Windows 2000 Active Directory beveiligingslek

Eagleman schrijft: "Sommigen zullen dit weer 'moddergooien' noemen, maar je zult toch maar verantwoordelijk zijn voor de Active Directory security issues. Novell besteedt op haar NDS-propanda pagina's aandacht aan het 'zoveelste bezwaar' dat het tegen Active Directory heeft ontdekt":

The Problem

While Active Directory supports the capability to block inherited access rights, a security flaw exists whereby a blocked administrator can effectively remove this block, thus enabling access to sensitive corporate assets. This security issue was duplicated on multiple Windows 2000 Servers in different configurations. All Windows 2000 servers were running Build 2195, the final release of the Windows 2000 operating system.

If a general administrator uses the "Active Directory Users and Computers" administrative utility to attempt to access information in a hidden organizational unit" that information is not available. This is to be expected.

However, if they select another organizational unit first and select its security tab and then go to the "hidden organizational unit" they can not only see the security settings but can also manage security rights. It appears that simply viewing another object in Active Directory allows access to the blocked object. At this point the general administrator can actually grant other objects rights to this section of the network and then set inherited permissions back on - which effectively allows a method for simple future access and hides the fact that entrance had been gained.

This flaw is not caused by any domain-related groups, such as the built-in "Domains Admins" group because this security hole works even when the "Domains Admins" group is specifically added to the Payroll department with DENY rights.

The Concern

Here is the million dollar question - is this a bug in the "Active Directory Users and Computers" utility, or is this a problem in Active Directory ? At first glance it certainly appears that this is a bug in the administrative utility, since certain steps taken in the administrative utility suddenly bypass security. However, if this is true, this is VERY DANGEROUS, as it means that it is the utility that enforces security, rather than the directory itself. If decisions about Active Directory security are a function of the client-side utility or application and are not necessarily enforced at the back-end Active Directory server any malicious programmer could user the same access to create a client-side utility that did not enforce security and thus bypass Active Directory security.

Alternatively, if the flaw exists in the directory itself it demonstrates the lack of security architecture necessary to provide an enterprise-ready directory.

Door Femme Taken

UX Designer

Feedback • 15-02-2000 08:03 55

15-02-2000 • 08:03

55

Bron: Novell.com

Lees meer

Windows 2000 'area 51'
Windows 2000 'area 51' Nieuws van 31 maart 2000
Novell releast NDS eDirectory voor Linux
Novell releast NDS eDirectory voor Linux Nieuws van 14 maart 2000
Software

Reacties (55)

-Moderatie-faq
55
55
20
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 15 februari 2000 08:43
Wat ik zo begrepen heb uit alle MS seminars en de MSDN, dan is Active Directory in feite niks anders dan een database waarin zo'n beetje alles wordt opgeslagen wat met het netwerk, groepen en gebruikers heeft te maken (vergelijk met NDS van Novell). In principe zouden dan de lees-/schrijfrechten middels de API's van het OS geregeld moeten worden, en mogen dus NOOIT in de bovenliggende applicatie liggen.
Mij lijkt het dus eerder een fout in het OS dan in de utility.
JeroenB 15 februari 2000 09:29
Ik vind het een beetje heel erg fout dat tweakers.net zich nu verlaagt tot het posten van andermans FUD om Microsoft omlaag te halen.

Wat betreft "het probleem":

- Als je zo'n situatie laat ontstaan dan heb je je AD verkeerd opgezet, want je plaatst "sensitive corporate assets" dan op een wel heel stomme locatie.
- Novell claimt dat ze het kunnen reproduceren op: "This security issue was duplicated on multiple Windows 2000 Servers in different configurations." Ja *DUH* ik kan ook "multiple Novell servers" configureren en die 1 voor 1 op hun bek laten gaan. Lukt me met Linux servers ook en met welk anders systeem ook.

Conclusie: Novell is zo ontzettend bang voor Microsoft dat ze nu om hun FUD kracht bij te zetten de meest belachelijke situaties creeeren alleen maar om hun eigen produkt er beter uit te laten zien. Nou, als dat ervoor nodig is om het er enigzins goed uit te laten komen: ik hoef die Novell-rotzooi niet meer.
JeroenB 15 februari 2000 10:41
Onno: je moet niet proberen informatie in AD te verbergen voor een AD General Administrator :) Dat is een organisatorische fout.
Verwijderd 15 februari 2000 11:05
..."ik hoef die Novell-rotzooi niet meer"...

Nee, das verstandig.
Ga maar lekker over op Windows 2000 en zie wat er dan gebeurt.
Het is toch allemaal modder smijten, Microsoft doet dat, Novell doet dat, Sun doet dat en zelfs Linus laat zich nog wel eens ertoe verlijden.

Het is juist leuk dit soort dingen, het maakt het hele IT gebeuren nog een beetje sappig en het geeft je wat om over te praten.
En kom nou, iedereen weet dat Novell vele malen beter is qua beveiliging en stabiliteid dan NT of Windows 2000...das appels met peren vergelijken.
Verwijderd 15 februari 2000 11:11
Maarrrr, jeroenB

Als je een general Administrator account tijdelijk uit zet, omdat je bv een sec. lek vermoed, maar het account niet wil weggooien (not guilty until proven :) ) dan werkt dat dus niet, want de Administrator kan zichzelf weer enabelen. Je moet dus of het account weggooien (wat in een NT-omgeving niet leuk is om te doen, want je kunt het account niet zomaar weer aanmaken) of het wachtwoord veranderen oid.)
Nou kan het zijn dat ik helemaal fout zit (Ik heb nog geen enkele AD gezien) dus correct me if I'm wrong :) maar het lijkt wel een legitiem iets om een Admin account tijdelijk te blocken.
Maarja, helemaal zeker weten doe ik het dus niet.
Is dit bericht dan FUD en moet tweakers.net dit dus niet verspreiden ??? Hmmm. Als het echt een fout in AD is, is het geen FUD. Als MS dit altijd zo heeft bedoeld, dan lijkt het mij raar dat Novell dit bericht heeft geplaatst. (FUD dus, maarja, MS is de koning der FUD-ers, en daar is ook al heel wat van op tweakers geplaatst)
Plaatsen dus :)
Verwijderd 15 februari 2000 13:47
FUD is gratis advertentie ruimte. Niemand geloofd toch win2000 is stabieler dan Sun? Eindelijk begint Novell te begrijpen dat flinke uitspraken op het web je gratis advertentie geven. M-schoft doet dat de hele tijd. Iedereen weet nu zoa wat w2000 kan, en alleen door er een verkoop hype van te maken. Dit soort FUD is niet bedacht om feiten te staven, het is om aandacht te trekken. Daarom zitten wij er hier over te chatten. Het effect is dat iedere malloot (lees directeur) die wil gaan automatiseren meteen vraagt of ie windhoos krijgt aan zijn automatiserings mensen. En dat verkoopt. Want als de baas windhoos wil, krijgt ie windoos.

Zo werken ook de cursussen van windhoos. Je kunt ze makkelijk halen, en dus zijn er veel windoos systeembeheerders, en due willen windoos, en dus wordt er meer verkocht. Want wie heeft er nou met meer systemen gewerkt? Dat zijn er niet zo veel.

Als ik mocht kiezen zou ik altijd NDS en zen gebruiken, maar windoos als applicatieserver (tenzij er geld is voor sparc).

dat denk ik ervan

hc
JeroenB 15 februari 2000 14:21
Onno: Ik vind OpenBSD geen add-on produkt. Hoewel, ik heb geen enkele ambitie om het ooit op een desktop (naast mijn ontwikkelbak) te installeren. Sommige operating systems lenen zich beter voor de desktop dan anderen. Maar los daarvan: Novell is natuurlijk ook een OS, maar als je kijkt naar wat ze de laatste jaren gemaakt hebben, dan is dat geen onafhankelijke bouw meer, maar gewoon aan Windows hangen en hard meerijden. Tja, daar komt nou eenmaal een eind aan.

Active Directory is een prachtige service die vooral in een ontwikkelomgeving bijzonder welkom is: als een collega een nieuwe versie van een (COM-based) component compileert en ik zit net een stukje van mijn software te testen die dat component gebruikt, dan wordt automatisch de update op mijn systeem gedaan. Biedt NDS zo'n service? Nee. Kan NDS zo'n service bieden met dezelfde hoge mate van integratie als AD? Nee, want het is nog altijd een extern process: ik moet dus altijd allemaal tools installeren (meer code=meer kans op bugs) om dat werkend te krijgen.

Los van de Novell discussie (en niet tegen Onno dus :)) verbaas ik me erover hoeveel mensen zo extreem fundamentalistisch zijn in hun instelling dat Unix de oplossing voor alle problemen is. Ik zit geregeld in Unix-kernels te wroeten en ik kom voornamelijk 30 jaar oude code tegen waarop de laatste 20 jaar niks innovatiefs meer is toegepast. Tegelijkertijd heeft Windows een binair objectmodel, thread/object-based security, integrated directory service en nog een flinke bak andere features die we in geen enkele Unix-variant tegenkomen. Ik ben zelf ook geen aanhanger van monopolies als die van MS, maar ik denk niet dat vooroordelen de wereld zullen veranderen: Windows2000 is een erg goed produkt.

Als je dus wilt dat Windows verdwijnt en Linux (of whatever je voorkeur heeft) het OS van de toekomst wordt: pak je computer en werk eraan mee. Microsoft gaat echt niet ten onder aan slap geouwehoer van mensen die zogenaamd weten hoe het wel moet.
Onno 15 februari 2000 14:48
</div><div class=b4>Ik vind OpenBSD geen add-on produkt.</div><div class=b1>
Kun je dit ook proberen uit te leggen? Waarom is NetWare het wel, en OpenBSD niet?

</div><div class=b4>maar als je kijkt naar wat ze de laatste jaren gemaakt hebben, dan is dat geen onafhankelijke bouw meer, maar gewoon aan Windows hangen en hard meerijden.</div><div class=b1>
Wat is een server? Een server is een computer die diensten verleent aan andere computers. Niet meer, niet minder. Stel nou eens dat 90% van de computers een bepaald OS draait, is het dan niet logisch om ook specifieke diensten voor dat OS aan te bieden? Lijkt mij wel.
Verder is het niet zo dat Novell alleen maar een beetje enhancements voor Windows in elkaar zit te knutselen.
Ik heb hier een NetWare server staan die naast ZEN en NDPS uitgerust is met een webserver, FTP server, DNS server, NFS server+gateway, NIS server, Oracle 8i, IBM WebSphere, 'n streaming media server, een hele mooie mailserver, nou ehh... is dat allemaal specifiek voor Windows? Dacht 't niet. Verbreed je horizon eens wat.
Daarnaast is NDS natuurlijk ook te gebruiken voor andere platforms dan Windows.

</div><div class=b4>Biedt NDS zo'n service? Nee.</div><div class=b1>
Ja, en we noemen het ZEN.

</div><div class=b4>Kan NDS zo'n service bieden met dezelfde hoge mate van integratie als AD? Nee, want het is nog altijd een extern process: ik moet dus altijd allemaal tools installeren (meer code=meer kans op bugs) om dat werkend te krijgen.</div><div class=b1>
Ja duh... Jij zit IE ook als intern en Netscape als extern proces ofzo?
(hoe meer _MS_ code=hoe meer kans op bugs }> )

</div><div class=b4>verbaas ik me erover hoeveel mensen zo extreem fundamentalistisch zijn in hun instelling dat Unix de oplossing voor alle problemen is.</div><div class=b1>
Ik ook. De hele dag met Unix werken doet mij soms heel erg naar Windows verlangen...

</div><div class=b4>Als je dus wilt dat Windows verdwijnt en Linux (of whatever je voorkeur heeft) het OS van de toekomst wordt: pak je computer en werk eraan mee. </div><div class=b1>
Ben druk aan het coden... :)
JeroenB 15 februari 2000 15:47
Onno: ik ben het met je eens dat Netware per definitie niet een add-on produkt is. Wat ik echter bedoelde (en wellicht een beetje krom onder woorden bracht) is dat het door de allergrootste groep gebruikers wel zo wordt gezien en gebruikt. Veel mensen gebruiken Netware als extra "tooltje" voor hun netwerk en niet als full-blown serverplatform, terwijl dat het waarschijnlijk wel is.

OpenBSD wordt ook door 80% van de gebruikers gebruikt om als firewall te fungeren op een 486. Voor die 80% is het dus een add-on produkt. Voor mij is het dat echter niet.

En wat ZEN aangaat: wat doet ZEN precies? Want ik heb een tijdje terug Novell zelf gemailed met de vraag of ze informatie hadden over zo'n systeem voor Novell en daar wisten ze toen nog niks vanaf...
Loesje 15 februari 2000 16:46
ZEN kan een paar dingen: (is dit niet off_topic?)
oa:
- distributie van applicaties naar PC's. (er staat van een programma een image op de server, als een gebruiker dat programma wilt opstarten, kijkt zen of op desbetreffende PC de nieuwste versie van dat programma aanwezig is, zonee installeert hij dat op de PC, en start het vervolgens op. Zoja? Meteen draaien maar.
Het is zo ook mogelijk om bv. een register-setting op alle pc's te laten veranderen. (bv, tijdens inloggen)
- Remote control.
- Printer administration. (wijs aan een computer de printers aan die gebruikt mogen worden, installeer die printers ook op het systeem, en stel de standaard-printer in. Per Pc in te stellen.)
- Hardware inventory.

Er zijn meer mogelijkheden, en als ik iets mis, vul me maar aan/verbeter maar. Dit is zo even heel globaal uit mijn hoofd, waar ik zelf gebruik van maak.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq