Rollbaserad Säkerhet med GPO
Post on 02-Jan-2016
79 Views
Preview:
DESCRIPTION
Transcript
TechNet Security Summit 2004 2.
Innehåll
• Säker domändesign
• Härdning av servrar med Rollbaserad säkerhet
• Härdning och anpassning av klienter.
• Delegering av administration
TechNet Security Summit 2004 3.
En Default installerad Windows Server 2003/XP/W2K
Tjänster Portar
Fysisk access
C$Default shares
Sniffa inloggningar
Vägar in i
datorn för
bjudna och
objudna!
Blaster
TechNet Security Summit 2004 4.
En forest är en ”Security Boundary”
• ”Sid History” Attack– Koncept– Färdiga verktyg
• ”Sid History” Filtrering– Använd endast mellan
externa trust– Configureras med Netdom
DomainDomain
Domain
Domain
Domain
Domain
Domain TreeDomain Tree
ForestForest
Domain
Domain TreeDomain Tree
Forest RootForest Root
TechNet Security Summit 2004 5.
SidHistory Offline Editor (sidhistory.exe)
• Hur det fungerar:
• Get the SID for a user in the target domain.• Reboot a domain controller in Directory Restore mode.• Backup NTDS.DIT (optional but recommended).• Run SHEdit.• Delete all LOG, EDB and CHK files from the %SYSTEMROOT%\NTDS folder.
If you used the %SYSTEMROOT%\NTDS folder as your temporary folder then the tool cleaned up all these files for you.
• Perform an authoritative restore of the AD database if you have multiple domain controllers. This will replicate the change to the other controllers.
• Reboot the server. You should have the desired access on the target domain.• Use the ClearSIDHistory.vbs script to delete the SID History attribute.
TechNet Security Summit 2004 6.
Så vad gör vi…Alt 1) • Lev med det
– Acceptera att varje Domain Admin är en potentiell Enterprise Admin– Acceptera att alla som har exklusiv fysisk access till en DC är en
potentiell Enterprise Admin– Begränsa ovan till personer med högsta tillförlitlighet, skapa system
och regelverk som styr över exklusiv fysisk access till DC.
Alt 2) • Designa om AD
– Varje Domain migreras till en egen forest.– Använd MIIS el dyl. för att replikera den globala katalogen.– Filtrera SidHistory mellan Forests (Default i W2Ksp4 och WS2003)
TechNet Security Summit 2004 9.
Rollbaserad administration med Windows Server 2003 Security Guide
• 3 olika scenarion för att passa alla typer av företag
• Testad, implementerad och beprövad
• Väl dokumenterad
• Lätt att tillämpa
TechNet Security Summit 2004 10.
Windows Server 2003 Security Guide - 3 Scenarion
HIGH SECUREHIGH SECURE
ENTERPRISE
LEGACY
Windows 2000 Proffessional
Windows XP
Windows 98
NT4 Workstation
Hårt Nedlåst för hög säkerhet
Windows 2000 Proffessional
Windows XP
TechNet Security Summit 2004 11.
Windows Server 2003 Security Guide - 3 Scenarion
HIGH SECUREHIGH SECURE
ENTERPRISE
LEGACY
Windows 2000 Proffessional
Windows XP
Windows 98
NT4 Workstation
Hårt Nedlåst för hög säkerhet
Windows 2000 Proffessional
Windows XP
TechNet Security Summit 2004 12.
Rollbaserad OU-struktur
Domain Controllers
Member Servers
File Servers
Infrastructure Servers
Web Servers
CA Servers
IAS Servers
Print Servers
Domain
TechNet Security Summit 2004 13.
Domain Controllers.infDomain Incremental GPO
Rollbaserad OU-säkerhet med GPO och .inf-filer
Domain Controllers
Member Servers
File Servers
Infrastructure Servers
Web Servers
CA Servers
IAS Servers
Print Servers
Domain Incremental GPO
Domain.inf
Member Servers GPO
Member.inf
File Servers GPOFile.inf
Print Servers GPOPrint.inf
IAS Servers GPOIAS.inf
CA Servers GPOCA.inf
Web Servers GPOWeb.inf
Infrastructures Servers GPOInfra.inf
Domain
TechNet Security Summit 2004 14.
Rollbaserad Administration med Delegering
Domain Controllers
Member Servers
File Servers
Infrastructure Servers
Web Servers
CA Servers
IAS Servers
Print Servers
Domain Engineering
Operations
Web Services
Enterprise Admins
Domain
TechNet Security Summit 2004 15.
Summering Rollbaserad Säkerhet - Koncept
Member Servers File Servers
File Servers.inf
Member Servers.inf
File Servers GPO
Member Servers GPO
File Server-SE01
Domain
TechNet Security Summit 2004 17.
Whitepaper: Securing Windows 2000 Server
DomainDomain Domain Controllers
Member Servers
File & Print Servers
Web Servers
Infrastructure Servers
Finns på: go.microsoft.com/fwlink/?LinkId=14838
TechNet Security Summit 2004 18.
OBS! Ej att förväxla med:Whitepaper: Windows 2000 Security Hardening Guide
DomainDomain Domain Controllers
Member Servers
ClientsMember Laptop
Member Workstation
Stand-alone Workstation
Stand-alone server
Finns på: www.microsoft.com/downloads
TechNet Security Summit 2004 20.
Rollbaserad Säkerhet - Exchange 2000 Server
Domain Controllers
Member Servers
File Servers
Infrastructure Servers
Web Servers
CA Servers
IAS Servers
Exchange Servers
Finns på: www.microsoft.com/downloads
OWA Servers
Exchange Back-end Servers
Exchange Domain Controllers incremental GPODomain
TechNet Security Summit 2004 22.
Whitepaper: Windows XP Security Guide
Secured XP Users OU
Windows XP OUXP Laptop OU
XP Desktop OU
Stand-alone Desktop
Stand-alone Laptop
Finns på: www.microsoft.com/downloads
Domain
TechNet Security Summit 2004 23.
Group Policy Common Scenarios Using GPMC
Users
Computers
Highly Managed
Lightly Managed Mobile
Highly Managed
Lightly Managed Mobile
Appstation
Kiosk
Multi-user
Taskstation
Appstation
Kiosk
Multi-user
Taskstation
Domain
TechNet Security Summit 2004 25.
Whitepaper: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP
Länk go.microsoft.com/fwlink/?LinkId=15160
TechNet Security Summit 2004 28.
Anonym användareAnonym användare
Legitim användareLegitim användare
Fysisk åtkomstFysisk åtkomst
DCDC
DCDC
NätverksNätverksResursResurs
RootRootdomaindomain
Data adminData admin
Service adminService admin
x
x.y
Legitim användareLegitim användare
En illasinnadEn illasinnad
En illasinnadEn illasinnad
En illasinnadEn illasinnad
En illasinnadEn illasinnad En illasinnadEn illasinnad
TechNet Security Summit 2004 29.
Skapa en struktur för Delegerad administration
• Förstå alla aspekter och behov av att managera AD• Utred vem som skall kunna göra vad, definiera roller.• Skapa en modell för delegering som säkerställer att all
administration av AD innefattas. • Implementera en modell för delegering med effektivitet
och säkerhet i fokus. Tillämpa principen ”minsta möjliga privilegier och rättigheter”
• Underhåll modellen för delegering kontinuerligt, och gör modifieringar så att den stödjer alla administrativa behov.
TechNet Security Summit 2004 30.
Exempel på delegerad behörighet – inloggning• Skall användare Bob kunna logga på från användare Alice dator?• Skall en vanlig användare kunna logga på en administratörs
vanliga dator?• Är det bra att en domainadmin loggar på användare Bobs dator för
att installera ett program?• Är det någon risk med att en domänadministratör loggar in på en
vanlig användares dator?
TechNet Security Summit 2004 31.
Idéer om delegerad behörighet – inloggning• Endast den som skall kunna logga på lokalt mot en viss dator bör
ha rättigheten ”log on locally”– Behörig användare, lokal administratör
• Endast den som skall kunna ansluta till en viss dator via nätverket bör ha rättigheten: ”access this computer from the network”
– Se till exempel till att det lokala administratörskontot har deny!
– Se till exempel till att lokala tjänstekonton har deny!
• Undvik att ge domänkonton påloggningsmöjligheter om du kan lösa det med lokala konton
– Local Service, Network Service, etc..
TechNet Security Summit 2004 32.
Exempel och idéer om delegerad behörighet –inloggning
Access this computer from the network
Deny access to this computer from the network
Deny logon locally
Deny Logon through Terminal Services
Logon locally
Allow Logon through Terminal Services
TechNet Security Summit 2004 33.
Exempel och idéer om delegerad behörighet – Administration klientdatorer, Administration servrar
Local AdminWebserversLocal AdminWebservers
Local AdminFileservers
Local AdminFileservers
Local AdminComputers BLocal AdminComputers BLocal Admin
Computers ALocal AdminComputers A
OU AOU B
Local AdminAdmincomputers
Local AdminAdmincomputers
Admin Computers
OUWebservers
OU
Fileservers OU
TechNet Security Summit 2004 34.
Kontrollera Strukturen och säkerställ:
• Att endast de delegerade administratörerna kan utföra tilldelade uppgifter
• Att de delegerade administratörerna endast kan utföra de uppgifter som tilldelats dem och ingenting utöver detta.
TechNet Security Summit 2004 35.
Exempel
• En supporttekniker skall kunna nollställa lösenord.– Men absolut inte för Domänadminsitratörerna
• En Administratör skall kunna Skapa datorkonton i En OU.– Men absolut inte kunna skapa användarkonton
TechNet Security Summit 2004 36.
Whitepaper:Best Practices for Delegating Active Directory Administration• Konceptuell dokumentation om strategi och metodik för
att implementera rollbaserad administration
• Innehåll:– Chapter 1: Delegation of Administration Overview– Chapter 2: How Delegation Works in Active Directory– Chapter 3: Delegating Service Management– Chapter 4: Delegating Data Management– Case Study: A Delegation Scenario
TechNet Security Summit 2004 37.
Best Practices for Delegating Active Directory Administration - Administrativa roller
Service Management Role Service Management Category Covered
Forest Configuration Operators Installation managementTrust managementKnowledge Reference managementOperations Master Roles managementLDAP Policy managementFunctional Levels management
Domain Configuration Operators Installation managementOperations Master Roles managementBackup and Restore management
Security Policy Administrators Security Policy management
Service Admin Managers Service Admin Groups and Accounts management
Domain Controller Administrators Directory Service Configuration managementDirectory Database managementDomain Controller management
Backup Operators Backup and Restore management
Schema Administrators Schema management
Replication Management Administrators Replication management (topology and operational aspects)
Replication Monitoring Operators Replication management (health monitoring)
DNS Administrators DNS management
TechNet Security Summit 2004 38.
Whitepaper:Best Practices for Delegating Active Directory Administration - Appendices
• Konkret information om hur vilka rättigheter som krävs för genomförandet av en uppgift, hur man konfigurerar roller, har man arbetar med olika verktyg för delgering etc.
• Exempel på innehåll:– Appendix A: Active Directory Administrative Tasks
– Appendix G: Active Directory Delegation Tools
– Appendix L: Implementing Service Management Delegation Roles
– Appendix M: Service Management Delegation Role Definitions
– Appendix N: Default Active Directory Service Administrator Groups
– Appendix O: Active Directory Delegation Wizard File
TechNet Security Summit 2004 39.
Lägga till nya tasks i ”Delegation of Control Wizard”
• Kopiera %systemroot%\inf\Delegwiz.inf till Delegwiz.inf.old
• Modifiera %systemroot%\inf\Delegwiz.inf
• Alt 1: Klipp/klistra från whitepaper: Best Practices for Delegating Active Directory Administration: Appendices
• Alt 2: Följ instruktionen i KB: “HOW TO: Customize the Task List in the Delegation Wizard” http://support.microsoft.com/default.aspx?scid=kb;en-us;308404
TechNet Security Summit 2004 40.
Ta bort Delegerade tasks:
• Alt 1) Ta bort rättigheterna manuellt– Man måste veta exakt vilka rättigheter som tilldelats vid
skapandet av denna task.– Ev. använd SubinACL
• Alt 2) Ta bort och återskapa Gruppen.– Ibland enklare– Kräver att du har fullgod dokumentation över gruppens
tasks/rättigheter.
top related