Introducción a los Servicios de Directorio Activo en Windows Server 2008

David Cervigón LunaIT Pro Evangelistdavid.cervigon@microsoft.comhttp://blogs.technet.com/davidcervigon

AgendaDelegaciones Remotas: Read-Only Domain Controller

Administración: Auditoría, Backup/Recovery

Seguridad: Políticas de contraseñas granulares

TerminologíaActive Directory Domain Services

Reemplaza a “Active Directory”

Active Directory Lightweight Directory ServicesReemplaza a “Active Directory Application Mode” o ADAM

Roles de ServidorFuncionalidades del servidor como AD DS, AD LDS, y DNSSe administran centralmente a través del Server Manager

Server CoreOpción de instalación mínima del ServidorMenor superficie de ataque debido a los pocos componentes instalados

Delegaciones Remotas

Seguridad Administración

Delegaciones

Read-Only Domain ControllerDesafíos de las delegaciones remotasLos administradores se enfrentan a los siguientes

desafíos a la hora de desplegar Controladores de Dominio en una delegación remota

El DC se coloca en una localización física inseguraEl DC tiene una conexión de red poco fiable con el HUBEl personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que:

Los Domain Admins gestionan el DC remotamente, oLos Domain Admins delegan privilegios al personal de la delegación

Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero

Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla

Read-Only Domain ControllerSolución segura de Delegación remotaEl atacante puede

Robar el RODCPor defecto, no se cachean secretos

RO PAS evita la replicacion de datos al RODC

Comprometer el RODCBase de datos de solo lectura

Replicación Unidireccional

Interceptar las credencialesSeparacion de roles para reducir el

acceso al AD

REM

EDIO

S DEL

RO

DC

Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotasPor defecto, no hay contraseñas de usuarios o equipos

almacenadas en un RODCEl Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODCEstado de Solo lectura con replicación unidireccional del AD y FRS/DFSRCada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintasLa delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODCLos DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNSLos RODCs tienen cuentas de estación de trabajo

No son miembros de los grupos Enterprise-DC o Domain-DCDerechos muy limitados para escribir en el Directorio

Los RODC son totalmente compatibles con Server CoreSecure Appliance DC

Admin Role

Separation

RODC

Server

Core

Infraestructura de Directorio Activo

Data Center (Hub)

DMZ

Read-Only

Read-Only

Delegación(RODC)

Delegación(RODC)

Delegación(RODC)

“Writeable”

Internet

Read-Only Domain ControllerModelos de Despliegue Cuando usarlos

• Precupaciones en torno a la seguridad y al coste de gestión de los DCs de las delegaciones remotas

• Necesidades locales de acceso a recursos si falla la WAN

Cuando no:• Como reemplazo

de un DC tradicional con todas sus funciones en uso

Read-Only Domain ControllerModelos de Administración recomendados

Cuentas no cacheadas (por defecto)A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticasEn Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión

La mayor parte de las cuentas cacheadasA Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC

Solo una pocas contraseñas cacheadasA Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demásEn Contra: Requiere una administración granular más fina

Mapear equipos por delegaciónRequiere buscar manualmente el atributo Auth2 para identificar las cuentas

Read-Only Domain Controller Como FuncionaCacheo de secretos en el primer inicio de

sesión

Hub`

Read Only DCDC en el Hub

Delegación

2. RODC: No tiene las credenciales de este usuario

3. Reenvía la petición al DC del Hub

4. El DC del Hub autentica la petición

5. Devuelve la petición de autenticación y el TGT al RODC

6. El RODC da el TGT al usuario y encola una peticion de replicación de los secretos

7. El DC del Hub comprueba la política de replicación de contraseñas para ver si la contraseña puede ser replicada

1. AS_Req enviado al RODC (TGT request)

1

23

45

6

6

7

7

Read-Only Domain Controller

Perspectiva del Administrador del Hub

Lo que ve el atacante

Read-Only Domain ControllerDespliegue paso a pasoComo desplegar un RODC a partir de un

entorno de Windows Server 2003

1. ADPREP /ForestPrep2. ADPREP /DomainPrep3. Promover un DC con Windows Server 20084. Verificar que los modos funcionales del forest y

del dominio son 2003 Nativo5. ADPREP /RodcPrep6. Verificar la lista de actualizaciones necesarias

para la compatibilidad en los clientes7. Promover el RODC

No específico de un RODC

Específico de un RODC

Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción

Read-Only Domain ControllerDelegar la promoción de un RODC

Pre-crear la cuenta del RODC

Especificar los parámetros del RODC

Asignar la máquina al slot del RODC

Read-Only Domain ControllerPromoción "Install-from-media”NTDSUtil > IFM

Durante la creación del RODC IFM:

Los “Secretos” se eliminanLa base de datos DIT se defragmenta para ahorrar espacio en disco

DEMO

Read Only Domain ControllesInstalaciónInstalación DelegadaInstall From Media

DEMO

Password Replication Policy

Administración

Seguridad Administración

Delegaciones

AD DS reiniciableSin reiniciar el servidor, ahora se puede:

Aplicar parches de los DSRealizar una desfragmentación offline

Un servidor con los DS parados es similar a un servidor miembro

NTDS.dit está offlinePuede iniciarse sesión local con la contraseña del Modo de Recuperación del Directorio Activo (DSRM)

AuditoríasNuevos eventos de cambios en el AD

Los Event logs dicen exactamente:

Quien hizo el cambioCuándo se hizo el cambioQue objeto/atributo fue cambiadoLos valores inicial y final

La auditoría esta controlada por

Política global de auditoríaSACLSchema

Event ID

Event type Event description

5136 Modify This event is logged when a successful modification is made to an attribute in the directory.

5137 Create This event is logged when a new object is created in the directory.

5138 Undelete This event is logged when an object is undeleted in the directory.

5139 Move This event is logged when an object is moved within the domain.

Backup/Recovery Windows Server Backup (wbadmin.exe)

NTBackup está descontinuadoNueva tecnología Block-Level, basada en imágenesBackup/recovery del System State por línea de comandosDebe hacerse a una partición diferenteRecuperación del System State en DSRM (auth & non-auth)

Database Mounting Tool (dsamain.exe)DSAMain.exe también funciona con BBDD DIT offline

Restaurar un backup a otra localización y luego montarloPráctica recomendada: Planificar NTDSUtil.exe para sacar snapshots de AD DS/LDS regularmente

Mejoras en Active Directory users and Computers (ADUC)

Por defecto, “Prevent container from accidental deletion” está marcado cuando se crea una OUPráctica recomendada: Marcar “Prevent object from accidental deletion” para objetos importantes

DedicatedBackupVolume

ADUC: Protección contra borrado accidentalBackup/Recovery

Objeto/OU existentes Nueva unidad Organizativa

Database Mounting ToolBackup/Recovery

Permite a los administradores elegir la copia de seguridad disponible más apropiada

La herramienta NO restaura objetosAhora: Herramienta + tombstone reanimation + LDAPPost-WS08: ¿Undelete?

NTDSUTIL.EXE

• Saca SnapShots de DS/LDS via VSS

DSAMAIN.EXE

• Expone las snapshots como servidores LDAP

DEMOBackupAuditoríasDatabase Mounting ToolProtección contra borrado Accidental

Seguridad

Seguridad Administración

Delegaciones

Políticas de contraseñas granularesIntroducciónPermite una administración granular de las

contraseñas y políticas de bloqueo dentro de un dominioLas políticas pueden aplicarse a:

UsuariosGrupos Globales de Seguridad

RequerimientosWindows server 2008 Domain ModeNo requiere cambios en los clientes

No hay cambios en los valores de las configuraciones propiamente dichos

P.e., no hay nuevas opciones para controlar la complejidad de las contraseñas

Pueden asociarse múltiples políticas al usuario, pero solo una prevalece.

Políticas de contraseñas granularesEscenarios de usoDiseñadas para utilizarse en escenarios en los que

existan diferentes requerimientos de seguridad y negocio para ciertos conjuntos de usuariosEjemplos

AdministradoresConfiguración estricta (las contraseñas expiran a los 14 días)

Cuentas de serviciosConfiguración moderada (las contraseñas expiran a los 14 días, diferente umbral de bloqueo, longitud mínima de 32 caracteres)

Usuario AvanzadoConfiguración relajada (las contraseñas expiran a los 90 días)

Se prevén un máximo de 3 y 10 políticas para la mayor parte de los despliegues

No hay límite técnico conocido al numero de políticas que es posible aplicar

Políticas de contraseñas granularesFuncionamiento

Password Settings Object PSO 1

Password Settings Object PSO 2

Precedencia= 10

Precedencia= 20

Se aplica a

Se aplica a

Se aplica a

PSO Resultante= PSO1

PSO Resultante = PSO1

Políticas de contraseñas granularesPaso a Paso

Identificar conjuntos

de usuarios

en la organizac

ión

Formular la politica de

contraseñas correspondiente a cada uno de los difrenetes grupos de usuarios

Crear grupos

que reflejen dichos

conjuntos de

usuarios

Crear PSOs que reflejen

las politicas que se

han concebido

Aplicar las PSOs

a los grupos de usuarios

correspondientes

Delegar la

administració

n

Políticas de contraseñas granularesAdministraciónRecomendación: Administración basada en grupos

Delegar la modificación de la membresía del grupoEsta característica puede ser también delegada

Por defecto, solo los Administradores de Dominio pueden:Crear y leer PSOsAplicar una PSO a un grupo o usuario

Permisos

Operación a Delegar Permisos Delegados

Crear y borrar PSOsEn el PSC:Create all child objectsDelete all child objects

Aplicar PSOs a usuarios/grupos

En el PSO:Write

DEMO

Políticas de contraseñas granulares

Otras funcionalidadesOtros Roles de Windows Server 2008 relacionados con el Directorio Activo

Active Directory Certificate ServicesActive Directory Federation ServicesActive Directory Lightweight Directory ServicesActive Directory Rights Management Services

Herramientas de GestiónData Collection Template (conocido anteriormente como Server Performance Analyzer)Operations Manager AD MP SP1 para W28K DC/RODCs

RecursosTechNet Beta 3 Documentation for AD DS

Step-by-step Guide for RODC Step-by-step Guide for AD DS Installation & RemovalStep-by-step Guide for Restartable AD DSStep-by-step Guide for AD Data Mining (Mounting) ToolStep-by-step Guide for AD DS Backup & RecoveryStep-by-step Guide for Auditing AD DS ChangesStep-by-step Guide for FGPP & Account Lockout Policy Configuration

MSDN Beta 3 Documentation for Schema

PreguntasDavid Cervigón LunaIT Pro Evangelistdavid.cervigon@microsoft.comhttp://blogs.technet.com/davidcervigon

Recursos Presenciales-Hands on Labs http://www.microsoft.com/spain/seminarios/hol.mspx

Microsoft Windows Server 2008. Administración

Microsoft Windows Server 2008. Active Directory

Microsoft Windows Server 2008. Internet Information Server 7.0

Microsoft Windows Vista. Business Desktop Deployment

Recursos Virtuales-Virtual Labs http://technet.microsoft.com/en-us/windowsserver/2008/bb512925.aspx

Managing Windows Server 2008 and Windows Vista using Group PolicyManaging Windows Vista and Windows Server 2008 Network Bandwidth

with Policy-based Quality of ServiceWindows Server 2008 Beta 3 Server CoreWindows Server 2008 Beta 3 Server ManagerCentralized Application Access with Windows Server 2008 Beta 3Deployment Services (WDS) in Windows Server 2008 Beta 3Fine Grained Password Settings in Windows Server 2008 Beta 3Managing Network Security Using Windows Firewall with Advanced

Security Beta 3Windows Server 2008 Enterprise Failover ClusteringManaging TS Gateway and RemoteApps in Windows Server 2008 Beta 3Managing Windows Server 2008 Using

New Management Technologies Beta 3Network Access Protection with IPSec EnforcementUsing APPCMD Command Line or UI with

IIS 7 in Windows Server 2008 Beta 3Using PowerShell in Windows Server 2008 Beta 3

Recursos TechNet• TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx

• Próximos webcasts en vivohttp://www.microsoft.com/spain/technet/jornadas/default.mspx

• Webcasts grabados sobre Windows Serverhttp://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1

• Webcasts grabados otras tecnologías Microsofthttp://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30

Recursos TechNet• Registrarse a la newsletter TechNet Flash

http://www.microsoft.com/spain/technet/boletines/default.mspx• Obtenga una Suscripción TechNet Plus

http://technet.microsoft.com/es-es/subscriptions/default.aspx

El Rostro de Windows Server está cambiando.Descúbrelo en

www.microsoft.es/rostros