Nowości Active Directory – Protected Users

17 marca 2015 at 07:36

W części drugiej mini-cyklu o nowościach w Active Directory na poziomie funkcjonalności Windows Server 2012 R2 przedstawiam funkcjonalność użytkowników chronionych (Protected Users). Zacznijmy od wymagań aby móc skorzystać z tego dobrodziejstwa. Konieczne do spełnienia są następujące warunki: Rozszerzony schemat Active Directory do poziomu Windows Server 2012 R2 (wersja schematu – 69) Kontroler domeny pełniący rolę PDC pod kontrolą Windows’a Server 2012 R2 Plus dwa warunki dodatkowe: Poziom funkcjonalności domeny na poziomie Windows Server 2012 R2 – aby zapewnić pełną ochronę kontrolerów domeny Konieczność logowania na Windows 8.1* lub Windows Server 2012 R2 z uwierzytelnieniem na kontrolerze domeny pracującym pod kontrolą Windows Server 2012 R2 – aby móc w pełni wykorzystać oferowane rozwiązanie po stronie klienta oraz kontrolerów domeny. To tyle z wymagań formalnych – trochę dużo… ale można oczywiście nieco pokombinować i zrobić to w sposób wymagający mniejszego zachodu niż upgrade całego lasu Active Directory. Jako minimum – Rozszerzenie schematu AD, upgrade PDC do Windows 2012 R2 (lub wypromowanie na chwilę nowego kontrolera domeny na Windows 2012R2), transfer PDC na ten kontroler – replikacja danych na pozostałe kontrolery domeny i już mamy funkcjonalność Protected Users. Teraz można powrócić z PDC na wcześniejszy kontroler domeny i mieć nową funkcjonalność (co prawda […]

Nowości Active Directory – 2012 R2 – wprowadzenie.

10 marca 2015 at 08:50

Chociaż Windows Server 2012R2 na naszych serwerach gości już stosunkowo długi czas, to wiele organizacji dopiero teraz realnie myśli o przejściu ze starszych wersji systemów operacyjnych na Windows Server 2012R2. Kluczowym pytaniem zawsze jest „co zyskamy dzięki Windows Server 2012 R2?”. Rozważmy to oczywiście w kontekście Active Directory. Proponuję mini-cykl o nowościach Active Directory na poziomie funkcjonalności 2012 R2. Cześć I – Wprowadzenie Wprowadzone zmiany można podzielić na kilka zasadniczych grup: Poprawione bezpieczeństwo. Mimo, że usługi Active Directory są bardzo bezpieczne, to inżynierowie Microsoftu znaleźli jeszcze kilka miejsc, które mogły być potencjalnie niebezpieczne oraz kilka, które dzięki zmianom stały się jeszcze bezpieczniejsze. Ochrona pamięci LSASS.exe – dotychczas podstawową metodą ataków na konta Active Directory była iniekcja zapamiętanych hashy haseł do podsystemu zabezpieczeń systemu operacyjnego. LSASS.exe jako integralna część tegoż podsystemu zabezpieczeń był miejscem, skąd atakujący byli w stanie pobrać zapamiętane hashe haseł. Od czasu wprowadzenia Windows Server 2012 R2 udostępniona została ochrona pamięci, która pomaga również w usuwaniu zapamiętanych hashy haseł. Chronione konta użytkowników – nowe Active Directory udostępnia nową grupę „Protected Users”, która może być wykorzystywana do ochrony wrażliwych i narażonych na ataki kont Active Directory. Między innymi konta takie mogą się uwierzytelniać tylko w sposób bezpieczny, a stare […]

Synchronizacja czasu Active Directory

12 stycznia 2015 at 09:16

Synchronizacja czasu w lesie Active Directory jest jednym z najistotniejszych zagadnień wymagających zrozumienia i prawidłowego utrzymywania w celu zapewnienia poprawnego jej funkcjonowania. Od synchronizacji czasu zależy pośrednio między innymi możliwość poprawnego uwierzytelniania w domenie, więc de-synchronizacja czasu skutkuje naprawdę dużymi problemami… Często można się spotkać z pytaniami „po co synchronizacja czasu w domenie, skoro są zewnętrzne serwery NTP?”, „czemu pojawiają się problemy przy różnicach w czasie?” albo „po co się rozwodzić nad tematem skoro jest dostępny kontroler domeny utrzymujący rolę PDC, którą zawsze można przejąć?”. Aby znaleźć na nie odpowiedzi zacznijmy od przyczyny, dla której czas jest tak ważny w Active Directory. Otóż domyślnym protokołem uwierzytelniania w środowisku Active Directory jest Kerberos, który w procesie uwierzytelniania wykorzystuje znaczniki czasowe, które następnie są weryfikowane. Domyślnie maksymalna tolerancja różnicy czasowej, z którą taki pakiet uznany będzie za prawidłowy wynosi 5 minut. Jeśli różnica będzie większa, to pojawiają się poważne problemy… Warto nadmienić także, że Microsoft oficjalnie nie gwarantuje perfekcyjnej dokładności usługi czasu w swoich systemach operacyjnych, jednak niedokładność na poziomie kilku sekund jest w zupełności wystarczająca na potrzeby poprawnego działania uwierzytelniania z wykorzystaniem protokołu Kerberos. Jak działa sama synchronizacja czasu w lesie Active Directory? Trywialna odpowiedź brzmiałaby „w oparciu o rolę emulatora […]

Fizyczna architektura Active Directory

7 stycznia 2015 at 09:26

Czym jest Active Directory? – Empirycznie wie niemal każdy. Na to pytanie z pewnością łatwo można uzyskać poprawne odpowiedzi co do pełnionych funkcji, przeznaczenia, obsługi oraz codziennych zadań administracyjnych. Nie każdy jednak wie – jak działa Active Directory od środka, z czego się składa w rzeczywistości, jak przechowuje informacje oraz jak komunikuje się z klientami. Active Directory w dużym uproszczeniu i ogólności, jest to jedna z ról systemu operacyjnego, która może być świadczona przez serwerowe systemy firmy Microsoft. Usługi katalogowe zapewniają możliwość utrzymywania wielkiej ilości danych dotyczących użytkowników, urządzeń, podsieci, lokacji, grup oraz innych zasobów mogących podlegać katalogowaniu. Oferują przy tym możliwość uwierzytelniania z wykorzystaniem pojedynczego punktu logowania (ang. Single Sign-On) oraz łatwego przeszukiwania struktur katalogowych, które zwracają w odpowiedzi czytelne i usystematyzowane dane. Wydawać mogłoby się, że Active Directory po zainstalowaniu jest całkowicie odrębną i wy-separowaną rolą w systemie Windows mającą bezpośredni dostęp do jądra systemowego. Nic bardziej mylnego! Z perspektywy systemu operacyjnego Active Directory jest częścią systemu zabezpieczeń, który dodatkowo nie działa w trybie jądra (ang. Kernel mode), lecz w trybie użytkownika (ang. User mode). Co to oznacza? Oznacza to mniej więcej tyle, że proces, rola czy aplikacja działająca w trybie użytkownika nie ma bezpośredniego dostępu do systemu […]

© Marcin Krzanowicz