Introducción a los Servicios de Directorio Activo en Windows Server 2008
David Cervigón LunaIT Pro [email protected]://blogs.technet.com/davidcervigon
AgendaDelegaciones Remotas: Read-Only Domain Controller
Administración: Auditoría, Backup/Recovery
Seguridad: Políticas de contraseñas granulares
TerminologíaActive Directory Domain Services
Reemplaza a “Active Directory”
Active Directory Lightweight Directory ServicesReemplaza a “Active Directory Application Mode” o ADAM
Roles de ServidorFuncionalidades del servidor como AD DS, AD LDS, y DNSSe administran centralmente a través del Server Manager
Server CoreOpción de instalación mínima del ServidorMenor superficie de ataque debido a los pocos componentes instalados
Delegaciones Remotas
Seguridad Administración
Delegaciones
Read-Only Domain ControllerDesafíos de las delegaciones remotasLos administradores se enfrentan a los siguientes
desafíos a la hora de desplegar Controladores de Dominio en una delegación remota
El DC se coloca en una localización física inseguraEl DC tiene una conexión de red poco fiable con el HUBEl personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, oLos Domain Admins delegan privilegios al personal de la delegación
Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla
Read-Only Domain ControllerSolución segura de Delegación remotaEl atacante puede
Robar el RODCPor defecto, no se cachean secretos
RO PAS evita la replicacion de datos al RODC
Comprometer el RODCBase de datos de solo lectura
Replicación Unidireccional
Interceptar las credencialesSeparacion de roles para reducir el
acceso al AD
REM
EDIO
S DEL
RO
DC
Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotasPor defecto, no hay contraseñas de usuarios o equipos
almacenadas en un RODCEl Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODCEstado de Solo lectura con replicación unidireccional del AD y FRS/DFSRCada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintasLa delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODCLos DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNSLos RODCs tienen cuentas de estación de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DCDerechos muy limitados para escribir en el Directorio
Los RODC son totalmente compatibles con Server CoreSecure Appliance DC
Admin Role
Separation
RODC
Server
Core
Infraestructura de Directorio Activo
Data Center (Hub)
DMZ
Read-Only
Read-Only
Delegación(RODC)
Delegación(RODC)
Delegación(RODC)
“Writeable”
Internet
Read-Only Domain ControllerModelos de Despliegue Cuando usarlos
• Precupaciones en torno a la seguridad y al coste de gestión de los DCs de las delegaciones remotas
• Necesidades locales de acceso a recursos si falla la WAN
Cuando no:• Como reemplazo
de un DC tradicional con todas sus funciones en uso
Read-Only Domain ControllerModelos de Administración recomendados
Cuentas no cacheadas (por defecto)A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticasEn Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión
La mayor parte de las cuentas cacheadasA Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC
Solo una pocas contraseñas cacheadasA Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demásEn Contra: Requiere una administración granular más fina
Mapear equipos por delegaciónRequiere buscar manualmente el atributo Auth2 para identificar las cuentas
Read-Only Domain Controller Como FuncionaCacheo de secretos en el primer inicio de
sesión
Hub`
Read Only DCDC en el Hub
Delegación
2. RODC: No tiene las credenciales de este usuario
3. Reenvía la petición al DC del Hub
4. El DC del Hub autentica la petición
5. Devuelve la petición de autenticación y el TGT al RODC
6. El RODC da el TGT al usuario y encola una peticion de replicación de los secretos
7. El DC del Hub comprueba la política de replicación de contraseñas para ver si la contraseña puede ser replicada
1. AS_Req enviado al RODC (TGT request)
1
23
45
6
6
7
7
Read-Only Domain Controller
Perspectiva del Administrador del Hub
Lo que ve el atacante
Read-Only Domain ControllerDespliegue paso a pasoComo desplegar un RODC a partir de un
entorno de Windows Server 2003
1. ADPREP /ForestPrep2. ADPREP /DomainPrep3. Promover un DC con Windows Server 20084. Verificar que los modos funcionales del forest y
del dominio son 2003 Nativo5. ADPREP /RodcPrep6. Verificar la lista de actualizaciones necesarias
para la compatibilidad en los clientes7. Promover el RODC
No específico de un RODC
Específico de un RODC
Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción
Read-Only Domain ControllerDelegar la promoción de un RODC
Pre-crear la cuenta del RODC
Especificar los parámetros del RODC
Asignar la máquina al slot del RODC
Read-Only Domain ControllerPromoción "Install-from-media”NTDSUtil > IFM
Durante la creación del RODC IFM:
Los “Secretos” se eliminanLa base de datos DIT se defragmenta para ahorrar espacio en disco
DEMO
Read Only Domain ControllesInstalaciónInstalación DelegadaInstall From Media
DEMO
Password Replication Policy
Administración
Seguridad Administración
Delegaciones
AD DS reiniciableSin reiniciar el servidor, ahora se puede:
Aplicar parches de los DSRealizar una desfragmentación offline
Un servidor con los DS parados es similar a un servidor miembro
NTDS.dit está offlinePuede iniciarse sesión local con la contraseña del Modo de Recuperación del Directorio Activo (DSRM)
AuditoríasNuevos eventos de cambios en el AD
Los Event logs dicen exactamente:
Quien hizo el cambioCuándo se hizo el cambioQue objeto/atributo fue cambiadoLos valores inicial y final
La auditoría esta controlada por
Política global de auditoríaSACLSchema
Event ID
Event type Event description
5136 Modify This event is logged when a successful modification is made to an attribute in the directory.
5137 Create This event is logged when a new object is created in the directory.
5138 Undelete This event is logged when an object is undeleted in the directory.
5139 Move This event is logged when an object is moved within the domain.
Backup/Recovery Windows Server Backup (wbadmin.exe)
NTBackup está descontinuadoNueva tecnología Block-Level, basada en imágenesBackup/recovery del System State por línea de comandosDebe hacerse a una partición diferenteRecuperación del System State en DSRM (auth & non-auth)
Database Mounting Tool (dsamain.exe)DSAMain.exe también funciona con BBDD DIT offline
Restaurar un backup a otra localización y luego montarloPráctica recomendada: Planificar NTDSUtil.exe para sacar snapshots de AD DS/LDS regularmente
Mejoras en Active Directory users and Computers (ADUC)
Por defecto, “Prevent container from accidental deletion” está marcado cuando se crea una OUPráctica recomendada: Marcar “Prevent object from accidental deletion” para objetos importantes
DedicatedBackupVolume
ADUC: Protección contra borrado accidentalBackup/Recovery
Objeto/OU existentes Nueva unidad Organizativa
Database Mounting ToolBackup/Recovery
Permite a los administradores elegir la copia de seguridad disponible más apropiada
La herramienta NO restaura objetosAhora: Herramienta + tombstone reanimation + LDAPPost-WS08: ¿Undelete?
NTDSUTIL.EXE
• Saca SnapShots de DS/LDS via VSS
DSAMAIN.EXE
• Expone las snapshots como servidores LDAP
DEMOBackupAuditoríasDatabase Mounting ToolProtección contra borrado Accidental
Seguridad
Seguridad Administración
Delegaciones
Políticas de contraseñas granularesIntroducciónPermite una administración granular de las
contraseñas y políticas de bloqueo dentro de un dominioLas políticas pueden aplicarse a:
UsuariosGrupos Globales de Seguridad
RequerimientosWindows server 2008 Domain ModeNo requiere cambios en los clientes
No hay cambios en los valores de las configuraciones propiamente dichos
P.e., no hay nuevas opciones para controlar la complejidad de las contraseñas
Pueden asociarse múltiples políticas al usuario, pero solo una prevalece.
Políticas de contraseñas granularesEscenarios de usoDiseñadas para utilizarse en escenarios en los que
existan diferentes requerimientos de seguridad y negocio para ciertos conjuntos de usuariosEjemplos
AdministradoresConfiguración estricta (las contraseñas expiran a los 14 días)
Cuentas de serviciosConfiguración moderada (las contraseñas expiran a los 14 días, diferente umbral de bloqueo, longitud mínima de 32 caracteres)
Usuario AvanzadoConfiguración relajada (las contraseñas expiran a los 90 días)
Se prevén un máximo de 3 y 10 políticas para la mayor parte de los despliegues
No hay límite técnico conocido al numero de políticas que es posible aplicar
Políticas de contraseñas granularesFuncionamiento
Password Settings Object PSO 1
Password Settings Object PSO 2
Precedencia= 10
Precedencia= 20
Se aplica a
Se aplica a
Se aplica a
PSO Resultante= PSO1
PSO Resultante = PSO1
Políticas de contraseñas granularesPaso a Paso
Identificar conjuntos
de usuarios
en la organizac
ión
Formular la politica de
contraseñas correspondiente a cada uno de los difrenetes grupos de usuarios
Crear grupos
que reflejen dichos
conjuntos de
usuarios
Crear PSOs que reflejen
las politicas que se
han concebido
Aplicar las PSOs
a los grupos de usuarios
correspondientes
Delegar la
administració
n
Políticas de contraseñas granularesAdministraciónRecomendación: Administración basada en grupos
Delegar la modificación de la membresía del grupoEsta característica puede ser también delegada
Por defecto, solo los Administradores de Dominio pueden:Crear y leer PSOsAplicar una PSO a un grupo o usuario
Permisos
Operación a Delegar Permisos Delegados
Crear y borrar PSOsEn el PSC:Create all child objectsDelete all child objects
Aplicar PSOs a usuarios/grupos
En el PSO:Write
DEMO
Políticas de contraseñas granulares
Otras funcionalidadesOtros Roles de Windows Server 2008 relacionados con el Directorio Activo
Active Directory Certificate ServicesActive Directory Federation ServicesActive Directory Lightweight Directory ServicesActive Directory Rights Management Services
Herramientas de GestiónData Collection Template (conocido anteriormente como Server Performance Analyzer)Operations Manager AD MP SP1 para W28K DC/RODCs
RecursosTechNet Beta 3 Documentation for AD DS
Step-by-step Guide for RODC Step-by-step Guide for AD DS Installation & RemovalStep-by-step Guide for Restartable AD DSStep-by-step Guide for AD Data Mining (Mounting) ToolStep-by-step Guide for AD DS Backup & RecoveryStep-by-step Guide for Auditing AD DS ChangesStep-by-step Guide for FGPP & Account Lockout Policy Configuration
MSDN Beta 3 Documentation for Schema
PreguntasDavid Cervigón LunaIT Pro [email protected]://blogs.technet.com/davidcervigon
Recursos Presenciales-Hands on Labs http://www.microsoft.com/spain/seminarios/hol.mspx
Microsoft Windows Server 2008. Administración
Microsoft Windows Server 2008. Active Directory
Microsoft Windows Server 2008. Internet Information Server 7.0
Microsoft Windows Vista. Business Desktop Deployment
Recursos Virtuales-Virtual Labs http://technet.microsoft.com/en-us/windowsserver/2008/bb512925.aspx
Managing Windows Server 2008 and Windows Vista using Group PolicyManaging Windows Vista and Windows Server 2008 Network Bandwidth
with Policy-based Quality of ServiceWindows Server 2008 Beta 3 Server CoreWindows Server 2008 Beta 3 Server ManagerCentralized Application Access with Windows Server 2008 Beta 3Deployment Services (WDS) in Windows Server 2008 Beta 3Fine Grained Password Settings in Windows Server 2008 Beta 3Managing Network Security Using Windows Firewall with Advanced
Security Beta 3Windows Server 2008 Enterprise Failover ClusteringManaging TS Gateway and RemoteApps in Windows Server 2008 Beta 3Managing Windows Server 2008 Using
New Management Technologies Beta 3Network Access Protection with IPSec EnforcementUsing APPCMD Command Line or UI with
IIS 7 in Windows Server 2008 Beta 3Using PowerShell in Windows Server 2008 Beta 3
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx
• Webcasts grabados sobre Windows Serverhttp://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsofthttp://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30
Recursos TechNet• Registrarse a la newsletter TechNet Flash
http://www.microsoft.com/spain/technet/boletines/default.mspx• Obtenga una Suscripción TechNet Plus
http://technet.microsoft.com/es-es/subscriptions/default.aspx
El Rostro de Windows Server está cambiando.Descúbrelo en
www.microsoft.es/rostros