Как посмотреть свои права в домене

Обновлено: 30.06.2024

Для тех, кто внимательно следит за судебными делами по доменным спорам в российских арбитражных судах, давно не вызывают удивление следующие моменты:

  • иски по доменным спорам часто подаются в связи с нарушениями (по мнению истцов) интеллектуальных прав;
  • в качестве ответчиков часто выступают физические лица, не являющиеся ИП. Почему так? Зачастую ответ простой: такие лица являются (или являлись) администраторами доменных имен, ставших объектом судебных конфликтов. Забегая вперед, сразу отмечу, что в России уже много дел, по которым таких администраторов признавали ответственными за нарушения интеллектуальных прав истцов и присуждали выплачивать таким истцам компенсации значительного размера (нередко свыше 500 тыс. руб.).

Поскольку количество доменных споров не уменьшается, а физические лица все также продолжат быть привлеченными к участию по делам такой категории, предлагаю разобраться, когда и за какие действия человек может быть привлечен к ответственности в делах по доменным спорам.

Немного терминологии

Вначале давайте определимся с терминологией данного материала. В отечественной судебной практике уже дано определение, кого признавать администратором доменного имени:

Таким образом, администратором домена может быть физическое лицо, ИП или юридическое лицо.

Там, где есть администратор, есть и администрирование доменного имени. Давайте определимся и с этим термином: "Администрирование обычно включает в себя: обеспечение функционирования сервера, поддержание сайта в работоспособном состоянии и обеспечение его доступности; осуществление резервного копирования компонентов сайта и параметров настройки баз данных, иные виды работ" (решение Арбитражного суда города Москвы от 3 ноября 2011 года по делу № А40-73876/2011, решение Арбитражного суда города Москвы от 28 мая 2012 г. по делу № А40-25696/2012).

Таким образом, суд признает, что администрирование доменного имени – это совокупность следующих действий:

  • обеспечение функционирования сервера;
  • поддержание сайта в работоспособном состоянии;
  • обеспечение доступности сайта;
  • осуществление резервного копирования компонентов сайта;
  • осуществление резервного копирования параметров настройки баз данных;
  • иные виды работ.

Кроме того, опираясь на решение Арбитражного суда г. Москвы от 26 мая 2014 г. по делу № А40-188267/2013, можно дополнительно выделить также следующие действия и операции:

  • обеспечение функционирования сервера, на котором располагается сайт;
  • проведение организационно-технических мероприятий по защите информации на сайте от несанкционированного доступа;
  • осуществление инсталляции программного обеспечения, необходимого для функционирования сайта, в т. ч. в случае аварийной ситуации;
  • регистрация сотрудников, обслуживающих сайт, и предоставление права на изменение информации на сайте;
  • проведение регламентных работ на сервере (замена или дополнение компонентов сайта, ведение log-файлов архивных копий, контроль наличия свободного табличного пространства базы данных и др.);
  • обеспечение размещения информации на сайте;
  • осуществление постоянного мониторинга за состоянием системы безопасности сервисов, необходимых для корректной работы приложения и информации на сайте;
  • выполнение работ по модернизации и доработке функциональных сервисов сайта;
  • внесение изменений в структуру и дизайн сайта.

Тем самым, можно говорить о том, что администрирование доменного имени включает в себя целый спектр работ и действий, призванных обеспечить нормальное функционирование Интернет-сайта или сервиса как работающей информационной системы. Именно администратор создает необходимые технические условия для появления на сайте различных материалов, их изменению и их удалению (блокировке) оттуда.

Система регистрации доменных имен устроена таким образом, что администратором доменного имени в реестре записей о владельцах доменных имен может быть указано только одно лицо. При этом, доменное имя фактически может администрироваться и большим количеством лиц (например, если администратор домена привлекает третье лицо для администрирования доменного имени по договору возмездного оказания услуг).

Правовой статус администратора доменного имени

Далее давайте определим, какой правовой статус у администратора доменного имени согласно сложившейся судебной практики.

"Администратор доменного имени определяет порядок использования домена, несет ответственность за выбор доменного имени, возможные нарушения прав третьих лиц, связанные с выбором и использованием доменного имени, а также несет риск убытков, связанных с такими нарушениями" (решение Арбитражного суда города Москвы от 3 ноября 2011 года по делу № А40-73876/2011).

То есть, практика признает, что администратор не только определяет порядок использования домена, но и несет ответственность как за выбор доменного имени (при его последующей регистрации им), так и за возможные нарушения прав третьих лиц, относимые к такому доменному имени. Кроме того, администратор также несет риск убытков, связанных с такими нарушениями.

Примечательны и следующие выводы судебной практики:

"В соответствии с Правилами регистрации доменных имен в домене RU администратор домена как лицо, заключившее договор о регистрации доменного имени, осуществляет администрирование домена, то есть определяет порядок использования домена. Право администрирования существует в силу договора о регистрации доменного имени и действует с момента регистрации доменного имени в течение срока действия регистрации." (решение Арбитражного суда города Москвы от 20 января 2015 г. по делу № А40-178919/2014).

"Фактическое использование ресурсов сайта, на котором размещена информация, невозможно без участия в той или иной форме владельца (пользователя) домена, владеющего паролем для размещения информации по соответствующему доменному имени в Интернет-сайте" (решение Арбитражного суда Приморского края от 4 июля 2018 г. по делу № А51-4335/2018).

"Администратор домена обладает полномочиями, позволяющими ему формировать и контролировать информацию, размещаемую под соответствующим доменным именем, в частности, паролем для размещения информации по соответствующему доменному имени в интернет-сайте. Таким образом, ответственность за содержание информации на сайте администратора домена должен нести владелец домена, так как фактическое использование ресурсов сайта невозможно без участия в той или иной форме администратора домена, являющегося лицом, создавшим соответствующие технические условия для посетителей своего Интернет-ресурса" (решение Арбитражного суда города Москвы от 15 января 2015 г. по делу № А40-93262/2014).

"Право администрирования существует в силу договора о регистрации доменного имени и действует с момента регистрации доменного имени в течение срока действия регистрации" (решение Арбитражного суда Тверской области от 27 декабря 2017 г. по делу № А66-3737/2017).

"Администратор домена обладает полномочиями, позволяющими ему формировать и контролировать информацию, размещаемую под соответствующим доменным именем, в частности, паролем для размещения информации по соответствующему доменному имени в Интернет-сайте" (решение Арбитражного суда г. Москвы от 26 мая 2014 г. по делу № А40-188267/2013).

Как видим, суды уделяют пристальное внимание правовому статусу администратора доменного имени, обозначают его роль, определяют критерии наступления ответственности. Это говорит о том, что исследование судами роли администратора спорного доменного имени (а порой и установление его личности) – один из ключевых вопросов при рассмотрении всего дела в целом. Именно квалифицированная оценка судом роли администратора спорного доменного имени позволяет установить, был ли в его действиях или бездействиях состав правонарушения, должен ли он быть привлечен к делу в качестве ответчика или соответчика, полагается ли возложить на него ответственность (в том числе, и материального характера) за нарушение прав истца.

Для наглядности предлагаю ознакомиться с небольшой подборкой дел из базы данных Kardamon.Dm, в которых физические лица были привлечены к ответственности по делам о доменных спорах, так как они были администраторами спорных доменных имен и нарушили интеллектуальные права третьих лиц. В этой таблице также указаны размеры компенсаций, которые суд обязал выплатить таких ответчиков в пользу истцов.

Домены – объекты споров

Реквизиты дел

Размеры присужденных судом компенсаций 1 (руб.)


Представь, что кто-то проводит атаку на корпоративную сеть Windows. Вначале у злоумышленника либо мало привилегий в домене, либо их вовсе нет. Поэтому искать учетные записи и службы он будет без повышенных привилегий, то есть не от имени администратора домена или локального администратора. О том, как производится разведка в среде Active Directory, мы и поговорим.

Рассмотренные в данной статье примеры применимы для следующих версий Windows: 7, 8, 10, Server 2008, Server 2012 и Server 2016; другие не проверяли. Также для работы примеров в системе должен быть PowerShell с указанными модулями.

Другие статьи про атаки на Active Directory

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи.

Сканирование SPN

Когда нужно повысить привилегии, злоумышленники обычно используют учетные записи служб, поскольку у таких учеток больше прав, но нет строгой политики смены пароля через заданный промежуток времени. То есть если скомпрометировать их, то потом можно долго оставаться незамеченным.

Service Principal Names (SPN) — идентификаторы служб, запущенных на доменной машине. Не зная их, ты не сможешь искать службы, которые используют проверку подлинности Kerberos.

SPN-строка имеет такой формат:

  • Serviceclass — строка, которая идентифицирует класс службы, например ldap — идентификатор для службы каталогов;
  • Hostname — строка, где указывается полное доменное имя системы, а иногда и порт;
  • Servicename — строка, которая представляет собой уникальное имя (DN), GUID объекта или полностью определенное доменное имя (FQDN) службы.

SPN уникальный в пределах леса. Когда компьютер добавляют в домен, у его учетной записи автоматически указывается host SPN, что позволяет службам на этой машине запускаться из-под локальных учетных записей, таких как Local System и Network Service.

Сканирование SPN — это первое, что обычно делает злоумышленник или пентестер при поиске служб в среде Active Directory. Основное преимущество этого метода по сравнению со сканированием сетевых портов в том, что не требуется взаимодействие с каждым узлом сети для проверки служебных портов. Сканирование SPN позволяет обнаружить службы с помощью запросов LDAP к контроллеру домена. Так как запросы SPN — нормальное поведение проверки подлинности Kerberos, этот способ сканирования обнаружить очень сложно (даже почти нереально), в отличие от сканирования портов.

Выполнить сканирование SPN можно с помощью скрипта на PowerShell.

Результат работы скрипта для серверов Microsoft SQL

Результат работы скрипта для серверов Microsoft SQL

Наиболее интересные службы:

Хочу поделиться с тобой и еще одним интересным скриптом, который покажет тебе все SPN для всех пользователей и всех компьютеров.

Результат работы cкрипта — список SPN

Результат работы cкрипта — список SPN

Сбор данных

Общие ресурсы

В среде Active Directory часто используются сетевые папки и файловые серверы. Эти команды отобразят список общих ресурсов на локальном хосте, список сетевых компьютеров и список шар на удаленном компьютере:

Но что делать, если политика безопасности запрещает использовать сетевые команды? В этом случае нас выручит wmic . Список общих ресурсов на локальном хосте и список общих ресурсов на удаленном компьютере можно посмотреть с помощью команд

Полезный инструмент для поиска данных — PowerView. Он автоматически обнаруживает сетевые ресурсы и файловые серверы с помощью команд Find-DomainShare и Get-DomainFileServer .

Кстати, PowerView встроен в фреймворк PowerShell Empire и представлен двумя модулями:

  • situational_awareness/network/powerview/share_finder ;
  • situational_awareness/network/powerview/get_fileserver .

Продолжение доступно только участникам

Кратко о доменных именах и правах

По международному и законодательству РФ все доменные имена должны иметь владельца .

Владелец доменного имени имеет право использовать его по своему усмотрению в рамках действующего законодательства и несет всю полноту отвественности за неё (деятельность). Дальнейшую юридическую казуистику опустим. Это то, что должен знать каждый о доменах.

Покупая домен мы должны сами управлять им. Но по факту мы привязаны к глобальным регистраторам и управляем доменными именами через них.

Владельцем домена может быть физическое или юридическое лицо.

Важно. Домен оформленный не на ваше имя = не ваш домен!

Кто может получить доступ к домену

К домену доступ получить может только владелец домена. Все иные представители являются посредниками при работе с доменом и должны действовать согласну воли владельца.

Важно понимать, что технический специалист (например вебмастер которому вы поручили сделать сайт) может управлять только техническими данными домена. Изменить владельца домена может только владелец.

Владельца домена можно узнать из WHIOS.

Что такое WHIOS

Это запись в реестре о владельце и основных данных по доменному имени. Вот WHIOS для этого сайта.

- Хостинг. У какого хостинга на данный момент домен припаркован.

- Данные о владельце (в данном случае они скрыты).

- Даты истечения срока регистрации.

Где лежит домен

Сейчас открою страшную тайну. Домен вообще нигде не лежит. Домен это всего лишь запись в глобальных DNS серверах. Прочитать что такое DNS можно в моей статье по ссылке (откроется в новой вкладке). Там же рассказал и про частоту его обновления. Так вот эта запись содержит информацию уже где сайт лежит и как до него добраться.

Как управляется домен

Управление осуществляется через регистраторов. Владелец домена заходит в панель регистратора под своим именем и паролем. Указывает адрес где лежит его сайт, который он "подвязывает" к своему имени. Адрес может быть задан явно, если сайт крутиться на своем компьютере с выделенным IP адресом. Или адрес задается не явно, например, прописывается хостинг, который сам уже осуществляет связь между именем и сайтом.

Как восстановить доступ к домену

Только владелец имеет право управлять доменным именем. Это ключевое. Алгоритм восстановления доступа следующий:

2. Пишем письмо в службу поддержки с просьбой восстановить доступ к домену.

В процессе переписки потребуется подтвердить ваши права на имя (запрашивают паспортные данные и еще разные бумаги в зависимости от ситуации).

3. По результатам получаем доступ в контрольную панель, где может управлять доменным именем (прописывать хостинг, продлять его).

В ряде случаев получаем вместо доступа отправку к представители, через который приобретался домен. С представителем так же вступаем в переписку и получаем права на управление.

Когда домен освобождается

Домены покупаются на определенный срок. Обычно год. После истечения срока и не продления регистрации имя замораживается на 30 дней. После 30 дневного "отстоя" доменное имя освобождается. В течение 30 дней после окончания регистрации владелец имеет право его продлить. Освобожденное имя может зарегистрировать любой желающий.

Как сменить владельца домена

Для передачи домена другому лицу нужно согласие как текущего владельца, так и будущего.

Процесс передачи имен идентичен процессу купли-продажи автомобиля. В данном случае у нас регистратор выполняет роль ГИБДД, который регистрирует отношения.

Регистратор требует бумажное обоснование смены владельца. Бумаги могут быть разные. Напишу свой опыт.

Передавал оформленный на меня домен. Регистратор потребовал:

1. Заверенное нотариусом письмо о том, что я добровольно и сознательно передаю права.

2. Копии бумаг по списку.

3. Какие-то документы от будущего владельца.

После получения всех документов имя переходит под нового администратора (владельца). Причем технические характеристики не изменяются. Их изменяет в личном кабинете уже новый владелец при необходимости.

Получился ликбез по доменным именам. Если остались вопросы - задавайте в комментариях.

Помог материал - поставьте лайк, оставьте комментарий. Это поможет и другим пользователям интернета найти решение аналогичной проблемы.

Предоставление разрешения на присоединение компьютеров к домену

Создание новой учетной записи компьютера в оснастке Active Directory Users and Computers (ADUC)
Экран 1. Создание новой учетной записи компьютера в оснастке Active Directory Users and Computers (ADUC)

Создание новой учетной записи компьютера с помощью Active Directory Administrative Center (ADAC)
Экран 2. Создание новой учетной записи компьютера с помощью Active Directory Administrative Center (ADAC)

С помощью кнопки Change в средствах ADUC и ADAC графического интерфейса вы предоставляете набор разрешений на объект-компьютер. Далее я покажу, каким образом можно назначить разрешения вручную, а затем мы рассмотрим сценарий PowerShell для автоматизации процесса.

Предоставление разрешения на присоединение вручную с помощью графического интерфейса

Ниже последовательно описан процесс предоставления разрешений на присоединение учетной записи компьютера с консоли ADUC вручную.

Назначение разрешений на подсоединение компьютера к домену в графическом интерфейсе
Экран 3. Назначение разрешений на подсоединение компьютера к домену в графическом интерфейсе

Ручное назначение разрешений на присоединение компьютера с помощью кнопки Change или вкладки Security — медленный процесс с высокой вероятностью ошибок. Поэтому давайте посмотрим, как можно его автоматизировать с помощью сценария PowerShell.

Сценарий Grant-ComputerJoinPermission.ps1

Я подготовил сценарий Grant-ComputerJoinPermission.ps1 (см. листинг), чтобы предоставить четыре необходимых разрешения (см. экран 3) для одной или нескольких учетных записей компьютеров. Синтаксис сценария следующий:

Параметр -Name задает имена одной или нескольких учетных записей компьютеров. Имя параметра (-Name) можно опустить, если разместить имена учетных записей компьютеров на второй позиции в командной строке сценария. Этот параметр принимает входные данные конвейера, поэтому имя параметра тоже следует опустить, если имена компьютеров передаются в сценарий через конвейер. Данный параметр не поддерживает подстановочные знаки.

Параметр -Credential указывает учетные данные, имеющие право назначать разрешения учетным записям компьютеров. Вы можете использовать этот параметр, если выполнили вход с учетной записью, не имеющей достаточных прав для предоставления разрешений учетным записям компьютеров.

Поведение параметров -WhatIf и -Confirm — такое же, как у команд PowerShell: -WhatIf указывает, какие действия выполняет сценарий, в то время как эти действия не совершаются, а -Confirm запрашивает подтверждение перед выполнением любого действия.

Примеры команд

1. Предоставить учетной записи kendyer разрешение для присоединения компьютера pc1 к домену:

2. Предоставить учетной записи kendyer разрешение для присоединения списка компьютеров к домену:

В этом примере файл Computers.txt содержит список имен компьютеров (по одному на строку). PowerShell покажет вносимые изменения из-за параметра -Verbose.

3. Предоставить учетной записи kendyer разрешение для присоединения компьютера pc1 к домену с использованием альтернативных учетных данных:

В этом примере команда Get-Credential запрашивает учетные данные, и PowerShell использует учетные данные, введенные в параметре -Credential (скобки вокруг Get-Credential обязательны).

4. Создать новую учетную запись компьютера и предоставить учетной записи kendyer разрешение для присоединения к домену:

В этом примере команда New-ADComputer создает объект-компьютер и выводит его с использованием параметра -PassThru. Затем объект-компьютер выводится в сценарий Grant-ComputerJoinPermission.ps1, который предоставляет учетной записи kendyer разрешение для присоединения компьютера к домену.

5. Создать список учетных записей компьютеров в подразделении и предоставить учетной записи lynndyer разрешение на их присоединение к домену:

Читайте также: