О безопасности Active Directory

Microsoft Active Directory

Доброго времени суток, уважаемые читатели. После написания последнего поста на блоге утекло много воды. Серверные и клиентские OS успели обновится дважды, сменился генеральный директор Microsoft, Azure стал уже совсем взрослым… Но кое-что все же осталось прежним — Active Directory Domain Services или просто AD DS.

Как театр начинается с вешалки, так любая инфраструктура Microsoft начинается с ее основы – Active Directory Domain Services. За время своего существования, службы активного каталога стали фактическим стандартом. Это подтверждается многочисленными развертываниями. Мне сложно представить современную IT инфраструктуру без служб каталогов, но c другой стороны, огромная популярность имеет и обратную сторону. В тех случая, когда службы каталогов разворачиваются наскоком и без планирования получается довольно-таки скверная ситуация: безопасность Active Directory – «дефолт».

Работая в системном интеграторе, профиль которого обеспечение услуг информационной безопасности, я привлекался к задачам консультирования по вопросам ADDS. В рамках расследования одной такой атаки на инфраструктуру предприятия, выяснились интересные обстоятельства. Администраторы доменной групповой политикой создавали локальные учетные записи на хостах в домене. Это крайне опасно, так как данные об локальных учетных записях сохраняются в «волшебном» файле groups.xml, который в свою очередь находится в каталоге SYSVOL. Стандартные разрешения для любой групповой политики – аутентифицированные пользователи имеют право читать и применять политику. Другими словами, файл находится в открытом виде. Далее, файл как бы зашифрован, шифрование симметричное, а ключ один для всех копий Windows и написан в открытом виде в MSDN. Зачастую, таким способом распространяется учетные записи администраторов… Безопасность Active Directory? Не не слышали…

Итог расследования – предоставление отчёта о том, как были скомпрометированы службы Active Directory.

Проблематика существует, и носит практический характер. В рамках будущего цикла стаей, который посвящен данной тематике, я планирую развернуть новую инфраструктуру каталогов и выполнить необходимые базовые шаги для обеспечения безопасности. Весь процесс развертывания будет разбит на кейсы, и описание каждого кейса задумывается в виде отдельной статьи.

Ошибки проектирования Active Directory

Установка нового контроллера домена Active Directory

 

Очень важно чтобы был один уровень теоретических знаний, так как последующие статьи вызовут еще больше вопросов. Ниже будет ссылка на конспект лекций по Active Directory. Материал безумно устарел, но с задачей объяснения основ работы сервиса он справляется отлично. Ссылка на скачивание — Методология внедрения Microsoft Active Directory или онлайн просмотр на этой же странице:

Metodologiya-vnedreniya-Microsoft-Active-Directory

Оставить комментарий

  Подписаться  
Уведомление о