Эта статья хотела бы быть сказкой, но увы, это явь….

Домен Windows

Домен Active Directory, детище корпорации Microsoft, впервые появившийся в ОС Windows 2000 Server – это довольно мощное и удобное средство централизации сети, обеспечения единства учетных записей, облегчения работы пользователей и системных администраторов.

Можно выделить следующие основные достоинства:

• Единство учетных записей (далее – УЗ): одну и ту же учетную запись можно использовать на множестве компьютеров и серверов
• Учетные записи пользователей хранятся на контроллерах домена, что повышает безопасность, снижая риск их компрометации, поскольку сервера находятся под большим контролем администраторов, по сравнению с пользовательскими компьютерами – рабочими станциями
• Централизованное управление правами пользователей (облегчает работу администраторов)
• Групповые политики, позволяющие в автоматическом режиме устанавливать необходимое для работы программное обеспечение, создавать папки и ярлыки на рабочих станциях. Грамотно настроенные групповые политики позволяют произвести до 90% всех необходимых настроек в автоматическом режиме
• Контроль смены паролей: повышает безопасность сети, снижая риск компрометации учетных данных
• Контроль использования учетных записей: позволяет выявить факты несанкционированного доступа и компрометации учетных данных

В домене существуют группы безопасности, группы распространения, учетные записи пользователей и учетные записи компьютеров. Чтоб использовать доменную учетную запись на рабочей станции или сервере, необходимо ввести ее в домен. При этом в домене автоматически создается учетная запись компьютера.

При помощи учетной записи компьютера, которая тоже имеет свой пароль (он достаточно сложный и меняется автоматически), между компьютером и доменом устанавливаются доверительные отношения. Наличие доверительных отношений между компьютером и доменом является одним из факторов проверки подлинности пользователя, осуществляющейся при входе в систему. Таким образом, в процессе аутентификации происходит взаимная проверка компьютера и домена, а также пользователя и домена.

Аутентификация Windows

Аутентификация Windows, это протокол проверки подлинности, при котором в случае успешного входа пользователя в Windows, создается токен безопасности, использующийся в дальнейшем при обращении к сетевым ресурсам, например файловым серверам или веб-приложениям.

При этом пользователю не нужно повторно вводить логин и пароль своей учетной записи, когда он хочет зайти в сетевую папку, либо воспользоваться корпоративным веб-приложением или электронной почтой MS Exchange Server.

Упомянутый токен безопасности не содержит пароля пользователя и является временным, поэтому не вызывает проблем с безопасностью.

В случае, если нарушены доверительные отношения между компьютером и доменом, проверка аутентификация Windowsбудет оканчиваться неудачей.

Импортозамещение

Многие мои читатели, наверное, в курсе, что ОС семейства Linux стремятся стать максимально похожими на всем привычный Windows. Альт линукс это тоже не обошло стороной, вот только получилось все как-то максимально неуклюже и убого….

Не спрашивайте зачем, но в системе здравоохранения рабочие станции на Альт8 СП ввели в домен Active Directory с уровнями домена и леса Windows Server 2016. Файловые сервера и контроллеры домена, а также компьютеры руководящего состава импортозамещение почему-то не коснулось, зато врачам и медсестрам поставили максимально убогие компьютеры с урезанной версией т.н. отечественной ОС Альт8 СП.

Домен, это все, конечно, замечательно и максимально удобно, если использовать его грамотно и не кастрировать. Но минздрав, похоже, не был бы минздравом, если бы не отрезал….
Как некоторые, думаю, догадались, толку от ввода компов на Альт8 СП в домен оказалось не много: единственное, что это дало в практическом смысле, так это возможность использования доменных УЗ на компьютерах. И это даже кажется удобно….

У нас все для людей

Однако, как многие понимают, аутентификация Windows на ОС Linux не работает, следовательно ни о какой прозрачной аутентификации на сетевых ресурсах, например файловых серверах, речи быть не может. Если с компьютера на Альт8 СП попрбовать зайти в сетевую папку, пользователь получает окно ввода учетных данных для файлового сервера. Даже, если вход в систему выполнен с доменной учетной записью. В итоге для работы с сетевыми ресурсами приходится запоминать логин и пароль доменной учетной записи в системе. Тогда требование ввода логина и пароля не будет появляться каждый раз при обращении к сетевой папке, например. Но пароли необходимо менять каждые 3 месяца, следовательно после смены пароля пользователь вновь получит требование логина и пароля при обращении к сетевой папке. Мало того, что это неудобно как пользователям, так и администраторам, так оно еще и неправильно с точки зрения информационной безопасности….

Кстати говоря, в Альт8 СП нет возможности смены пароля доменной УЗ, поэтому для смены пароля пользователям приходится заходить на специальную веб-страницу, что-то вроде личного кабинета. Для сравнения, в Windows пароль можно сменить нажав Ctrl+Alt+Del и в появившемся меню выбрать “сменить пароль”.

Таким образом, рабочие станции на Альт8 СП хотя и введены в домен, доверительные отношения между ними и доменом не установлены. Следовательно, взаимодействие между компьютером и доменом осуществляется в режиме «только чтение».

Гитары нет, возьмите нервы

Самым интересным оказался ЕМИАС (к слову, это обычное веб-приложение): он оказывается вроде как имеет возможность аутентификации Windows, но она не работает. Думаю, что Вы уже догадались почему…. Поэтому в ЕМИАС используются собственные учетные записи, логины которых стараются делать идентичными  логинам доменных УЗ. Чем, в конечном итоге, создают путаницу у пользователей: одни пытаются с учетной записью ЕМИАС авторизоваться в Альт8 СП, а другие пытаются с доменной учетной записью авторизоваться и в Альт8 СП, и в ЕМИАС. В итоге и сами нервничают, потому что у них, по известной причине, ничего не получается, и админов тоже заставляют изрядно понервничать.

Безопасность – наше все

Думаете, что на этом все несуразие и абсурд заканчивается? – Спешу разочаровать. Многострадальный ЕМИАС, фактически, работает только по протоколу НТТР, безопасный HTTPS не работает, хотя и задекларирован.

Что получилось в итоге?

В итоге получился полный зоопарк операционных систем, а домен Windows лишен подавляющего большинства своих преимуществ. А итоговая топология сети не выдерживает никакой критики, она полна абсурда и несуразия.

Как было бы лучше?

На мой взгляд, вернее всего было бы использовать повсеместно ОС Windows, которая привычнее для большинства людей. А ЕМИАС и другие веб-приложения перестроить на использование Windows-аутентификации.

Вместо логинов и паролей, которые необходимо менять раз в 3 месяца, которые в добавок ко всему имеют свойство забываться (а некоторые их и вовсе записывают на бумажке, которую кладут рядом с компьютером, либо приклеивают к монитору), можно было бы использовать электронные подписи, записанные на USB-токены или смарт-карты, тем более что в настоящее время их выдают большинству сотрудников.

Такие меры повысили бы общую информационную защищенность сети, одновременно с обеспечением максимального удобства как для пользователей, так и для администраторов.