Nowości Active Directory – 2012 R2 – wprowadzenie.

10 marca 2015 at 08:50

Chociaż Windows Server 2012R2 na naszych serwerach gości już stosunkowo długi czas, to wiele organizacji dopiero teraz realnie myśli o przejściu ze starszych wersji systemów operacyjnych na Windows Server 2012R2. Kluczowym pytaniem zawsze jest „co zyskamy dzięki Windows Server 2012 R2?”. Rozważmy to oczywiście w kontekście Active Directory. Proponuję mini-cykl o nowościach Active Directory na poziomie funkcjonalności 2012 R2.

Cześć I – Wprowadzenie

Wprowadzone zmiany można podzielić na kilka zasadniczych grup:

  1. Poprawione bezpieczeństwo.

Mimo, że usługi Active Directory są bardzo bezpieczne, to inżynierowie Microsoftu znaleźli jeszcze kilka miejsc, które mogły być potencjalnie niebezpieczne oraz kilka, które dzięki zmianom stały się jeszcze bezpieczniejsze.

  • Ochrona pamięci LSASS.exe – dotychczas podstawową metodą ataków na konta Active Directory była iniekcja zapamiętanych hashy haseł do podsystemu zabezpieczeń systemu operacyjnego. LSASS.exe jako integralna część tegoż podsystemu zabezpieczeń był miejscem, skąd atakujący byli w stanie pobrać zapamiętane hashe haseł. Od czasu wprowadzenia Windows Server 2012 R2 udostępniona została ochrona pamięci, która pomaga również w usuwaniu zapamiętanych hashy haseł.
  • Chronione konta użytkowników – nowe Active Directory udostępnia nową grupę „Protected Users”, która może być wykorzystywana do ochrony wrażliwych i narażonych na ataki kont Active Directory. Między innymi konta takie mogą się uwierzytelniać tylko w sposób bezpieczny, a stare i mniej bezpieczne protokoły uwierzytelniania oraz szyfrowania zostają dla tych kont zdezaktywowane.
  • Zasady uwierzytelniania i silosy polityk uwierzytelniania – ta funkcjonalność rzuca nowe światło na bezpieczeństwo Active Directory. Jest znacznym ulepszeniem dostępnych wcześniej ograniczeń logowania użytkowników tylko do wybranych komputerów w domenie a dodatkowo daje możliwość zarządzania czasem życia kerberosowych biletów TGT i metod uwierzytelniania.

 

  1. Nowe możliwości zarządzania usługami katalogowymi
  • Powershell 4.0 – Nowa wersja Powershella, poprawione wcześniejsze mankamenty, dodanych kilkanaście nowych poleceń w stosunku do Windows 2012 oraz znaczny przeskok w stosunku do Windows 2008 R2.
  • Active Directory Administrative Center – możliwość śledzenia historii wykonywanych zadań z GUI, które są „tłumaczone” na Powershell’a
  • Active Directory Recycle Bin z GUI – możliwość przeglądania i zarządzania w trybie graficznym (od Windows 2012)

 

  1. BYO(D)
  • Workplace Join – nowa funkcjonalność działająca na zasadach znacznie różniących się od Direct Access’a. W gruncie rzeczy jest implementacją usług federacji opartych na kontroli dostępu „calim-based”.
  • Claims-based authentication – zapewnienie spójnych standardów bezpieczeństwa wykorzystywanych do uwierzytelniania użytkowników na urządzeniach.

 

  1. Inne udogodnienia
  • Zwiększona pojemność tokena kerberosa (od Windows 2012) – z 12k do 48k.
  • Dynamic Access Control (od Windows 2012) – funkcjonalność umożliwiająca kontrolowanie dostępu do plików w sposób automatyczny bazując np. na klasyfikacji plików czy centralnych zasad dostępu do zasobów.

 

Jak widać już na samym wstępie Active Directory z każdym kolejnym wydaniem mocno się rozwija. Ważne by być z tymi nowinkami na bieżąco – wiedzieć do czego służą, jak działają i kiedy można ( a kiedy nie) z nich skorzystać.

W kolejnych częściach tegoż mini-cyklu poszczególne pozycje zostaną omówione bardziej szczegółowo.