Portal Zarządzających Bezpieczeństwem

Wstęp do usług Windows Server 2008 Domain Services obejmie podstawy wszystkich nowych funkcji usług Windows Server 2008 Active Directory Domain Services.

Źródło: www.windowsnetworking.com
Tłumaczenie: Dawid Kalinowski, Kraków

Usługi Active Directory Domain Services (wcześniej znane jako Active Directory) oraz Identity Management dla Windows Server 2008 obejmują aktualnie kilka różnych usług:

• Active Directory Domain Services (AD DS)
• Active Directory Federation Services (AD FS)
• Active Directory Lightweight Directory Services (AD LDS)
• Active Directory Rights Management Services (AD RMS).
• Active Directory Certificate Services (AD CS)

Każda usługa reprezentuje „Server Role”, która jest nowym pomysłem w Windows Server 2008.

Co nowego w Windows Server 2008

Wiele cech i funkcji zostało dodanych do Active Directory w Windows Server 2008.

W tym artykule skupię się na usługach Active Directory Domain Services (AD DS) w Windows Server 2008, w skład których wchodzi kilka rozszerzeń i nowych cech w porównaniu do Windows Server 2003.

Oto krótki przegląd głównych zmian i nowych funkcjonalności w Domain Services i na nich skupię się w tym artykule:

• Active Directory Domain Services - Read-Only Domain Controllers
• Active Directory Domain Services - Restartable Active Directory Domain Services
• Active Directory Domain Services - Fine-Grained Password Policies

Active Directory Domain Services

Funkcjonalność Domain Services była rozbudowywana i aktualizowana w Windows Server 2008 wraz z poprawionym kreatorem konfiguracji (Server Manager). Dostarczała ona także nowych opcji zarządzania cechami AD DS, takimi jak Read-Only Domain Controllers (RODCs - kontrolery domeny pracujące w trybie tylko do odczytu).

Active Directory Read-Only Domain Controller (RODC) jest nowym rodzajem kontrolera domeny w Windows Server 2008. Mając RODC organizacje mogą z łatwością wdrożyć kontrolera domeny dla lokalizacji, gdzie fizyczne zabezpieczenie nie może być zagwarantowane.

Głównym celem RODC jest poprawa bezpieczeństwa w biurach oddziałów. W biurach oddziałów trudno o zapewnienie bezpieczeństwa potrzebnego dla infrastruktury IT, szczególnie dla kontrolerów domeny, które zawierają poufne dane. DC często są ukryte w biurze. Jeżeli ktoś ma fizyczny dostęp do DC, nie będzie mu ciężko, aby zmanipulować system i dostać się do danych. RODC rozwiązuje te problemy.

• Read-Only Domain Controller
• Administrative Role Separation
• Credential Caching
• Read-Only DNS

Read-Only Domain Controller

RODC przechowuje niezapisywaną i tylko do odczytu kopię bazy danych Active Directory ze wszystkimi obiektami i atrybutami. RODC obsługuje tylko jednokierunkową replikację zmian w Active Directory, co oznacza, że RODC zawsze replikuje bezpośrednio z kontrolera domeny po stronie węzła HUB.

RODC przeprowadzi zwykłą replikację wewnętrzną ze strony węzłowej dla zmian Active Directory oraz DFS. RODC otrzyma wszystko z Active Directory oprócz poufnych informacji, ponieważ konta takie jak Domain Admins, Enterprise Admins i Schema Admins są domyślnie wykluczone z replikacji do RODC.

Jeżeli aplikacja wymaga dostępu do Active Directory z prawem zapisu, wtedy RODC wysyła protokół LDAP typu „referral response”, który automatycznie przekieruje aplikację do kontrolera domeny, pracującego w trybie zapisu i zlokalizowanego na głównej stronie węzłowej. RODC jest również w stanie pełnić rolę Global Catalog dla szybszego rejestrowania, jeśli jest to potrzebne.

Jest to duża zaleta dla oddziałów biur, ponieważ jeśli ktoś zyska fizyczny dostęp do serwera lub nawet go ukradnie, może złamać hasła na kontach użytkowników w AD, ale nie dostanie się do kont poufnych, ponieważ nie znajdują się ona na RODC.

Znaczy to także, że poufne konta adminów nie są w stanie zalogować się do RODC jeżeli nie jest dostępny link WAN do głównej strony węzłowej.

Aby wdrożyć RODC do nowego środowiska, musisz mieć domenę i las w trybie Windows Server 2003, a DC, który uruchamia emulator PDC, musi działać pod Windows Server 2008.

Oddzielenie ról administracyjnych

Dla każdego użytkownika w Active Directory możesz delegować lokalne upoważnienia administratora dla serwera RODC. Delegowane konta użytkownika będą teraz mogły się logować na serwer i wykonywać zadania obsługi serwera bez konieczności posiadania upoważnienia AD DS. Użytkownik nie ma dostępu do innych kontrolerów domeny w Active Directory i w ten sposób bezpieczeństwo domeny nie jest narażone na naruszenie ochrony danych.

Buforowanie uwierzytelnień

RODC domyślnie nie przechowuje uwierzytelnień żadnego użytkownika czy komputera, poza kontem komputera samego RODC oraz specjalnego konta „krbtgt”, jakie ma każdy RODC.

RODC może jednak zostać skonfigurowany w taki sposób, aby buforował hasła i jest to zadanie obsługiwane przez Password Replication Policy. Polityka ta określa czy uwierzytelnienia użytkownika lub komputera zezwalają na dokonanie replikacji z zapisywalnego DC do RODC. Jeżeli dany użytkownik ma takie pozwolenie, jego uwierzytelnienia są buforowane na RODC przy logowaniu.

Kiedy konto zostaje z powodzeniem uwierzytelnione wobec RODC, RODC próbuje skontaktować się z zapisywalnym kontrolerem domeny po stronie węzła. Jeżeli hasło nie jest buforowane, RODC przekaże żądanie uwierzytelnienia do zapisywalnego DC. Przy otrzymaniu tego żądania DC rozpoznaje, że pochodzi ono z RODC i weryfikuje je z Password Replication Policy.

Zaletą buforowania uwierzytelnień jest fakt, że pomaga ono w ochronie haseł w biurach oddziałów i minimalizuje ryzyko uwierzytelniania w przypadku, gdy RODC jest narażony na naruszenie ochrony danych. Podczas korzystania z buforowania uwierzytelnień oraz kiedy RODC zostaje skradziony, konto użytkownika i konto komputera mają możliwość zresetowania haseł w oparciu o RODC, do którego należą.

Buforowanie uwierzytelnień można pozostawić niewłączone i ograniczy to ostateczne ryzyko, lecz jednocześnie spowoduje wzrost ruchu WAN, ponieważ wszystkie żądania uwierzytelnienia będą przekazywane do zapisywalnych DC na głównej stronie węzłowej.

Read-Only DNS

Oprócz RODC można także zainstalować usługę DNS. Serwer DNS uruchomiony na RODC nie obsługuje dynamicznych aktualizacji. Lecz klienci są w stanie używać serwera DNS, aby zapytać o odwzorowanie nazw.

Ponieważ DNS jest „Read-Only” (tylko do odczytu), klienci nie mogą na nim zapisywać aktualizacji. Ale jeśli klient chce dokonać aktualizacji zapisu własnego DNS, RODC wyśle przeniesienie odesłania do zapisywalnego DNS. Pojedynczy zapis aktualizacji będzie następnie replikowany z zapisywalnego serwera DNS na serwer DNS na RODC. Jest to replikacja specjalnego, pojedynczego obiektu (zapis DNC), mająca na celu utrzymywanie serwerów na bieżąco oraz dostarczenie klientom w biurach oddziałów szybsze odwzorowanie nazw/tłumaczenie nazw/określanie nazw/rozwiązywanie nazw.

W systemie Windows Server 2008 usługi Active Directory Domain Services (AD DS) można teraz zatrzymać i zrestartować. Oznacza to, że możesz zatrzymać AD DS w czasie wykonywania zadań oraz obsługi, co w poprzednich wersjach systemu Windows Server wymagało ponownego uruchomienia systemu w trybie Directory Services Restore Mode (DSRM). Jest to doskonała cecha do wykonywania skryptów i zautomatyzowania tych zadań.

• AD DS – started (rozpoczęty)
• AD DS – stopped (zatrzymany)
• AD DS Restore Mode (DSRM) – Tryb Przywrócenia

Jest to duża zaleta, że zadania, które kiedyś wymagały ponownego uruchomienia systemu, aby AD DS znalazł się off-line, są teraz dostępne bezpośrednio z konsoli. Daje to administratorom trochę swobody w szybszej obsłudze i wykonywaniu operacji AD DS off-line.

Fine-Grained Password Policies

Przed wprowadzeniem systemu Windows Server 2008 możliwe było posiadanie tylko jednej polityki hasła i jednej polityki blokady konta na poziomie domeny, co miało zastosowanie dla wszystkich użytkowników tej domeny. Nowością w Windows Server 2008 AD DS jest teraz możliwość zdefiniowania przy pomocy Fine-Grained Password Policies zestawu haseł albo polityk blokady dla poszczególnych użytkowników w tej samej domenie.

Dzięki Fine-Grained Password Policies dostępne są następujące ustawienia:

• Enforce password history (wzmocnij historię hasła)
• Maximum password age (maksymalny wiek hasła)
• Minimum password age (minimalny wiek hasła)
• Minimum password length (minimalna długość hasła)
• Passwords must meet complexity requirements (hasła muszą sprostać wymogom złożoności)
• Store passwords using reversible encryption (zachowuj hasła przy użyciu odwracalnego szyfrowania)

• Account lockout duration (czas trwania blokady konta)
• Account lockout threshold (wartość graniczna blokady konta)
• Reset account lockout after (zresetuj blokadę konta po upływie)

Fine-Grained Password Policies mogą mieć zastosowanie do obiektów „user” oraz "global security groups". Nie jest możliwe ich zastosowanie dla jednostek organizacyjnych.

Aby móc użyć Fine-Grained Password Policies, funkcjonalny poziom domeny musi być ustawiony na Windows Server 2008.

Windows Server 2008 Active Directory Domain Services (AD DS) ma kilka świetnych cech i funkcji, które mogą bardzo zoptymalizować zarządzanie domeną. Podsumowując:

Dla scenariuszy oddziałów kontroler domeny Read-Only (RODC) jest z całą pewnością najwspanialszą nową cechą systemu Windows Server 2008 i jest wielkim wzmocnieniem bezpieczeństwa dla organizacji, w których kontrolery domen działają w miejscach zdalnych.

Fine-Grained Password Policies to wspaniała nowa cecha, która dostarcza dodatkowej swobody w jakiejkolwiek domenie z możliwością posiadania różnorakich haseł oraz polityk blokowania.

Łącznie te nowe cechy podnoszą poziom bezpieczeństwa i elastyczności w Active Directory.