Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community

Liknende presentasjoner


Presentasjon om: "Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community"— Utskrift av presentasjonen:

1

2 Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community

3 Agenda Oversikt over Active Directory Sikkerhetsmessige endringer Read-Only Domain Controllers Administrative endringer

4 Active Directory Nettverkskatalogtjeneste med markedets største bredde Bedre administrasjon Enklere utrulling Sikkerhet (spesiellt avdelingskontor) Bedre administrasjon Redusere kostnader

5 Fokus Sikkerhet Administrasjon Avdelinger

6 Sikkerhet 1.Logging 2.Passordpolicy

7 Logging Eventloggen forteller deg nå: –Hvem utførte endring –Når ble endringen utført –Hvilket objekt/attributt var endret –Verdier før og etter Loggingen kontrolleres av: –Global audit policy –SACL –Schema

8 Ulike nivåer av passord kreves av ulike brukergrupper i bedriften: –For eksempel Administrator brukere –Strenge krav (passordlengde 20 tegn, byttes hver 30 dag) Service accounts –Ulike krav (utestengt etter 2 feil,passordlengde 32 tegn) Vanlige brukere –Normale krav (Passordlengde 10 tegn, byttes hver 45 dag)

9 Kan nå kobles til: –Brukere –Globale sikkerhetsgrupper Kan IKKE kobles til: –Maskinobjekter –Brukere som IKKE er medlem i domenet –Organizational Units

10 Flere policyer kan kobles til samme bruker –Gir prioritet til den som skal benyttes Krav for bruk: –Alle domenekontrollere må kjøre Windows Server 2008 –Windows Server 2008 Domain Functional Mode –Ingen endringer på klient

11 Avdelinger Read Only Domain Controller

12 Read-Only Domain Controller Det handler om: Mindre sårbarhetsoverflate!

13 Read-Only Domain Controller 1.Redusere faren ved stjålet domenekontroller Standard er at ingen brukere/maskiners passord er lagret på en RODC “Read-only Partial Attribute Set” beskytter passord fra å replikeres til RODC 2.Mindre sårbarhetsoverflate for en kompromittert domenekontroller “Read-only” med enveis replikering for AD og FRS/DFSR Sletting av SYSVOL på RODC replikeres ikke videre Hver RODC har sin egen KDC KrbTGT konto som tilbyr separering av kryptografisk nøkkel Delegering av DCPROMO rettigheter reduserer behovet for domene administrator for installasjon/administrasjon Windows Server 2008 domenekontrollere registrerer SRV I DNS på vegne av RODC for å unngå DNS pollution RODCs tilsvarer vanlige maskiner fra et Active Directory perspektiv Er ikke medlemmer av Enterprise-DC eller Domain-DC gruppene Begrenset adgang til å skrive i AD

14 Read-Only Domain Controller Benyttes: Når sikkerhetskravene eller administrasjons behovet ikke tillatter skrivbare domene- kontrollere …mens det fortsatt er behov for selvstendighet hvis for eksempel WAN linken faller ned Benyttes IKKE : Som en erstatning for vanlige domenekontrollere

15 Read-Only Domain Controller Utrulling fra et Server 2003 miljø 1.ADPREP /ForestPrep 2.ADPREP /DomainPrep 3.Installer en Windows Server 2008 DC 4.Sjekk at “Forest Functional Mode” er Win2k03 5.ADPREP /RodcPrep 6.Verifiser at alle domenekontrollere er kompatible 7.Installer RODC Ikke RODC spesifikt RODC spesifikt Note: You can’t convert a Full DC to RODC or vice versa without a demotion\re-promotion

16 Read-Only Domain Controller Password replikering ved første pålogging 2.RODC: Sjekker i DB “Jeg har ikke denne brukerens hemmeligheter…" 3.Videresender til domenekontroller 4.Domenekontroller autentiserer forespørsel 5.Returnerer autentisering og TGT tilbake til RODC 6.RODC gir TGT til brukeren og køer en replikeringsforespørsel for denne brukerens informasjon 7.Domenekontrolleren sjekker “Password Replication Policy” for å verifisere at passordet kan replikeres til RODC 1.Forespørsel sendt til RODC (forespørsel for TGT) Merk: På dette tidspunktet har brukeren en domenekontroller signert TGT

17 Passord som er replikert til RODC lagres til passordet endres Det er ingen mekanisme for å fjerne passordet uten å endre det Ved passordendring vil passordet replikeres på nytt ved første påloggingsforsøk av brukeren/maskinen Det er usynlig for brukeren om passordet er på RODC, (så fremt ikke linken til resten av domenekontrollerne feiler) Klienter prosesserer logon scripts og Group Policy fra en RODC uansett om passord blir cachet der eller ikke Outlook kan benytte RODC GC for adressebok oppslag LDAP søk benytter RODC Hvis linja til domenekontrollerne går ned er det kun brukerne med cachet passord på RODC som kan logge på, andre klienter utfører “cached logons” som om domenekontroller ikke er tilgjenglig.

18 Read-Only Domain Controllers Password Replication Policy – administrative modeller 1.Ingen passord cachet(default) +: Sikreste, tilbyr rask autentisering og lokal prosessering av group policy -: Linje til domenekontroller påkrevet for pålogging 2.Fleste passord cachet +: Enkel vedlikehold av passord. Beregnet på de som har behov for den administrative modellen med RODC,og ikke nødvendigvis sikkerheten -: Flere passord eksponert på RODC 3.Få passord (lokasjonsspesifikk) cachet +: Tilbyr adgang for de som krever det, og maks sikkerhet for de andre -: Administrasjon Krever at vi kobler maskinene til hver lokasjon Må benytte Auth2 attributt listen til å manuellt identifisere kontoer, eventuellt benytte ILM for automatisering En utvidet Repadmin er under utvikling som vil automatisere flytting fra Auth2 til Allow

19 Read-Only Domain Controller DNS Domene og forest DNS soner på en RODC er “read-only” Klientene mottar en DNS referral ved registrering RODC forsøker å replikere kun den oppdaterte recorden umiddelbart Kompabilitet Noen klienter kan kreve oppdateringer (KB artikkel planlagt)

20 Read-Only Domain Controller Partial attribute set Problem Applikasjoner lagrer sensitive data i Active Directory. Hvis en RODC blir stjålet kan dette medføre sikkerhetslekkasjer Løsning Sensitiv data replikeres ikke til RO-PAS Likedan som “Global Catalog Partial Attribute Set”, er RO-PAS et utvalg av attributter som replikeres til RODC Spesifiseres i Schema og er dynamisk(opprydding/legge til nye) Merk RO-PAS er ikke tenkt for administratorer men for applikasjonsutviklere. Applikasjonen må vite at attributten kan være filtrert bort

21 Read-Only Domain Controller Admin role separation Problem For mange behøver “Domain Admin” rettigheter Fleste av disse DA er egentlig server administratorer (patch management, osv) Løsning Tilbyr en ny “lokal admin” nivå adgang til RODC Inkluderer innebygde grupper (Backup Operators..osv) Beskytter mot tilfeldige endringer i AD av serveradministrator En ekte sikkerhetsegenskap ved Read-only DC

22 Delegert installasjon av RODC Forhåndsopprett RODC konto Parametre som maskinnavn og delegert administrator angis Knytter maskina opp som RODC

23 Administrasjon Domenekontroller som en tjeneste Snapshot

24 Domenekontroller som en tjeneste Domenekontroller kjøres nå som en tjeneste –Du kan utføre offline defagmentering uten restart! Tilsvarer member server når tjenesten er stoppet: –NTDS.dit er “offline” –Kan logge på lokalt med DSRM passordet

25 Snapshot Lar deg velge backupmetoden som passer deg: Best Practice: Automatiser jevnlig snapshot med NTDSUtil.exe (for eksempel hver natt) MERK: INGEN mulighet for restore Dagens løsning: Verktøy + tombstone reanimation + LDAP Senere(>WS08): Ser på muligheter for Undelete NTDSUTIL Ta VSS snapshot av DS/LDS DSAMAIN Start snapshot som LDAP egen tjeneste LDP Les “read-only” DS/LDS informasjon

26 Spørsmål?


Laste ned ppt "Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community"

Liknende presentasjoner


Annonser fra Google