Você está na página 1de 28

Delegaciones Remotas: Read-Only Domain Controller Administracin: Auditora, Backup/Recovery

Seguridad: Polticas de contraseas granulares

Active Directory Domain Services


Reemplaza a Active Directory

Active Directory Lightweight Directory Services


Reemplaza a Active Directory Application Mode o ADAM

Roles de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS Se administran centralmente a travs del Server Manager

Server Core
Opcin de instalacin mnima del Servidor Menor superficie de ataque debido a los pocos componentes instalados

Delegaciones

Seguridad

Administracin

Desafos de las delegaciones remotas


Los administradores se enfrentan a los siguientes desafos a la hora de desplegar Controladores de Dominio en una delegacin remota
El DC se coloca en una localizacin fsica insegura El DC tiene una conexin de red poco fiable con el HUB El personal de la delegacin tiene pocos conocimientos o permisos para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o Los Domain Admins delegan privilegios al personal de la delegacin

Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podran iniciar sesion o acceder a recursos de red si la WAN falla

Solucin segura de Delegacin remota


Robar el RODC Por defecto, no se cachean secretos RO PAS evita la replicacion de datos al RODC Base de datos de solo lectura Replicacin Unidireccional Separacion de roles para reducir el acceso al AD

El atacante puede

Comprometer el RODC

Interceptar las credenciales

Menor superficie de ataque para los DCs de delegaciones remotas


Por defecto, no hay contraseas de usuarios o equipos almacenadas en un RODC El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC Estado de Solo lectura con replicacin unidireccional del AD y FRS/DFSR Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptogrficas propias y distintas La delegacin del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte va TS al RODC Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNS Los RODCs tienen cuentas de estacin de trabajo
Server Core RODC

No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio

Admin Role Separatio n

Los RODC son totalmente compatibles con Server Core

Secure Appliance DC

Modelos de Despliegue
Infraestructura de Directorio Activo
Delegacin (RODC) Delegacin (RODC)

Cuando usarlos
Precupaciones en torno a la seguridad y al coste de gestin de los DCs de las delegaciones remotas Necesidades locales de acceso a recursos si falla la WAN

Read-Only

Data Center (Hub)


Writeable

Delegacin (RODC)

Internet DMZ

Cuando no:
Como reemplazo de un DC tradicional con todas sus funciones en uso

Read-Only

Modelos de Administracin recomendados


Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo adems la autenticacin rpida y la aplicacin de polticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesin

La mayor parte de las cuentas cacheadas


A Favor: facilidad en la gestin de contraseas. Para entornos en los que es ms importante la administrabilidad que la seguridad. En contra: Ms contraseas expuestas potencialmente por el RODC

Solo una pocas contraseas cacheadas


A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los dems En Contra: Requiere una administracin granular ms fina
Mapear equipos por delegacin Requiere buscar manualmente el atributo Auth2 para identificar las cuentas

Como Funciona

Cacheo de secretos en el primer inicio de sesin


1. AS_Req enviado al RODC (TGT request) 2. RODC: No tiene las credenciales de este usuario 3. Reenva la peticin al DC del Hub 4. El DC del Hub autentica la peticin

DC en el Hub
4 5 7

Read Only DC
3 2

5. Devuelve la peticin de autenticacin y el TGT al RODC

6. El RODC da el TGT al usuario y encola una peticion de replicacin de los secretos


7. El DC del Hub comprueba la poltica de replicacin de contraseas para ver si la contrasea puede ser replicada

Hub

Delegacin
1

Lo que ve el atacante

Perspectiva del Administrador del Hub

Despliegue paso a paso


Como desplegar un RODC a partir de un entorno de Windows Server 2003
1. 2. 3. 4. 5. 6. 7. ADPREP /ForestPrep ADPREP /DomainPrep Promover un DC con Windows Server 2008 Verificar que los modos funcionales del forest y del dominio son 2003 Nativo ADPREP /RodcPrep Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes Promover el RODC
No especfico de un RODC

Especfico de un RODC

Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promocin/promocin

Delegar la promocin de un RODC


Pre-crear la cuenta del RODC

Especificar los parmetros del RODC Asignar la mquina al slot del RODC

Promocin "Install-from-media
NTDSUtil > IFM Durante la creacin del RODC IFM:
Los Secretos se eliminan La base de datos DIT se defragmenta para ahorrar espacio en disco

Delegaciones

Seguridad

Administracin

Sin reiniciar el servidor, ahora se puede:


Aplicar parches de los DS Realizar una desfragmentacin offline

Un servidor con los DS parados es similar a un servidor miembro


NTDS.dit est offline Puede iniciarse sesin local con la contrasea del Modo de Recuperacin del Directorio Activo (DSRM)

Nuevos eventos de cambios en el AD


Los Event logs dicen exactamente:
Quien hizo el cambio Cundo se hizo el cambio Que objeto/atributo fue cambiado Los valores inicial y final
Event ID Event type Event description 5136 Modify This event is logged when a successful modification is made to an attribute in the directory. This event is logged when a new object is created in the directory. This event is logged when an object is undeleted in the directory. This event is logged when an object is moved within the domain.

5137

Create

5138

Undelete

La auditora esta controlada por


Poltica global de auditora SACL Schema

5139

Move

Windows Server Backup (wbadmin.exe)


NTBackup est descontinuado Nueva tecnologa Block-Level, basada en imgenes Backup/recovery del System State por lnea de comandos Debe hacerse a una particin diferente Recuperacin del System State en DSRM (auth & non-auth)
Dedicated Backup Volume

Database Mounting Tool (dsamain.exe)


DSAMain.exe tambin funciona con BBDD DIT offline
Restaurar un backup a otra localizacin y luego montarlo

Prctica recomendada: Planificar NTDSUtil.exe para sacar snapshots de AD DS/LDS regularmente

Mejoras en Active Directory users and Computers (ADUC)


Por defecto, Prevent container from accidental deletion est marcado cuando se crea una OU Prctica recomendada: Marcar Prevent object from accidental deletion para objetos importantes

Backup/Recovery Objeto/OU existentes Nueva unidad Organizativa

Backup/Recovery
Permite a los administradores elegir la copia de seguridad disponible ms apropiada
NTDSUTIL.EXE Saca SnapShots de DS/LDS via VSS DSAMAIN.EXE Expone las snapshots como servidores LDAP LDP.EXE Ver datos de solo lectura de DS/LDS

La herramienta NO restaura objetos


Ahora: Herramienta + tombstone reanimation + LDAP Post-WS08: Undelete?

Delegaciones

Seguridad

Administracin

Introduccin
Permite una administracin granular de las contraseas y polticas de bloqueo dentro de un dominio Las polticas pueden aplicarse a:
Usuarios Grupos Globales de Seguridad

Requerimientos
Windows server 2008 Domain Mode No requiere cambios en los clientes

No hay cambios en los valores de las configuraciones propiamente dichos


P.e., no hay nuevas opciones para controlar la complejidad de las contraseas

Pueden asociarse mltiples polticas al usuario, pero solo una prevalece.

Escenarios de uso
Diseadas para utilizarse en escenarios en los que existan diferentes requerimientos de seguridad y negocio para ciertos conjuntos de usuarios Ejemplos
Administradores Configuracin estricta (las contraseas expiran a los 14 das) Cuentas de servicios Configuracin moderada (las contraseas expiran a los 14 das, diferente umbral de bloqueo, longitud mnima de 32 caracteres) Usuario Avanzado Configuracin relajada (las contraseas expiran a los 90 das)

Se prevn un mximo de 3 y 10 polticas para la mayor parte de los despliegues


No hay lmite tcnico conocido al numero de polticas que es posible aplicar

Funcionamiento
PSO Resultante = PSO1
Precedencia= 10

Password Settings Object

PSO 1

Se aplica a

PSO Resultante = PSO1

Precedencia= 20

Password Settings Object

Se aplica a

PSO 2

Paso a Paso

Identificar conjuntos de usuarios en la organizacin

Formular la politica de contraseas correspondiente a cada uno de los difrenetes grupos de usuarios

Crear grupos que reflejen dichos conjuntos de usuarios

Crear PSOs que reflejen las politicas que se han concebido

Aplicar las PSOs a los grupos de usuarios correspondientes

Delegar la administracin

Administracin
Recomendacin: Administracin basada en grupos
Delegar la modificacin de la membresa del grupo

Esta caracterstica puede ser tambin delegada


Por defecto, solo los Administradores de Dominio pueden:
Crear y leer PSOs Aplicar una PSO a un grupo o usuario

Permisos
Operacin a Delegar Crear y borrar PSOs Permisos Delegados En el PSC: Create all child objects Delete all child objects En el PSO: Write

Aplicar PSOs a usuarios/grupos

El Rostro de Windows Server est cambiando.


Descbrelo en www.microsoft.es/rostros