Red de conocimiento informático - Conocimiento informático - Ayúdame a traducir este artículo

Ayúdame a traducir este artículo

La autenticación debe manejarse cuidadosa y correctamente en una red porque la creación de redes implica autenticación, no sólo de personas, sino también de programas, servidores y servicios que sólo están vagamente vinculados a una persona. Y en cuanto a rendimiento y confiabilidad, considere el programa de certificación de Microsoft para su sistema operativo Windows a través de una red, donde los procesos de certificación y las bases de datos a menudo se distribuyen. En Windows NT 4.0, la base de datos de autenticación se distribuye entre varios controladores de dominio. Cada controlador de dominio se designa como controlador principal o de respaldo. Todos los cambios, validando así la base de datos, deben realizarse en el controlador de dominio principal y luego los cambios se replican desde el controlador de dominio principal al de respaldo.

En Windows 2000, ya no existe el concepto de controladores de dominio primarios y de respaldo. En cambio, los controladores de red actúan como árboles iguales en un bosque, en el que cualquier controlador de dominio puede actualizar la base de datos de autenticación. Este esquema refleja el concepto de Microsoft de que un sistema es un "multimaestro": sólo se puede dominar un controlador en un momento determinado, pero cualquier controlador puede ser maestro. Una vez que se cambian los maestros, se replican automáticamente en los controladores de dominio restantes en el bosque.

Esto es más flexible y sólido que el enfoque de primario a secundario, ya que permite que cualquier controlador se haga cargo, lo que es especialmente útil si uno o más controladores fallan o quedan fuera de servicio por algún motivo. Pero el enfoque multimaestro introduce nuevos problemas. Debido a que cualquier controlador de dominio puede iniciar cambios y, por lo tanto, autenticar la base de datos, cualquier pirata informático capaz de dominar el controlador de dominio puede autenticar la base de datos. , y lo peor es que este cambio se replica y luego se replica en el resto del bosque. En teoría, un hacker podría obtener acceso a cualquier cosa en el bosque que dependa únicamente de la autenticación de Windows 2000.

Cuando pensamos en hackers, normalmente pensamos en amenazas que provienen del exterior del sistema. Pero, de hecho, el método multimaster puede seducir a la gente, y lo mismo ocurre dentro del sistema. Los administradores de dominio de cualquier dominio del bosque pueden acceder a los controladores de dominio de ese dominio. Gracias al multimaster, los administradores de dominio también pueden modificar la base de datos de autenticación para obtener todo lo que está en el bosque.

Por este motivo, los administradores de sistemas deben considerar cómo definen los dominios y su separación dentro de una red. De lo contrario, podemos recordar escenarios aterradores pero posibles. Por ejemplo, digamos que un administrador de dominio es una manzana podrida. Encontró una manera de modificar la base de datos de autenticación para convertirse en administradora de todo el bosque. Luego podría acceder a cualquier dato después de que Ni Forest lo convirtiera en el servicio para algunos usuarios y lo desactivara para otros usuarios.