मैं सक्रिय निर्देशिका में संवेदनशील डेटा कहाँ संग्रहीत करता हूँ?


11

मैं अनिवार्य रूप से सक्रिय निर्देशिका के भीतर किसी भी ऑक्टेटस्ट्रिंग विशेषताओं में एक निजी कुंजी (हैश) संग्रहीत कर रहा हूं।

मेरा सवाल यह है कि डिफ़ॉल्ट रूप से कौन सी विशेषता सुरक्षित है और निजी डेटा रखने के लिए समझ में आता है? इस मान को एक पासवर्ड के समान माना जाना चाहिए, जहाँ व्यवस्थापकों के पास भी (यदि संभव हो) पहुँच नहीं होना चाहिए, ठीक वर्तमान AD पासवर्ड की तरह।

यहां उन विशेषताओं की एक सूची की शुरुआत की गई है जो डिफ़ॉल्ट रूप से Windows 2008R2 + Exchange 2010 डोमेन पर सक्षम हैं।

वैकल्पिक शब्द

अपडेट करें:

क्या कोई ऑक्टेट स्ट्रिंग विशेषता के बारे में जानता है जो डिफ़ॉल्ट रूप से डोमेन के सभी उपयोगकर्ताओं के लिए "रीड" की अनुमति नहीं देता है? मैं अपने हैश को सार्वजनिक रूप से संग्रहीत नहीं करना चाहता और किसी को हैश के आधार पर इंद्रधनुष तालिका बनाने की अनुमति नहीं देता।

जवाबों:


11

AD में डेटा संग्रहीत करते समय अधिकांश लोगों को समस्या का सामना करना पड़ता है

  • स्कीमा का विस्तार (जिसमें अक्सर कंपनी-राजनीतिक निहितार्थ हैं)

  • मौजूदा विशेषता का उपयोग करना और अनुमतियों को संपादित करना (जिसके परिणामस्वरूप AD / ACL ब्लोट होता है जो आपके DIT और बाद के प्रतिकृति आकार को बढ़ाता है)

एक विकल्प है ... मेरे दिमाग में सबसे अच्छा विकल्प एक मौजूदा विशेषता लेने और इसे गोपनीय के रूप में चिह्नित करने के लिए AD के इस कम ज्ञात विशेषता का उपयोग करना है।

यहाँ प्रक्रिया पर विवरण हैं


सक्रिय निर्देशिका में डिफ़ॉल्ट अनुमतियाँ ऐसी हैं, जो प्रमाणीकृत उपयोगकर्ताओं के पास सभी विशेषताओं के लिए कंबल रीड एक्सेस है। इससे एक नई विशेषता शुरू करना मुश्किल हो जाता है जिसे हर किसी के द्वारा पढ़ा जाने से बचाया जाना चाहिए।

इसे कम करने के लिए, Windows 2003 SP1 विशेषता के रूप में चिह्नित करने का एक तरीका पेश करता है। स्कीमा में विशेषता पर searchFlags मान को संशोधित करके प्राप्त की गई यह सुविधा। SearchFlags में कई बिट्स होते हैं जो एक विशेषता के विभिन्न गुणों का प्रतिनिधित्व करते हैं। उदाहरण के लिए बी 1 का मतलब है कि विशेषता अनुक्रमित है। नया बिट 128 (7 वां बिट) विशेषता को गोपनीय बनाता है।

नोट: आप इस ध्वज को आधार-स्कीमा विशेषताओं ("शीर्ष" जैसे सामान्य नाम से प्राप्त) पर सेट नहीं कर सकते। आप यह देख सकते हैं कि ऑब्जेक्ट देखने के लिए LDP का उपयोग करके एक बेस स्कीमा ऑब्जेक्ट है या ऑब्जेक्ट की systemFlags विशेषता की जांच करना। अगर 10 वीं बिट सेट है तो यह एक बेस स्कीमा ऑब्जेक्ट है।

जब निर्देशिका सेवा एक रीड एक्सेस जांच करती है, तो यह गोपनीय विशेषताओं के लिए जांच करती है। यदि हैं, तो READ_PROPERTY पहुंच के अलावा, निर्देशिका सेवा को विशेषता या इसके गुण सेट पर CONTROL_ACCESS पहुंच की भी आवश्यकता होगी।

डिफ़ॉल्ट रूप से, केवल व्यवस्थापकों के पास सभी वस्तुओं के लिए CONTROL_ACCESS पहुंच होती है। इस प्रकार, केवल व्यवस्थापक गोपनीय विशेषताओं को पढ़ सकेंगे। उपयोगकर्ता इस अधिकार को किसी भी विशिष्ट समूह को सौंपने के लिए स्वतंत्र हैं जो वे चाहते हैं। यह DSACLs टूल, स्क्रिप्टिंग या LDP के R2 ADAM संस्करण के साथ किया जा सकता है। चूंकि इन अनुमतियों को असाइन करने के लिए ACL UI एडिटर का उपयोग करना संभव नहीं है।

किसी विशेषता को चिह्नित करने और उन उपयोगकर्ताओं को जोड़ने की प्रक्रिया, जिन्हें विशेषता देखने की आवश्यकता है, उनमें 3 चरण हैं

  1. यह निर्धारित करना कि गोपनीय को चिह्नित करने के लिए क्या विशेषता है, या गोपनीय को चिह्नित करने के लिए एक विशेषता जोड़ना।

  2. इसे गोपनीय रखा जाए

  3. सही उपयोगकर्ताओं को Control_Access सही प्रदान करना ताकि वे विशेषता देख सकें।

अधिक जानकारी और चरण-दर-चरण निर्देशों के लिए, कृपया निम्नलिखित लेख देखें:

922836 विंडोज सर्वर 2003 सर्विस पैक 1 में गोपनीय के रूप में एक विशेषता कैसे चिह्नित करें

http://support.microsoft.com/default.aspx?scid=kb;EN-US;922836


1
Downvoter: यह -1 क्यों मिला?
goodguys_activate

मैंने सुना है कि गोपनीय बिट एक महत्वपूर्ण प्रदर्शन जुर्माना लगा सकता है। क्या आप किसी ऐसे डॉक्स के बारे में जानते हैं जो उसका समर्थन या खंडन करता है?
निक

@ कोई सवाल है कि एक सवाल के रूप में ... पहले मैंने इसके बारे में सुना
goodguys_activate

2

आप इस उद्देश्य के लिए हमेशा नए क्षेत्र के साथ सक्रिय निर्देशिका का विस्तार कर सकते हैं।

यहां एक दस्तावेज़ है जिसमें एक नई विशेषता जोड़ने और विशेषताओं पर अनुमतियों को सीमित करने के निर्देश शामिल हैं।


धन्यवाद। मेरा लक्ष्य एक मौजूदा विशेषता का उपयोग करना है यदि संभव हो तो मेरे क्लाइंट ऐसा करने के बारे में पागल से परे हैं ... उनके पास उस दृष्टिकोण में बहुत अधिक FUD है ... यदि संभव हो तो मैं कुछ देशी की उम्मीद कर रहा हूं।
goodguys_activate

मैं उनकी अनिच्छा को समझ सकता हूं, लेकिन मुझे विश्वास नहीं है कि कोई भी अच्छे उम्मीदवार गुण हैं जिनका उपयोग नहीं किया गया है और आवश्यकतानुसार सुरक्षित हैं।
Zoredache

1

इस मान को एक पासवर्ड के समान माना जाना चाहिए, जहाँ व्यवस्थापकों के पास भी (यदि संभव हो) पहुँच नहीं होना चाहिए, ठीक वर्तमान AD पासवर्ड की तरह।

यह सही नहीं है, यह गलत भी नहीं है। पासवर्ड संग्रहीत नहीं है। हैश संग्रहीत है, और डोमेन व्यवस्थापक उस तक पहुँच सकते हैं। वास्तव में, यदि आप चाहते हैं, तो आप पासवर्ड को प्रतिवर्ती एन्क्रिप्शन में संग्रहीत करने के लिए भी कॉन्फ़िगर कर सकते हैं।

ऐसा कुछ भी नहीं है जो आप AD में डोमेन प्रवेश को रख सकते हैं। यदि आप अधिकारों को हटा देते हैं या यहां तक ​​कि इनकार भी करते हैं, तो एक डोमेन व्यवस्थापक स्वामित्व ले सकता है और खुद को वापस जोड़ सकता है। यह नोवेल के एनडीएस के विपरीत है, जहां एक ओयू का एक प्रशासक उच्च स्तर के प्रवेशों को अपरिवर्तनीय रूप से लॉक कर सकता है।

आप जो सबसे अच्छा कर सकते हैं वह मौजूदा या नई विशेषता का उपयोग करता है, और पहुंच को प्रतिबंधित करता है। आप इसमें से प्रवेश ले सकते हैं, और आप विशेषता पर ऑडिटिंग को सक्षम कर सकते हैं ताकि किसी भी एक्सेस या अनुमति परिवर्तन को लॉग किया जा सके।


मैं अपने एप्लिकेशन के लिए विशिष्ट पासवर्ड के एक तरह से हैश का भंडारण कर रहा हूं।
goodguys_activate

यह एक टिप्पणी के रूप में है, क्योंकि यह किसी भी तरह से सवाल का जवाब नहीं देता है।
एमडीएमरा

मार्क - मेरे आखिरी दो वाक्य मेरे सवाल का जवाब है "मैं सक्रिय निर्देशिका में संवेदनशील डेटा कहां संग्रहीत करूं?"
mfinni

@ मेकर - जो समझ में आता है, और यह उस लिंक का एक बहुत समान परिदृश्य है जो @Zoredache ऊपर पोस्ट किया गया है। वह मूल उत्तर है: मौजूदा या नई विशेषता का उपयोग करें, और पहुंच को सीमित करें। मेरा अतिरिक्त सुझाव, यदि आपका ग्राहक सुरक्षा पर केंद्रित है, तो उस विशेषता के लिए ऑडिटिंग को भी सक्षम करना है।
mfinni

@ मेकर - अगर यह वास्तव में एक तरफ़ा हैश है, तो यह पहले से ही काफी सुरक्षित है, है ना?
mfinni
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.