Bezpečný informační systém, 6. díl – přístup k datům

  Microsoft Active Directory

Active Directory poskytuje jediné místo správy pro uživatelské účty, klienty, servery a aplikace na bázi Windows. Pomáhá také podnikům integrovat systémy nepoužívající Windows s aplikacemi pro Windows a se zařízeními kompatibilními s Windows, neboť slučuje adresáře a usnadňuje správu celého síťového operačního systému. Podniky mohou také Active Directory používat k bezpečnému rozšiřování systémů pomocí Internetu. Active Directory zvyšuje hodnotu dosavadních investic organizace vynaložených na sítě a snižuje celkové náklady na výpočetní techniku, neboť zajišťuje větší řiditelnost, bezpečnost a interoperabilitu síťového operačního systému Windows.

Základním prostředkem identifikujícím počítač v Active Directory je SID identifikátor (Computer Security Identifier). Jedná se o poměrně složitý řetězec znaků, který je vygenerován pro každého klienta Windows individuálně a jedinečně. Takto popsaný počítač je registrován administrátorem do informačního systému jako celku. Nelze jej tedy snadno nahradit jiným počítačem a data na něj například zkopírovat.

   Takto vypadá SID v praxi

Poznámka: Pro pochopení problému v tomto případě je nejprve nutné porozumět jak jsou jednotlivým uživatelským účtům na počítači předělována SID. SID lokálních účtů sestávají z počítačového SID a přidané RID (Relative Identifier – relativní identifikátor). RID startuje na pevné hodnotě a je zvětšováno o jedničku pokaždé když je vytvořen účet. Což znamená že druhý účet na počítači, například, bude mít to samé RID jako druhý účet na klonu. Výsledek je, že oba účty budou mít totožné SID.

Závěrem již jen připomeňme, že data mohou být ukládána i prostřednictvím UNIX řešení na šifrovaných ftp serverech. Výhodou tohoto řešení je jejich velmi snadná integrace do Internetu.