Sie haben ein Active Directory, aber eine Menge Domänenadministratoren? Sie wollen die Sicherheit erhöhen, die Gefahren durch fehlerhafte Administration.

  • Published on
    05-Apr-2015

  • View
    102

  • Download
    0

Embed Size (px)

Transcript

  • Folie 1
  • Sie haben ein Active Directory, aber eine Menge Domnenadministratoren? Sie wollen die Sicherheit erhhen, die Gefahren durch fehlerhafte Administration verringern und tgliche Aufgaben bestimmten Mitarbeitern (etwa dem Helpdesk) zuordnen? In diesem Vortrag vermitteln wir Ihnen, wie das Sicherheitsmodell in Windows und im Active Directory funktioniert, berichten ber Erfahrungen bei der Implementierung rollenbasierter Administration und helfen Ihnen herauszufinden, was Sie delegieren mssen. Zustzlich erfahren Sie, welche Neuigkeiten Ihnen Windows Server 2008 in diesem Zusammenhang bietet. NEXT:
  • Folie 2
  • Ulf B. Simon-Weidner Senior Consultant, Trainer, Autor
  • Folie 3
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 4
  • Benutzer-Token vs. Security Descriptor darf ich vorstellen: Bei der Anmeldung erhlt der Benutzer seinen Token (Liste von SIDs des Benutzer, SidHistory, Gruppen,...): whoami /all Das System vergleicht den Token mit der DACL/SACL um Zugriff zu gewhren, verweigern oder berwachen
  • Folie 5
  • defaultSecurityDescriptor der Object-Klasse im SchemaSchema Neuer Benutzer Container Vererbte Rechte des bergeordneten Containers Explizite Rechte
  • Folie 6
  • Windows Security auf Ressorcen: NTSecurity-Descriptor DACL SACL ACE
  • Folie 7
  • Besitzer des Objektes (SID) Primre Gruppe des Besitzers (SID) Revision: 1 Control: Flags: SE_DACL_PRESENT SE_DACL_PROTECTED SE_SACL_PRESENT SE_SACL_PROTECTED Protected = Doesnt allow inheritance Owner (SID) Primary Group (SID) Discretionary Access Control List (DACL) System Access Control List (SACL) Revision Control Owner (SID) Primary Group (SID) Revision Control
  • Folie 8
  • Discretionary Access Control List (DACL) kontrolliert Zugriffsberechtigungen System Access Control List (SACL) kontrolliert berwachungen ACECount: Anzahl der ACEs ACLRevision: 1 List of ACEs ACECount ACLRevision Access Control Entries (ACE) ACECount ACLRevision
  • Folie 9
  • Trustee: Fr wen ist die ACE? (SID) ACEType: Allow oder Deny ACE ACEFlags: ACE wird vererbt auf All Objects below One Level Not to base, just inherit Was inherited SACL: Success/Failure Trustee (SID) ACEFlags ACEType AccessMask InheritedObjectType Flags ObjectType Trustee (SID) ACEFlags ACEType
  • Folie 10
  • AccessMask: Definiert die vergebenen Rechte Delete the object Read | Modify DACL | SACL Get Ownership Generic Read | Write | Execute | All Create | Delete | List Child Read | Write Property Delete Tree List Object Control Access Trustee (SID) ACEFlags ACEType AccessMask InheritedObjectType Flags ObjectType
  • Folie 11
  • Flags: Welche Felder existieren? ObjectType (0x1) InheritedObjectType (0x2) ObjectType: Write/Read Property oder Create/Delete Child: {Schema-Id-GUID} des Objektes/Attributes InheritedObjectType: Vererbt auf welchen Object- Typ {Schema-Id-Guid} Trustee (SID) ACEFlags ACEType AccessMask InheritedObjectType Flags ObjectType InheritedObjectType Flags ObjectType
  • Folie 12
  • Folie 13
  • Security Descriptor Owner / Group ACEs DACL / SACL Control (SE_xACL_Protected)
  • Folie 14
  • ACE Trustee AccessMask ACEType ACEFlags InheritedObjectType ObjectType
  • Folie 15
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 16
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 17
  • Wird verwendet in Standardrechten des Schema: defaultSecurityDescriptor des SchemaObj Eventlog Berechtigungen: HKLM\Sys\CCS\services\Eventlog\..\CustomSD Beispiel: O:AOG:DAD:(A;;RPWPCCDCLCSWRCWDWOGA;;;DA) Besitzer:Account Operators Gruppe:Domain Admins DACL:Parameters(ACE1)(ACE2)..SACL:Parameters(ACE1)(ACE2).. Allow ACE (ACE-Flags) Rights: Read Property, Write Property, Create Child,.. (ObjectType) (InheritedObjectType) Trustee (Domain Admins) Mehr Info: Mehr Info: http://msdn.microsoft.com/library/en-us/secauthz/ security/security_descriptor_definition_language.asp
  • Folie 18
  • Um nach GUIDs zu suchen mssen sie dies in ein anderes Format umwandeln: {11223344-5566-7788-99aa-bbccddeeffgg} \44\33\22\11\66\55\88\77\99\aa\bb\cc\dd\ee\ff\gg z.B. GUID der Computerklasse: 86e6d0a200 {bf967a86-0de6-11d0-a285-00aa003049e2} 86e6d0a200 \86\7a\96\bf\e6\0d\d0\11\a2\85\00\aa\00\30\49\e2 Suche ber LDP/Script: cn=schema,cn=configuration,dc=.. (onelevel) schemaIDGUID= \86\7a\96\bf\e6\0d\d0\11\a2\85\00\aa\00\30\49\e2
  • Folie 19
  • Beispiel: Erstellen eines Benutzers, sowie ihn auf sein Homelaufwerk berechtigen (Skript) Provisioning Wer ist Joe? Keine Ahnung ? \\Fileserver\Joe$ 2. \\Fileserver\Joe$ erstellen 3. Joe auf Homelaufwerk berechtigen 1. Joe erstellen Ergebnis: Joe hat keinen Zugriff auf sein Homelaufwerk
  • Folie 20
  • S-1-5-xx-103: FC Provisioning Wer ist Joe? Joe: S-1-5-xx-103 ! \\Fileserver\Joe$ 3. \\Fileserver\Joe$ erstellen 4. Joe berechtigen Ergebnis: Joe kann auf sein Homelaufwerk zugreifen, dauert aber 2. Replizieren von Joe, oder abwarten 1. Joe erstellen Beispiel: Erstellen eines Benutzers, sowie ihn auf sein Homelaufwerk berechtigen (Skript)
  • Folie 21
  • S-1-5-xx-103: FC Provisioning Was ist Joes SID? \\Fileserver\Joe$ 3. \\Fileserver\Joe$ erstellen 4. Joes SID Vollzugriff geben Ergebnis: Joe hat Zugriff, auch wenn er noch nicht repliziert wurde 2. Nach Joes SID fragen 1. Joe erstellen Beispiel: Erstellen eines Benutzers, sowie ihn auf sein Homelaufwerk berechtigen (Skript) z Z Z..
  • Folie 22
  • Dsacls: Ansehen oder setzen von Berechtigungen auf spezifischen Objekten DSRevoke: Anzeigen / Lschen von Berechtigungen bestimmter Benutzer SubInAcls: File, Registry, Cluster,... ACEs VBS / VB.NET /.. Alles ist mglich ;-)
  • Folie 23
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 24
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 25
  • Aufgaben definieren Wer ist primr verantwortlich? Wer ist auch verantwortlich? Entwerfen der Rollen Welche Rechte werden gebraucht? Struktur fr Berechtigungsgruppen entwerfen Erstellen, Testen, berprfen
  • Folie 26
  • OU-Design: Delegation Gruppenrichtlinien Kontenoperatoren: CCDC & FC von Benutzern, Computern, Gruppen, InetOrgPerson Problem: CCDC & FC fr Benutzer, Gruppen in MyComputers OU, Computern in MyUsers,... Create/Delete Child & Full Control on Users Computers Groups InetOrgPerson
  • Folie 27
  • Beabsichtigt: Vollzugriff auf Benutzer, Computer, Gruppen und InetOrgPerson-Objects in den entsprechenden OUs. Lsung: Erstellen einer eigenen Gruppe und Delegation der Rechte Erstellen und Berechtigen Sie Ihre eigene Kontenoperatoren-Gruppe Create/Delete Child & Full Control on Computers Create/Delete Child & Full Control on Users InetOrgPerson Create/Delete Child & Full Control on Groups
  • Folie 28
  • Ein spezieller Prozess der Administrative Konten schtzt Luft einmal pro Stunde (auf dem PDC-Emulator) Schtzt Mitglieder der Gruppen DA, EA, SA, BA, -Operatoren (setzt und berprft adminCount) Setzt die Rechte auf die des cn=AdminSdHolder,cn=System,.. zurck Achtung: Betrifft auch Rekursive Gruppenmitgliedschaften (sogar Verteilergruppen) Empfehlung: Entsprechender Entwurf der OU-Struktur Keine eingebauten Gruppen verwenden wenn nicht notwendig Mehr Infos: Mehr Infos: http://msmvps.com/blogs/ulfbsimonweidner /archive/2005/05/29/49659.aspx
  • Folie 29
  • Active Directory Delegation Whitepaper When it moves script it Vergleich von Objektattributen vor und nach einer nderung: Attributnderungen: ldifde s server d dn f file1.log Replizierte Attribute: repadmin /showobjmeta server dn /nocache /linked >> file1.log Genderte Rechte: dsacls \\server\dn >> file1.log
  • Folie 30
  • Anfangs: Script it mit DSAcls or VBS dsacls "ou=Frankfurt,ou=MyUser,dc=example,dc=com" /G example\FFM-Helpdesk:WP;lockoutTime;user /I:S dsacls "ou=Frankfurt,ou=Sitegroups,ou=MyGroups,dc=... /G example\FFM-Helpdesk:WP;member;group /I:S Anpassen des Delegations-Assistenten: (%windir%\inf\delegwiz.inf) [template14] AppliesToClasses=domainDNS,organizationalUnit,container Description = "Site Helpdesk" ObjectTypes = user,group [template14.user] lockoutTime=WP [template14.group] member=WP
  • Folie 31
  • Testen Sie die Administrativen Benutzeroberflchen ob sie mit Ihren delegierten Rollen arbeiten knnen Wenn Sie Admin-Interfaces programmieren, testen Sie die Berechtigungen Mit dem Objekt verbinden, dann allowedAttributesEffective und/oder allowedChildClassesEffective berprfen
  • Folie 32
  • Wie kann ich einen Report erhalten: Wo hat ein Benutzer Berechtigungen? Wer hat Rechte auf einer bestimmten OU? Wo sind welche Rechte delegiert worden? berwachen von Berechtigungen? Benutzen Sie ein Tool / lassen Sie regelmig Reports laufen berwachung einschalten und auf Event 566 der Kategorie Directory Service Access berprfen Scripten
  • Folie 33
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 34
  • Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008
  • Folie 35
  • Eigene Ansichten des Eventlogs mglich Weiterleiten und zentrales Sammeln von bestimmten Ereignissen Aufgaben knnen durch Events ausgelst werden Mehr Details in Audit-Logs Z.B. Attributnderungen auditpol /get /category:DS Access auditpol /set /subcategory:Directory Service Changes
  • Folie 36
  • Festlegen wessen Passworte in dem Standort repliziert werden Keine kritischen Passwrter in unsichere Standorte replizieren Delegieren der lokalen Administration von RODCs
  • Folie 37
  • DSACLS.exe Hinzufgen / Entfernen von ACEs Verbesserte Fehlerbehandlung um fehlerhafte ACLs darzustellen SIDs anstelle von Namen zugelassen ICACLS.exe Hinzufgen / Entfernen von SIDs in NTFS Sichern / Rcksichern von ACEs in eine Datei Behlt korrekte Reihenfolge der ACEs SIDs anstelle von Namen zugelassen
  • Folie 38
  • Europas fhrender herstellerbergreifender Dienstleister fr Informationstechnologie Windows Server 2008 im Haus implementiert Kundenprojekte zu WS2k8 seit Anfang 2007 Zahlreiche Referenzen Groe Erfahrung bei Migrationsprojekten Halle 5.1, Stand 6.2 Das Magazin fr professionelle System- und Netzwerkadministration Mai / Juni 2007: Vorschau auf Windows Server 2008 November 2007 bis Januar 2008: Serie zu Windows Server 2008 Mrz / April 2008: Active Directory Wiederherstellung mit Windows Server 2008 Halle 5.1, Stand 6.18
  • Folie 39
  • Windows Server 2008 Tech Center http://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/de fault.mspx http://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/de fault.mspx Windows Server 2008 Webcasts: http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx Windows Server 2008 Produktseite: http://www.microsoft.com/germany/windowsserver2008/default.mspx http://www.microsoft.com/germany/windowsserver2008/default.mspx Microsoft Virtualization: http://www.microsoft.com/virtualization/default.mspx http://www.microsoft.com/virtualization/default.mspx
  • Folie 40
  • Security Descriptor in der MSDN-Library Platform SDK Active Directory Delegation Whitepaper: Best Practices for Delegating Active Directory Administration http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3- 79e1-48fa-9730-dae7c0a1d6d3 http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3- 79e1-48fa-9730-dae7c0a1d6d3 Best Practices for Delegating Active Directory Administration Appendices http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88- a216-45f9-9739-cb1fb22a0642 http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88- a216-45f9-9739-cb1fb22a0642 Mein Blog: www.msmvps.com/ulfbsimonweidner www.msmvps.com/ulfbsimonweidner Meine WebSite: www.windowsserverfaq.de Scripting Example at FAQ AD Bugs Computer ACEs www.windowsserverfaq.de
  • Folie 41
  • Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen whrend der gesamten Veranstaltung in der Haupthalle zur Verfgung.
  • Folie 42
  • 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Recommended

View more >