1 / 26

Windows 2008 Active Directory

Windows 2008 Active Directory. Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community ragnar@crayon.no. Agenda. Oversikt over Active Directory Sikkerhetsmessige endringer Read-Only Domain Controllers Administrative endringer. Active Directory.

manju
Download Presentation

Windows 2008 Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows 2008Active Directory Ragnar Harper Crayon asSenior konsulent & rådgiver Medlem av Microsoft Speaker Community ragnar@crayon.no

  2. Agenda • Oversikt over Active Directory • Sikkerhetsmessige endringer • Read-Only Domain Controllers • Administrative endringer

  3. Active Directory Windows Server 2008 Sikkerhet (spesielltavdelingskontor) Bedreadministrasjon Reduserekostnader Windows Server 2003 Bedreadministrasjon Enklereutrulling Windows Server 2000 Nettverkskatalogtjeneste med markedetsstørstebredde

  4. Fokus Avdelinger Administrasjon Sikkerhet

  5. 1.Logging 2.Passordpolicy Sikkerhet

  6. Logging • Eventloggenforteller deg nå: • Hvemutførteendring • Nårbleendringenutført • Hvilketobjekt/attributtvarendret • Verdierførogetter • Loggingenkontrolleresav: • Global audit policy • SACL • Schema

  7. Passordpolicy • Ulikenivåeravpassordkrevesavulikebrukergrupperibedriften: • For eksempel • Administrator brukere • Strengekrav (passordlengde 20 tegn, bytteshver 30 dag) • Service accounts • Ulikekrav (utestengtetter 2 feil,passordlengde 32 tegn) • Vanligebrukere • Normalekrav (Passordlengde 10 tegn, bytteshver 45 dag)

  8. Passordpolicy • Kan nåkoblestil: • Brukere • Globalesikkerhetsgrupper • Kan IKKE koblestil: • Maskinobjekter • Brukeresom IKKE ermedlemidomenet • Organizational Units

  9. Passordpolicy • Flerepolicyerkankoblestilsammebruker • Girprioritettil den somskalbenyttes • Krav for bruk: • Alledomenekontrolleremåkjøre Windows Server 2008 • Windows Server 2008 Domain Functional Mode • Ingenendringerpåklient

  10. Avdelinger Read Only Domain Controller

  11. Read-Only Domain Controller Det handler om: Mindresårbarhetsoverflate!

  12. Read-Only Domain Controller • Reduserefarenvedstjåletdomenekontroller • Standard er at ingenbrukere/maskinerspassorderlagretpå en RODC • “Read-only Partial Attribute Set” beskytterpassordfra å replikerestil RODC • Mindresårbarhetsoverflate for en kompromittertdomenekontroller • “Read-only” med enveisreplikering for AD og FRS/DFSR • Slettingav SYSVOL på RODC replikeresikkevidere • Hver RODC har sin egen KDC KrbTGTkontosomtilbyrsepareringavkryptografisknøkkel • Delegeringav DCPROMO rettigheterredusererbehovet for domene administrator for installasjon/administrasjon • Windows Server 2008 domenekontrollereregistrerer SRV I DNS påvegneav RODC for å unngå DNS pollution • RODCs tilsvarervanligemaskinerfra et Active Directory perspektiv • Erikkemedlemmerav Enterprise-DC eller Domain-DC gruppene • Begrensetadgangtil å skrivei AD

  13. Read-Only Domain Controller • Benyttes: • Nårsikkerhetskraveneelleradministrasjonsbehovetikketillatterskrivbaredomene-kontrollere • …mensdetfortsatterbehov for selvstendighethvis for eksempel WAN linken faller ned • Benyttes IKKE : • Som en erstatning for vanligedomenekontrollere

  14. Read-Only Domain ControllerUtrulling fra et Server 2003 miljø • ADPREP /ForestPrep • ADPREP /DomainPrep • Installer en Windows Server 2008 DC • Sjekk at “Forest Functional Mode” er Win2k03 • ADPREP /RodcPrep • Verifiser at alledomenekontrollereerkompatible • Installer RODC Ikke RODC spesifikt RODC spesifikt Note: You can’t convert a Full DC to RODC or vice versa without a demotion\re-promotion

  15. Password replikeringvedførstepålogging Read-Only Domain Controller ForespørselsendttilRODC (forespørsel for TGT) • RODC: Sjekkeri DB “Jegharikkedennebrukerenshemmeligheter…" Videresendertildomenekontroller Domenekontrollerautentisererforespørsel Returnererautentiseringog TGTtilbaketil RODC RODC gir TGT tilbrukerenogkøer en replikeringsforespørsel for dennebrukerensinformasjon Domenekontrollerensjekker “Password Replication Policy” for å verifisere at passordetkanreplikerestil RODC Merk: Pådettetidspunktetharbrukeren en domenekontrollersignertTGT

  16. Read-Only Domain Controller • Passordsomerreplikerttil RODC lagrestilpassordetendres • Deteringenmekanisme for å fjernepassordetuten å endredet • Vedpassordendringvilpassordetreplikerespånyttvedførstepåloggingsforsøkavbrukeren/maskinen • Deterusynlig for brukerenompassordeterpå RODC, (såfremtikkelinkentilrestenavdomenekontrollernefeiler) • Klienterprosesserer logon scripts og Group Policy fra en RODC uansettompassordblir cachet derellerikke • Outlook kanbenytte RODC GC for adressebokoppslag • LDAP søkbenytter RODC • Hvislinjatildomenekontrollernegårnederdet kun brukerne med cachet passordpå RODC somkanloggepå, andreklienterutfører “cached logons” somomdomenekontrollerikkeertilgjenglig.

  17. Read-Only Domain Controllers Password Replication Policy – administrative modeller • Ingenpassord cachet(default) • +: Sikreste, tilbyrraskautentiseringoglokalprosesseringav group policy • -:Linjetildomenekontrollerpåkrevet for pålogging • Flestepassord cachet • +: Enkelvedlikeholdavpassord. Beregnetpå de somharbehov for den administrative modellen med RODC,ogikkenødvendigvissikkerheten • -:Flerepassordeksponertpå RODC • Fåpassord (lokasjonsspesifikk) cachet • +: Tilbyradgang for de somkreverdet, ogmakssikkerhet for de andre • -:Administrasjon • Krever at vi koblermaskinenetilhverlokasjon • Måbenytte Auth2 attributt listen til å manuelltidentifiserekontoer, eventuelltbenytte ILM for automatisering • En utvidetRepadminer under utviklingsomvilautomatisereflyttingfra Auth2 til Allow

  18. Read-Only Domain Controller • DNS • Domeneog forest DNS sonerpå en RODC er “read-only” • Klientenemottar en DNS referral vedregistrering • RODC forsøker å replikere kun den oppdaterterecordenumiddelbart • Kompabilitet • Noenklienterkankreveoppdateringer (KB artikkelplanlagt)

  19. Read-Only Domain ControllerPartial attribute set • Problem • Applikasjonerlagrer sensitive data i Active Directory. Hvis en RODC blirstjåletkandettemedføresikkerhetslekkasjer • Løsning • Sensitiv data replikeresikketil RO-PAS • Likedansom “Global Catalog Partial Attribute Set”, er RO-PAS et utvalgavattributtersomreplikerestil RODC • Spesifiseresi Schema ogerdynamisk(opprydding/leggetilnye) • Merk • RO-PAS erikketenkt for administratorer men for applikasjonsutviklere. • Applikasjonenmåvite at attributtenkanværefiltrertbort

  20. Read-Only Domain ControllerAdmin role separation • Problem • For mange behøver “Domain Admin” rettigheter • Flesteavdisse DA eregentlig server administratorer(patch management, osv) • Løsning • Tilbyr en ny “lokal admin” nivåadgangtil RODC • Inkludererinnebygdegrupper (Backup Operators..osv) • Beskytter mot tilfeldigeendringeri AD avserveradministrator • En ektesikkerhetsegenskapved Read-only DC

  21. Delegertinstallasjonav RODC

  22. Domenekontroller som en tjeneste Snapshot Administrasjon

  23. Domenekontroller som en tjeneste • Domenekontroller kjøres nå som en tjeneste • Du kan utføre offline defagmentering uten restart! • Tilsvarer member server nårtjenestenerstoppet: • NTDS.dit er “offline” • Kan loggepålokalt med DSRM passordet

  24. Snapshot • Lar deg velgebackupmetodensom passer deg: • Best Practice: Automatiserjevnlig snapshot med NTDSUtil.exe (for eksempelhvernatt) • MERK: INGEN mulighet for restore • Dagensløsning: Verktøy+ tombstone reanimation + LDAP • Senere(>WS08): Ser påmuligheter for Undelete

  25. Spørsmål? • www.microsoft.no/technet • www.harper.no/blogs/ragnar

More Related