CPasswords i zmiana haseł w GPO

27 stycznia 2015 at 07:07

Od czasu wprowadzenia GPP (Group Policy Preferences) automatyczna zmiana haseł kont lokalnych stała się prosta łatwa i przyjemna. Niestety przyszedł dzień 13.05.2014 i znaleziona (znana już wcześniej) „luka” bezpieczeństwa spowodowała, że Microsoft całkowicie wycofał się z możliwości zmiany haseł dla kont lokalnych z wykorzystaniem GPP… Co więcej nie dotyczyło to tylko nowych systemów operacyjnych, lecz wraz z zainstalowaniem którejś z kolejnych poprawek – wycięło tą możliwość również z już działających starszych systemów. O co tak naprawdę zrobiono tyle szumu? – Burza w szklance wody Przeanalizujmy z czego wynika zamieszanie: 1. Zarówno GPO jako i GPP są utrzymywane na zasobie SYSVOL w postaci plików konfiguracyjnych XML oraz towarzyszących im metadanych. 2. Aby móc pobrać i przetworzyć GPO lub GPP należy mieć do nich uprawnienia – uprawnienia z GPO są przenoszone na SYSVOL 3. Atrybut CPassword jest szyfrowany 32-bitowym AES’em i w takiej postaci jest zapisywany do pliku XML   Zatem zamiast zmienić szyfrowanie na bezpieczniejsze – Microsoft wyciął możliwość zarządzania hasłami lokalnymi w jakże prosty i intuicyjny sposób… Swoją drogą wystarczyło być świadomym administratorem i do GPO obsługującego hasła lokalne przyciąć uprawnienia jedynie dla stacji domenowych (odebrać uprawnienia odczytu i przetworzenia zasad użytkownikom) – dzięki czemu użytkownik w swoim imieniu nie […]

Synchronizacja czasu Active Directory

12 stycznia 2015 at 09:16

Synchronizacja czasu w lesie Active Directory jest jednym z najistotniejszych zagadnień wymagających zrozumienia i prawidłowego utrzymywania w celu zapewnienia poprawnego jej funkcjonowania. Od synchronizacji czasu zależy pośrednio między innymi możliwość poprawnego uwierzytelniania w domenie, więc de-synchronizacja czasu skutkuje naprawdę dużymi problemami… Często można się spotkać z pytaniami „po co synchronizacja czasu w domenie, skoro są zewnętrzne serwery NTP?”, „czemu pojawiają się problemy przy różnicach w czasie?” albo „po co się rozwodzić nad tematem skoro jest dostępny kontroler domeny utrzymujący rolę PDC, którą zawsze można przejąć?”. Aby znaleźć na nie odpowiedzi zacznijmy od przyczyny, dla której czas jest tak ważny w Active Directory. Otóż domyślnym protokołem uwierzytelniania w środowisku Active Directory jest Kerberos, który w procesie uwierzytelniania wykorzystuje znaczniki czasowe, które następnie są weryfikowane. Domyślnie maksymalna tolerancja różnicy czasowej, z którą taki pakiet uznany będzie za prawidłowy wynosi 5 minut. Jeśli różnica będzie większa, to pojawiają się poważne problemy… Warto nadmienić także, że Microsoft oficjalnie nie gwarantuje perfekcyjnej dokładności usługi czasu w swoich systemach operacyjnych, jednak niedokładność na poziomie kilku sekund jest w zupełności wystarczająca na potrzeby poprawnego działania uwierzytelniania z wykorzystaniem protokołu Kerberos. Jak działa sama synchronizacja czasu w lesie Active Directory? Trywialna odpowiedź brzmiałaby „w oparciu o rolę emulatora […]

Determinowanie celów zasad grup

6 stycznia 2015 at 14:21

Obiekty zasad grup – (GPO, ang. Group Policy Objects) mają na celu ułatwienie administratorom zarządzania, konfiguracji, monitorowania, wdrażania i wielu innych, codziennych, a jakże żmudnych czynności, gdy muszą one być wykonywane na dziesiątkach lub setkach hostów. Pozwalają na znaczne zwiększenie wydajności i bezpieczeństwa, przy jednoczesnym zmniejszeniu nakładów pracy, kosztów i czasu reagowania na zaistniałe sytuacje. Wyobraźmy sobie sytuację, że jesteśmy administratorem, który pod swoją opieką ma setki stacji klienckich i serwerów. Właśnie wychodzi istotne z biznesowego punktu widzenia zagrożenie, na które musimy zareagować, ewentualnie helpdesk przekazuje nam powtarzające się skargi użytkowników, na działanie ich systemów, związane z tymi samymi niedogodnościami. Oczywiście zareagować musimy natychmiast, jednak bez centralnego miejsca, z którego możemy zarządzać zmianami w systemach, czy instalacją oprogramowania, zmuszeni bylibyśmy do przejścia po wszystkich hostach i monotonnego powtórzenia setki razy, tych samych czynności – zgroza! Na szczęście Microsoft, już jakiś czas temu, dał nam do ręki potężny oręż, dzięki któremu jesteśmy w stanie szybciej i niezwykle wydajnie zarządzać naszym środowiskiem IT. Przyjrzyjmy się mu więc bliżej. Zasady grup są jedną z funkcjonalności systemu Windows, która umożliwia administratorom konfigurację i zarządzanie ustawieniami urządzeń oraz użytkowników, z wykorzystaniem centralnego punktu administracyjnego. Najbardziej elementarną częścią zasad grup jest pojedyncze ustawienie zasad grup, nazywane […]

© Marcin Krzanowicz