. И конкретно это изменение само по себе ничего не сломает.

Comments

[vittmann]

Ну, это может быть случайно засвеченные креденшиалы. Не обязательно крот, может просто обиженный/замотииврованный на определенные действия сотрудник (как почему, это уже дискуссионный вопрос, как мне кажется, не относящийся непосредтвенно к основному вопросу)

Как вы решили для себя этот вопрос и вообще смущал ли он вас?

[Максим Гришин]

vittmann, нет, не смущал. Я не работал ни в одной СБ, чтобы паниковать с того, что кто-то внутри знает администраторов домена, в основном потому, что организации были мелкие (меньше сотни пользователей в одном AD), и за подобную безопасность или отвечал директор, или никто вообще. Исключение - банк, но там меня и не пускали в сторону безопасности, там была своя СБ и свои умники. Но для более серьезных контор стоит подумать о том, чтобы кого-то или что-то скрыть от всеобщего взгляда.

Answer 2

[CityCat4]

Совет отключить юзера Administrator - он в общем-то правильный. Совет не работать с админскими правами - тоже. Завести себе учетку типа vasyan и работать под ней, а для задач администрирования использовать что-то типа adm_vasyan. Правда, это неудобно и этим правилом обычно пренебрегают.
А вот модифицировать что-то в схеме AD вообще - это чревато проблемами. Софт, даже от M$ может ничтоже сумняшеся полагать что нечто находится в некотором состоянии, в котором оно находится всегда. Если в Вас оно не так - получите совершенно непонятную ошибку или программа просто работать не будет.
Если нужно спрятать некоторые обьекты - ну создайте отдельное OU, дайте необходимые права, остальные отберите.

Comments

[vittmann]

CityCat4, каким образом лучше это делать? Просто забирать права на read/list objects этого OU (и всех дочерних объектов) у всех Domain/Authenticated Users ?