Dallas Lock - Форум по вопросам информационной безопасности

У меня еще один вопросик возник - буду благодарен за подсказку.

Решил для пользователей с админискими правами дополнительно настроить считыватели при входе в учетную запись.
Заметил, что при доступе с такой учетной запись через сеть - достаточно только пароля
(речь идет про сохраненные учетные данные в хранилище учетных данных для автоматического входа - control userpasswords2 и т.д.).

Вопросы:
это нормально?
это баг?
или требуются допнастройки?

Клинт

Вас смущает что ненужно предъявлять аппаратный идентификатор!?
Приведу такой пример.
Есть ПК1 и ПК2, на каждом из ПК в DL зарегистрирована учетная запись admin и ей на обоих ПК присвоен один и тот же идентификатор. В таком случае при сетевом доступе с ПК1 на ПК2 (папка общего доступа например) аппаратный идентификатор предъявлять не нужно.
В случае если на ПК1 и ПК2 в DL зарегистрирована учетная запись admin, при этом аппаратный идентификатор ей присвоен только на ПК1, то сетевой вход на ПК2 будет невозможен до тех пор пока Вы не присвоете тот же самый идентификатор учетной записи admin на ПК2.

Я так понимаю у Вас именно такая ситуация, поправьте если что не так.

Антонио
Ситуация такая, но не совсем:

Я на одном из ПК сети DL (пока эксперимента ради) настроил для пользователя с правами администратора двухфакторную авторизацию: пароль и считыватель.

Расшарил там каталог.

На другом ПК сети DL через диспетчер учетных записей (control userpasswords2) настроил подключение к этому ПК, т.е. указал IP, логин и пароль учетной записи со считывателем.
И всё. Доступ к ресурсом подопытного ПК появился бе всякой двухфакторной авторизации.

Вообще, если говорить подробнее, то мне такая фишка выгодна, но это отдельная тема.

Мне стало интересно - разве это не уязвимость или разработчики ЗАВЕДОМО предусмотрели подобный момент?

Клинт

"На другом ПК сети DL через диспетчер учетных записей (control userpasswords2) настроил подключение к этому ПК, т.е. указал IP, логин и пароль учетной записи со считывателем.
И всё. Доступ к ресурсом подопытного ПК появился бе всякой двухфакторной авторизации."

А на этом ПК у Вас в DL есть такая же учетная запись с назначенным идентификатором, как и на первом ПК?

Антонио
Считыватель присвоен учетной записи на одном ПК, а на другом для доступа через сеть к первому ПК используется только логин и пароль.

Т.е. для того что бы попасть в определённую учетку на ПК со считывателем, нужно приложить считыватель (это iButton) и набрать пароль.
А если я в ЭТУ же самую учетку захожу с другого ПК (где считыватели даже близко не используются)*, но по СЕТИ, то достаточно только логина и пароля.


* Захожу я не путем создания аналогичной УЗ, а прописывая аутентификационные данные в Диспетчере (control userpasswords2).

Клинт

Ясно, вопросов нет.
Интересная ситуация.
Но вот не знаю можно ли это считать уязвимостью.

to Клинт
По журналам на машине с Далласом и считывателем посмотрите, кого в итоге авторизует система защиты: учетку, для которой вводились вручную логин+пароль или anonymous? Если "анонимуса", то все закономерно, ибо для них считыватель не предусмотрен вообще. А вот почему "анонимусы" вместо зарегенных юзеров - другой вопрос...
Кстати, вызывает интерес, что значит "для пользователей с админискими правами"? Т.е. только для админских учетных записей? Тогда работать не будет. Либо вообще всем идентификаторы и, соответственно, в оснастках Далласа запретить вход (локальный и удаленный) без идентификаторов, либо никому. В противном случае реализуется нечто вроде "смешанного" входа, когда можно и по идентификатору (iButton, eToken и т.п.) и без него.
Ну а если оба вышестоящих вопроса сняты (т.е. не анонимусы + "вход только по идентификатору"), то на лицо косяк Конфидента - не передают и не запрашивают токен идентификатора при использовании SMB-протокола и иже с ним. На моей памяти из всех чисто программных СЗИ такую фишку использовал только Страж в обязательном порядке (т.е. без идентификатора через сеть не войдешь ни к расшаренным папкам, ни к удаленному рабочему столу, никуда).

Применил в полевых условиях - на сервере.

Что имеем:

Есть две учетки с админискими правами.
Одна нужна для входов с других ПК (в том числе, приложений) - 2 учетка, а другая как пользователь с правами администратора, он же Администратор DL, СБ DL и т.д. - 1 учетка

1) Определил Идентификатор в параметрах безопасности DL, который ПОТОМ буду использовать для учетки 1.
2) Зашел в Свойства (Аппаратная идентификация) учетки 2. Никаких определённых идентификаторов в списке не было. Определил ДРУГОЙ идентификатор для ЭТОЙ (2) учетки. Первый же Идентификатор так и остался висеть в Параметрах безопасности DL.
3) Для 1 учетки идентификатор (в свойствах) не определил.

В итоге:
1) В первую учетку я входу без аппаратного идентификатора.
2) Во вторую учетку с паролем и аппаратным идентификатором, но по сети (проверял только в сети DL) только через логин и пароль.

Теперь о журналах.
(отсматриваю их в Администраторе DL сервера)

В Журналах входов и вообще во всех журналах, где отражаются какие-либо сведения о процессах и т.п.
Удаленные подключения фиксируются от пользователей, зарегистрированных в Сервере безопасности DL: Иванов, Петров, Сидоров.

НО!
Если открыть не DL, а Диспетчер задач операционной системы, то процессы, которые запускаю сетевые приложения с других АРМ в сети, запускаются от имени учетки 2 (соответственно на каждом АРМ выполнены настройки через control userpasswords2).

Вот такая вот петрушка.

Дополнение:

Т.е. DL фиксирует входы с других ПК, либо как "анонимус" (не проверял, но предполагаю), либо, как зарегистрированных в СБ DL пользователей.


НО!

Настройки операционной системы на сервере (и не только) таковы, что по сети требуется вводить логин и пароль.
Соответственно, если не прописать соответствующие данные в Диспетчере (control userpasswords2), то и войти на удаленных ПК (в данном случае, сервер) не получится (хакерские приемы не рассматриваю).

Так было сделано, т.к. одно сетевое приложение (модель сервер-клиент) требовало прохождение аутентификации при подключении к серверу.

Для зарегистрированных в СБ DL пользователей считыватели не установлены (ибо они не админы).