Nowości Active Directory – Protected Users

17 marca 2015 at 07:36

W części drugiej mini-cyklu o nowościach w Active Directory na poziomie funkcjonalności Windows Server 2012 R2 przedstawiam funkcjonalność użytkowników chronionych (Protected Users). Zacznijmy od wymagań aby móc skorzystać z tego dobrodziejstwa. Konieczne do spełnienia są następujące warunki: Rozszerzony schemat Active Directory do poziomu Windows Server 2012 R2 (wersja schematu – 69) Kontroler domeny pełniący rolę PDC pod kontrolą Windows’a Server 2012 R2 Plus dwa warunki dodatkowe: Poziom funkcjonalności domeny na poziomie Windows Server 2012 R2 – aby zapewnić pełną ochronę kontrolerów domeny Konieczność logowania na Windows 8.1* lub Windows Server 2012 R2 z uwierzytelnieniem na kontrolerze domeny pracującym pod kontrolą Windows Server 2012 R2 – aby móc w pełni wykorzystać oferowane rozwiązanie po stronie klienta oraz kontrolerów domeny. To tyle z wymagań formalnych – trochę dużo… ale można oczywiście nieco pokombinować i zrobić to w sposób wymagający mniejszego zachodu niż upgrade całego lasu Active Directory. Jako minimum – Rozszerzenie schematu AD, upgrade PDC do Windows 2012 R2 (lub wypromowanie na chwilę nowego kontrolera domeny na Windows 2012R2), transfer PDC na ten kontroler – replikacja danych na pozostałe kontrolery domeny i już mamy funkcjonalność Protected Users. Teraz można powrócić z PDC na wcześniejszy kontroler domeny i mieć nową funkcjonalność (co prawda […]

Nowości Active Directory – 2012 R2 – wprowadzenie.

10 marca 2015 at 08:50

Chociaż Windows Server 2012R2 na naszych serwerach gości już stosunkowo długi czas, to wiele organizacji dopiero teraz realnie myśli o przejściu ze starszych wersji systemów operacyjnych na Windows Server 2012R2. Kluczowym pytaniem zawsze jest „co zyskamy dzięki Windows Server 2012 R2?”. Rozważmy to oczywiście w kontekście Active Directory. Proponuję mini-cykl o nowościach Active Directory na poziomie funkcjonalności 2012 R2. Cześć I – Wprowadzenie Wprowadzone zmiany można podzielić na kilka zasadniczych grup: Poprawione bezpieczeństwo. Mimo, że usługi Active Directory są bardzo bezpieczne, to inżynierowie Microsoftu znaleźli jeszcze kilka miejsc, które mogły być potencjalnie niebezpieczne oraz kilka, które dzięki zmianom stały się jeszcze bezpieczniejsze. Ochrona pamięci LSASS.exe – dotychczas podstawową metodą ataków na konta Active Directory była iniekcja zapamiętanych hashy haseł do podsystemu zabezpieczeń systemu operacyjnego. LSASS.exe jako integralna część tegoż podsystemu zabezpieczeń był miejscem, skąd atakujący byli w stanie pobrać zapamiętane hashe haseł. Od czasu wprowadzenia Windows Server 2012 R2 udostępniona została ochrona pamięci, która pomaga również w usuwaniu zapamiętanych hashy haseł. Chronione konta użytkowników – nowe Active Directory udostępnia nową grupę „Protected Users”, która może być wykorzystywana do ochrony wrażliwych i narażonych na ataki kont Active Directory. Między innymi konta takie mogą się uwierzytelniać tylko w sposób bezpieczny, a stare […]

© Marcin Krzanowicz