amarao (amarao_san) wrote,
amarao
amarao_san

Category:

логин по smart-cards: идеологическая дырка?

Одной из (лично меня раздражающей) идей виндового домена является мысль о том, что "зайти под пользователем" можно только зная пароль. Который знает пользователь, но не знает администратор. И никаких su username. Администратор может получить доступ к файлам и документам, но не может имперсонализироваться.

Вполне стройная (хотя, повторю, часто раздражающая на практике) идея.

Однако... Логин со смарт-картами...

Как он делается? В доменном CA (после настройки шаблонов) с компьютера выписывается сертификат (на смарт-карту), который даёт право логина. (Без пароля!).

И таких смарт-карт у пользователя может быть сколько угодно! Как понятно, администратор может выписывать их без ведома пользователей.

Более того, лёгким движением руки (сделать бэкап CA, выписать сертификат, восстановить бэкап) можно даже убрать в CA записи о выписывании сертификата (а сертификат всё равно будет работать, потому что подписан CA, а в SAS его нет).

Итог: и какого хрена миллионы администраторов по всему миру страдают от отсутствия принудительной имперсонализации???? Если злоумышленник это обходит на раз-два-три (в принципе, можно даже поднять CA, а потом удалить его, когда дело сделано), а добросовестные администраторы вынуждены что-то там от пользователей спрашивать, чтобы им поправить настройки в профиле?
Tags: smart card, windows server, администрирование
Subscribe

  • Редактор

    А вот в моей карьере случился провал. Я инвестировал много энтузиазма неофита в Far Editor (включая плагины и т.д.), и при переходе на линуксы я этот…

  • чистка десктопа

    На любом рутовом разделе при апдейтах рано или поздно заканчивается место. (Это легко доказать, поскольку размер софта является возрастающей функцией…

  • ретро-новости

    Случайно прилетел апдейт и сделал так, что грузится mesa, причём по всем признакам должна быть nvidia, но в strace к glxgears видно, что таки mesa. Я…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 6 comments