1 / 41

Rollbaserad Säkerhet med GPO

Rollbaserad Säkerhet med GPO. Marcus Murray. Innehåll. Säker domändesign Härdning av servrar med Rollbaserad säkerhet Härdning och anpassning av klienter. Delegering av administration. En Default installerad Windows Server 2003/XP/W2K. Tjänster. Portar.

lars-rollins
Download Presentation

Rollbaserad Säkerhet med GPO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Rollbaserad Säkerhet med GPO Marcus Murray

  2. Innehåll • Säker domändesign • Härdning av servrar med Rollbaserad säkerhet • Härdning och anpassning av klienter. • Delegering av administration

  3. En Default installerad Windows Server 2003/XP/W2K Tjänster Portar Vägar in i datorn för bjudna och objudna! Blaster  C$ Default shares Sniffa inloggningar Fysisk access

  4. ”Sid History” Attack Koncept Färdiga verktyg ”Sid History” Filtrering Använd endast mellan externa trust Configureras med Netdom En forest är en ”Security Boundary” Forest Root Domain Tree Domain Tree Domain Domain Domain Domain Domain Domain Domain Forest

  5. SidHistory Offline Editor (sidhistory.exe) • Hur det fungerar: • Get the SID for a user in the target domain. • Reboot a domain controller in Directory Restore mode. • Backup NTDS.DIT (optional but recommended). • Run SHEdit. • Delete all LOG, EDB and CHK files from the %SYSTEMROOT%\NTDS folder. If you used the %SYSTEMROOT%\NTDS folder as your temporary folder then the tool cleaned up all these files for you. • Perform an authoritative restore of the AD database if you have multiple domain controllers. This will replicate the change to the other controllers. • Reboot the server. You should have the desired access on the target domain. • Use the ClearSIDHistory.vbs script to delete the SID History attribute.

  6. Så vad gör vi… Alt 1) • Lev med det • Acceptera att varje Domain Admin är en potentiell Enterprise Admin • Acceptera att alla som har exklusiv fysisk access till en DC är en potentiell Enterprise Admin • Begränsa ovan till personer med högsta tillförlitlighet, skapa system och regelverk som styr över exklusiv fysisk access till DC. Alt 2) • Designa om AD • Varje Domain migreras till en egen forest. • Använd MIIS el dyl. för att replikera den globala katalogen. • Filtrera SidHistory mellan Forests (Default i W2Ksp4 och WS2003)

  7. Härdning av servrar med Rollbaserad säkerhet

  8. Windows Server 2003 Security Guide

  9. Rollbaserad administration med Windows Server 2003 Security Guide • 3 olika scenarion för att passa alla typer av företag • Testad, implementerad och beprövad • Väl dokumenterad • Lätt att tillämpa

  10. Windows Server 2003 Security Guide - 3 Scenarion Windows 2000 Proffessional Windows XP Hårt Nedlåst för hög säkerhet HIGH SECURE ENTERPRISE LEGACY Windows 2000 Proffessional Windows XP Windows 98 NT4 Workstation

  11. Windows Server 2003 Security Guide - 3 Scenarion Windows 2000 Proffessional Windows XP Hårt Nedlåst för hög säkerhet HIGH SECURE ENTERPRISE LEGACY Windows 2000 Proffessional Windows XP Windows 98 NT4 Workstation

  12. Rollbaserad OU-struktur Domain Domain Controllers File Servers Member Servers Print Servers IAS Servers CA Servers Web Servers Infrastructure Servers

  13. Domain.inf File.inf File Servers GPO Domain Incremental GPO Rollbaserad OU-säkerhet med GPO och .inf-filer Domain Incremental GPO Domain Controllers.inf Domain Print.inf Domain Controllers Print Servers GPO File Servers IAS.inf Member Servers IAS Servers GPO Print Servers CA.inf CA Servers GPO IAS Servers Web.inf Member Servers GPO Web Servers GPO CA Servers Infra.inf Infrastructures Servers GPO Web Servers Member.inf Infrastructure Servers

  14. Rollbaserad Administration med Delegering Domain Engineering Domain Operations Domain Controllers File Servers Member Servers Print Servers IAS Servers Enterprise Admins CA Servers Web Servers Web Services Infrastructure Servers

  15. Summering Rollbaserad Säkerhet - Koncept Member Servers.inf Member Servers GPO File Servers.inf Domain File Servers GPO Member Servers File Servers File Server-SE01

  16. Samma koncept går att applicera på Windows 2000…

  17. Whitepaper: Securing Windows 2000 Server Domain Domain Controllers File & Print Servers Member Servers Infrastructure Servers Web Servers Finns på: go.microsoft.com/fwlink/?LinkId=14838

  18. OBS! Ej att förväxla med:Whitepaper: Windows 2000 Security Hardening Guide Domain Domain Controllers Stand-alone server Member Servers Stand-alone Workstation Member Laptop Clients Member Workstation Finns på: www.microsoft.com/downloads

  19. Samma koncept går att applicera med Exchange….

  20. Rollbaserad Säkerhet - Exchange 2000 Server Exchange Domain Controllers incremental GPO Domain Domain Controllers File Servers OWA Servers Member Servers Exchange Servers Exchange Back-end Servers IAS Servers CA Servers Web Servers Infrastructure Servers Finns på: www.microsoft.com/downloads

  21. Samma koncept går att applicera på XP klienter….

  22. Whitepaper: Windows XP Security Guide Domain Stand-alone Laptop Secured XP Users OU Stand-alone Desktop XP Laptop OU Windows XP OU XP Desktop OU Finns på: www.microsoft.com/downloads

  23. Group Policy Common Scenarios Using GPMC Appstation Kiosk Domain Highly Managed Multi-user Users Taskstation Lightly Managed Mobile Appstation Kiosk Highly Managed Multi-user Computers Taskstation Lightly Managed Mobile

  24. Ett annat Whitepaper som hör till….

  25. Whitepaper: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP Länk go.microsoft.com/fwlink/?LinkId=15160

  26. Delegering av Administration

  27. Vad är risken med att inte begränsa behörighet?

  28. DC En illasinnad Root domain Anonym användare En illasinnad x Legitim användare Legitim användare En illasinnad Nätverks Resurs Data admin DC En illasinnad En illasinnad Service admin Fysisk åtkomst x.y

  29. Skapa en struktur för Delegerad administration • Förstå alla aspekter och behov av att managera AD • Utred vem som skall kunna göra vad, definiera roller. • Skapa en modell för delegering som säkerställer att all administration av AD innefattas. • Implementera en modell för delegering med effektivitet och säkerhet i fokus. Tillämpa principen ”minsta möjliga privilegier och rättigheter” • Underhåll modellen för delegering kontinuerligt, och gör modifieringar så att den stödjer alla administrativa behov.

  30. Exempel på delegerad behörighet – inloggning • Skall användare Bob kunna logga på från användare Alice dator? • Skall en vanlig användare kunna logga på en administratörs vanliga dator? • Är det bra att en domainadmin loggar på användare Bobs dator för att installera ett program? • Är det någon risk med att en domänadministratör loggar in på en vanlig användares dator?

  31. Idéer om delegerad behörighet – inloggning • Endast den som skall kunna logga på lokalt mot en viss dator bör ha rättigheten ”log on locally” • Behörig användare, lokal administratör • Endast den som skall kunna ansluta till en viss dator via nätverket bör ha rättigheten: ”access this computer from the network” • Se till exempel till att det lokala administratörskontot har deny! • Se till exempel till att lokala tjänstekonton har deny! • Undvik att ge domänkonton påloggningsmöjligheter om du kan lösa det med lokala konton • Local Service, Network Service, etc..

  32. Exempel och idéer om delegerad behörighet –inloggning Allow Logon through Terminal Services Deny Logon through Terminal Services Access this computer from the network Deny access to this computer from the network Logon locally Deny logon locally

  33. Exempel och idéer om delegerad behörighet – Administration klientdatorer, Administration servrar Local Admin Fileservers Local Admin Admincomputers Local Admin Computers B Local Admin Webservers Local Admin Computers A Fileservers OU Admin Computers OU OU B Webservers OU OU A

  34. Kontrollera Strukturen och säkerställ: • Att endast de delegerade administratörerna kan utföra tilldelade uppgifter • Att de delegerade administratörerna endast kan utföra de uppgifter som tilldelats dem och ingenting utöver detta.

  35. Exempel • En supporttekniker skall kunna nollställa lösenord. • Men absolut inte för Domänadminsitratörerna • En Administratör skall kunna Skapa datorkonton i En OU. • Men absolut inte kunna skapa användarkonton

  36. Whitepaper:Best Practices for Delegating Active Directory Administration • Konceptuell dokumentation om strategi och metodik för att implementera rollbaserad administration • Innehåll: • Chapter 1: Delegation of Administration Overview • Chapter 2: How Delegation Works in Active Directory • Chapter 3: Delegating Service Management • Chapter 4: Delegating Data Management • Case Study: A Delegation Scenario

  37. Best Practices for Delegating Active Directory Administration - Administrativa roller

  38. Whitepaper:Best Practices for Delegating Active Directory Administration - Appendices • Konkret information om hur vilka rättigheter som krävs för genomförandet av en uppgift, hur man konfigurerar roller, har man arbetar med olika verktyg för delgering etc. • Exempel på innehåll: • Appendix A: Active Directory Administrative Tasks • Appendix G: Active Directory Delegation Tools • Appendix L: Implementing Service Management Delegation Roles • Appendix M: Service Management Delegation Role Definitions • Appendix N: Default Active Directory Service Administrator Groups • Appendix O: Active Directory Delegation Wizard File

  39. Lägga till nya tasks i ”Delegation of Control Wizard” • Kopiera %systemroot%\inf\Delegwiz.inf till Delegwiz.inf.old • Modifiera %systemroot%\inf\Delegwiz.inf • Alt 1: Klipp/klistra från whitepaper: Best Practices for Delegating Active Directory Administration: Appendices • Alt 2: Följ instruktionen i KB: “HOW TO: Customize the Task List in the Delegation Wizard” http://support.microsoft.com/default.aspx?scid=kb;en-us;308404

  40. Ta bort Delegerade tasks: • Alt 1) Ta bort rättigheterna manuellt • Man måste veta exakt vilka rättigheter som tilldelats vid skapandet av denna task. • Ev. använd SubinACL • Alt 2) Ta bort och återskapa Gruppen. • Ibland enklare • Kräver att du har fullgod dokumentation över gruppens tasks/rättigheter.

  41. Slut 

More Related