Учетные записи безопасности SharePoint - Учетные записи безопасности и ключи учетных данных
ОГЛАВЛЕНИЕ
Учетные записи безопасности и ключи учетных данных
Так что такого насчет учетной записи центрального администрирования? В первую очередь, в отличие от стандартных учетных записей пула приложений, учетная запись центрального администрирования имеет доступ к месту в реестре, где хранится ключ учетных данных для дешифровки паролей учетной записи безопасности.
На рис. 7 показан этот параметр и его установки безопасности по умолчанию. Как можно увидеть, локальные администраторы, группа WSS_RESTRICTED_WPG (содержащая учетную запись центрального администрирования) и учетная запись SYSTEM имеют доступ к этому ключу, а это предполагает, что веб-приложениям SharePoint не следует использовать учетные записи с правами локальных администраторов, учетную запись центрального администрирования или учетную запись SYSTEM. У веб-приложений SharePoint не должно быть возможности получить доступ к ключу учетных данных.
Рис. 7. Выделения разрешений для доступа к ключу реестра FarmAdmin
Увы, это не значит, что умелый взломщик не сможет определить CredentialKey или пароли учетных записей безопасности, скажем, через перехват маркера SYSTEM, взлом пароля или просто путем размещения вредоносного кода на основных страницах или страницах содержимого для экспортирования ключа учетных данных в незащищенное место и последующего ожидания доступа к веб-узлу пользователя с правами локального администратора. Как можно увидеть, важно не допускать на серверы непроверенного кода.
Материалы по SharePoint
- Веб-узел «Продукты и технологии SharePoint»
- Технический центр Windows SharePoint Services TechCenter
- Центр разработчиков Windows SharePoint Services Developer Center
- Блог группы «Продукты и технологии Microsoft SharePoint»
Перехват маркера SYSTEM заслуживает более подробного объяснения, поскольку эту форму атаки можно предотвратить, избегая использования встроенных учетных записей системы, таких как запись сетевой службы, для веб-приложений SharePoint. Эта уязвимость была обнаружена Цезарем Церрудо (Cesar Cerrudo), основателем и директором компании Argeniss и он продемонстрировал способ воспользоваться ею на конференции по глубинным вопросам безопасности HITBSecConf2008 в Дубаи, Объединенные Арабские Эмираты. Он показал, как веб-приложение ASP.NET работающее под управлением учетной записи сетевой службы, может внедрить DLL в службу удаленного вызова процедуры (RPC) и затем перехватить маркер безопасности потока в службе RPC, работающей на уровне привилегий SYSTEM.
После этого злоумышленнику достаточно передать перехваченный маркер SYSTEM методу WindowsIdentity.Impersonate для получения доступа к параметру реестра CredentialKey и другим защищенным ресурсам. Корпорация Майкрософт подтвердила эту уязвимость, так что следует избегать использования учетной записи сетевой службы для веб-приложений SharePoint.