Sicherheitsbedenken bei LDAP-Abfragen

Question 1

Das ist richtig. Diese Informationen sind als Teil von LDAP verfügbar. Sie könnten AD durch Delegierung und Änderung der Sicherheitsrechte sperren, ich würde das jedoch nicht empfehlen.

Answer

Das ist richtig. Diese Informationen sind als Teil von LDAP verfügbar. Sie könnten AD durch Delegierung und Änderung der Sicherheitsrechte sperren, ich würde das jedoch nicht empfehlen.

Question 2

Ja, die Standardsicherheitsberechtigungen in Active Directory gewähren allen Benutzern, einschließlich anderen Benutzern, Lesezugriff auf die meisten Attribute von Objekten im Verzeichnis.

Wenn das Entfernen dieser Fähigkeit notwendig ist, um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen, ist dies leider nicht so einfach wie das Ändern der Berechtigungen für die Organisationseinheit/den Container, in dem sich Ihre sensiblen Benutzer befinden. Die Berechtigungen, die Lesezugriff auf diese Attribute gewähren, werden nicht wirklich von ihrem Container geerbt. Sie werden beim Erstellen direkt für das Objekt festgelegt.

Um das zu ändern, müssen Sie das AD-Schema bearbeiten und die Standardsicherheits-ACL der Benutzerklasse entsprechend Ihren Sicherheitsanforderungen ändern. Das ist natürlich eine sensible Operation. Aber im Gegensatz zu anderen Schemaänderungen ist sie vollständig umkehrbar (ändern Sie einfach die Berechtigungen zurück).

Es wirkt sich auch nicht rückwirkend auf Benutzer aus, die bereits vorhanden sind. Sie müssen im Nachhinein zurückgehen und ein Tool wie verwendendsaclsum die Benutzer auf ihre Standardsicherheitsberechtigungen aus dem Schema zurückzusetzen.

Bedenken Sie, dass viele Anwendungen, die auf Active Directory zugreifen, davon ausgehen, dass die Standardsicherheitsberechtigungen vorhanden sind, und möglicherweise auf seltsame Weise fehlschlagen, wenn sie diese Benutzerattribute nicht lesen können. Stellen Sie daher sicher, dass alle Anwendungen, die Zugriff benötigen, mit Anmeldeinformationen ausgeführt werden, denen explizit der Zugriff zum Lesen der für sie wichtigen Attribute erteilt wurde.

Answer

Ja, die Standardsicherheitsberechtigungen in Active Directory gewähren allen Benutzern, einschließlich anderen Benutzern, Lesezugriff auf die meisten Attribute von Objekten im Verzeichnis.

Wenn das Entfernen dieser Fähigkeit notwendig ist, um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen, ist dies leider nicht so einfach wie das Ändern der Berechtigungen für die Organisationseinheit/den Container, in dem sich Ihre sensiblen Benutzer befinden. Die Berechtigungen, die Lesezugriff auf diese Attribute gewähren, werden nicht wirklich von ihrem Container geerbt. Sie werden beim Erstellen direkt für das Objekt festgelegt.

Um das zu ändern, müssen Sie das AD-Schema bearbeiten und die Standardsicherheits-ACL der Benutzerklasse entsprechend Ihren Sicherheitsanforderungen ändern. Das ist natürlich eine sensible Operation. Aber im Gegensatz zu anderen Schemaänderungen ist sie vollständig umkehrbar (ändern Sie einfach die Berechtigungen zurück).

Es wirkt sich auch nicht rückwirkend auf Benutzer aus, die bereits vorhanden sind. Sie müssen im Nachhinein zurückgehen und ein Tool wie verwendendsaclsum die Benutzer auf ihre Standardsicherheitsberechtigungen aus dem Schema zurückzusetzen.

Bedenken Sie, dass viele Anwendungen, die auf Active Directory zugreifen, davon ausgehen, dass die Standardsicherheitsberechtigungen vorhanden sind, und möglicherweise auf seltsame Weise fehlschlagen, wenn sie diese Benutzerattribute nicht lesen können. Stellen Sie daher sicher, dass alle Anwendungen, die Zugriff benötigen, mit Anmeldeinformationen ausgeführt werden, denen explizit der Zugriff zum Lesen der für sie wichtigen Attribute erteilt wurde.

Sicherheitsbedenken bei LDAP-Abfragen

Antwort1

Antwort2

verwandte Informationen