Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sie haben ein Active Directory, aber eine Menge Domänenadministratoren? Sie wollen die Sicherheit erhöhen, die Gefahren durch fehlerhafte Administration.

Ähnliche Präsentationen


Präsentation zum Thema: "Sie haben ein Active Directory, aber eine Menge Domänenadministratoren? Sie wollen die Sicherheit erhöhen, die Gefahren durch fehlerhafte Administration."—  Präsentation transkript:

1 Sie haben ein Active Directory, aber eine Menge Domänenadministratoren? Sie wollen die Sicherheit erhöhen, die Gefahren durch fehlerhafte Administration verringern und tägliche Aufgaben bestimmten Mitarbeitern (etwa dem Helpdesk) zuordnen? In diesem Vortrag vermitteln wir Ihnen, wie das Sicherheitsmodell in Windows und im Active Directory funktioniert, berichten über Erfahrungen bei der Implementierung rollenbasierter Administration und helfen Ihnen herauszufinden, was Sie delegieren müssen. Zusätzlich erfahren Sie, welche Neuigkeiten Ihnen Windows Server 2008 in diesem Zusammenhang bietet. NEXT:

2 Ulf B. Simon-Weidner Senior Consultant, Trainer, Autor

3 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

4 Benutzer-Token vs. Security Descriptor – darf ich vorstellen: Bei der Anmeldung erhält der Benutzer seinen Token (Liste von SIDs des Benutzer, SidHistory, Gruppen,...): whoami /all Das System vergleicht den Token mit der DACL/SACL um Zugriff zu gewähren, verweigern oder überwachen

5 defaultSecurityDescriptor der Object-Klasse im SchemaSchema Neuer Benutzer Container Vererbte Rechte des übergeordneten Containers Explizite Rechte

6 Windows Security auf Ressorcen: NTSecurity-Descriptor DACL SACL ACE

7 Besitzer des Objektes (SID) Primäre Gruppe des Besitzers (SID) Revision: 1 Control: Flags: SE_DACL_PRESENT SE_DACL_PROTECTED SE_SACL_PRESENT SE_SACL_PROTECTED Protected = Doesnt allow inheritance Owner (SID) Primary Group (SID) Discretionary Access Control List (DACL) System Access Control List (SACL) Revision Control Owner (SID) Primary Group (SID) Revision Control

8 Discretionary Access Control List (DACL) kontrolliert Zugriffsberechtigungen System Access Control List (SACL) kontrolliert Überwachungen ACECount: Anzahl der ACEs ACLRevision: 1 List of ACEs ACECount ACLRevision Access Control Entries (ACE) ACECount ACLRevision

9 Trustee: Für wen ist die ACE? (SID) ACEType: Allow oder Deny ACE ACEFlags: ACE wird vererbt auf All Objects below One Level Not to base, just inherit Was inherited SACL: Success/Failure Trustee (SID) ACEFlags ACEType AccessMask InheritedObjectType Flags ObjectType Trustee (SID) ACEFlags ACEType

10 AccessMask: Definiert die vergebenen Rechte Delete the object Read | Modify DACL | SACL Get Ownership Generic Read | Write | Execute | All Create | Delete | List Child Read | Write Property Delete Tree List Object Control Access Trustee (SID) ACEFlags ACEType AccessMask InheritedObjectType Flags ObjectType

11 Flags: Welche Felder existieren? ObjectType (0x1) InheritedObjectType (0x2) ObjectType: Write/Read Property oder Create/Delete Child: {Schema-Id-GUID} des Objektes/Attributes InheritedObjectType: Vererbt auf welchen Object- Typ {Schema-Id-Guid} Trustee (SID) ACEFlags ACEType AccessMask InheritedObjectType Flags ObjectType InheritedObjectType Flags ObjectType

12

13 Security Descriptor Owner / Group ACEs DACL / SACL Control (SE_xACL_Protected)

14 ACE Trustee AccessMask ACEType ACEFlags InheritedObjectType ObjectType

15 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

16 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

17 Wird verwendet in Standardrechten des Schema: defaultSecurityDescriptor des SchemaObj Eventlog Berechtigungen: HKLM\Sys\CCS\services\Eventlog\..\CustomSD Beispiel: O:AOG:DAD:(A;;RPWPCCDCLCSWRCWDWOGA;;;DA) Besitzer:Account Operators Gruppe:Domain Admins DACL:Parameters(ACE1)(ACE2)..SACL:Parameters(ACE1)(ACE2).. Allow ACE (ACE-Flags) Rights: Read Property, Write Property, Create Child,.. (ObjectType) (InheritedObjectType) Trustee (Domain Admins) Mehr Info: Mehr Info: security/security_descriptor_definition_language.asp

18 Um nach GUIDs zu suchen müssen sie dies in ein anderes Format umwandeln: { aa-bbccddeeffgg} \44\33\22\11\66\55\88\77\99\aa\bb\cc\dd\ee\ff\gg z.B. GUID der Computerklasse: 86e6d0a200 {bf967a86-0de6-11d0-a285-00aa003049e2} 86e6d0a200 \86\7a\96\bf\e6\0d\d0\11\a2\85\00\aa\00\30\49\e2 Suche über LDP/Script: cn=schema,cn=configuration,dc=.. (onelevel) schemaIDGUID= \86\7a\96\bf\e6\0d\d0\11\a2\85\00\aa\00\30\49\e2

19 Beispiel: Erstellen eines Benutzers, sowie ihn auf sein Homelaufwerk berechtigen (Skript) Provisioning Wer ist Joe? Keine Ahnung ? \\Fileserver\Joe$ 2. \\Fileserver\Joe$ erstellen 3. Joe auf Homelaufwerk berechtigen 1. Joe erstellen Ergebnis: Joe hat keinen Zugriff auf sein Homelaufwerk

20 S-1-5-xx-103: FC Provisioning Wer ist Joe? Joe: S-1-5-xx-103 ! \\Fileserver\Joe$ 3. \\Fileserver\Joe$ erstellen 4. Joe berechtigen Ergebnis: Joe kann auf sein Homelaufwerk zugreifen, dauert aber 2. Replizieren von Joe, oder abwarten 1. Joe erstellen Beispiel: Erstellen eines Benutzers, sowie ihn auf sein Homelaufwerk berechtigen (Skript)

21 S-1-5-xx-103: FC Provisioning Was ist Joes SID? \\Fileserver\Joe$ 3. \\Fileserver\Joe$ erstellen 4. Joes SID Vollzugriff geben Ergebnis: Joe hat Zugriff, auch wenn er noch nicht repliziert wurde 2. Nach Joes SID fragen 1. Joe erstellen Beispiel: Erstellen eines Benutzers, sowie ihn auf sein Homelaufwerk berechtigen (Skript) z Z Z..

22 Dsacls: Ansehen oder setzen von Berechtigungen auf spezifischen Objekten DSRevoke: Anzeigen / Löschen von Berechtigungen bestimmter Benutzer SubInAcls: File, Registry, Cluster,... ACEs VBS / VB.NET /.. Alles ist möglich ;-)

23 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

24 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

25 Aufgaben definieren Wer ist primär verantwortlich? Wer ist auch verantwortlich? Entwerfen der Rollen Welche Rechte werden gebraucht? Struktur für Berechtigungsgruppen entwerfen Erstellen, Testen, Überprüfen

26 OU-Design: Delegation Gruppenrichtlinien Kontenoperatoren: CCDC & FC von Benutzern, Computern, Gruppen, InetOrgPerson Problem: CCDC & FC für Benutzer, Gruppen in MyComputers OU, Computern in MyUsers,... Create/Delete Child & Full Control on Users Computers Groups InetOrgPerson

27 Beabsichtigt: Vollzugriff auf Benutzer, Computer, Gruppen und InetOrgPerson-Objects in den entsprechenden OUs. Lösung: Erstellen einer eigenen Gruppe und Delegation der Rechte Erstellen und Berechtigen Sie Ihre eigene Kontenoperatoren-Gruppe Create/Delete Child & Full Control on Computers Create/Delete Child & Full Control on Users InetOrgPerson Create/Delete Child & Full Control on Groups

28 Ein spezieller Prozess der Administrative Konten schützt Läuft einmal pro Stunde (auf dem PDC-Emulator) Schützt Mitglieder der Gruppen DA, EA, SA, BA, -Operatoren (setzt und überprüft adminCount) Setzt die Rechte auf die des cn=AdminSdHolder,cn=System,.. zurück Achtung: Betrifft auch Rekursive Gruppenmitgliedschaften (sogar Verteilergruppen) Empfehlung: Entsprechender Entwurf der OU-Struktur Keine eingebauten Gruppen verwenden wenn nicht notwendig Mehr Infos: Mehr Infos: /archive/2005/05/29/49659.aspx

29 Active Directory Delegation Whitepaper When it moves – script it Vergleich von Objektattributen vor und nach einer Änderung: Attributänderungen: ldifde –s server –d dn –f file1.log Replizierte Attribute: repadmin /showobjmeta server dn /nocache /linked >> file1.log Geänderte Rechte: dsacls \\server\dn >> file1.log

30 Anfangs: Script it mit DSAcls or VBS dsacls "ou=Frankfurt,ou=MyUser,dc=example,dc=com" /G example\FFM-Helpdesk:WP;lockoutTime;user /I:S dsacls "ou=Frankfurt,ou=Sitegroups,ou=MyGroups,dc=... /G example\FFM-Helpdesk:WP;member;group /I:S Anpassen des Delegations-Assistenten: (%windir%\inf\delegwiz.inf) [template14] AppliesToClasses=domainDNS,organizationalUnit,container Description = "Site Helpdesk" ObjectTypes = user,group [template14.user] lockoutTime=WP [template14.group] member=WP

31 Testen Sie die Administrativen Benutzeroberflächen ob sie mit Ihren delegierten Rollen arbeiten können Wenn Sie Admin-Interfaces programmieren, testen Sie die Berechtigungen Mit dem Objekt verbinden, dann allowedAttributesEffective und/oder allowedChildClassesEffective überprüfen

32 Wie kann ich einen Report erhalten: Wo hat ein Benutzer Berechtigungen? Wer hat Rechte auf einer bestimmten OU? Wo sind welche Rechte delegiert worden? Überwachen von Berechtigungen? Benutzen Sie ein Tool / lassen Sie regelmäßig Reports laufen Überwachung einschalten und auf Event 566 der Kategorie Directory Service Access überprüfen Scripten

33 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

34 Grundlagen zum Windows Sicherheitsmodell Werkzeuge und Scripting Entwerfen und Implementieren Rollenbasierter Administration Windows Server 2008

35 Eigene Ansichten des Eventlogs möglich Weiterleiten und zentrales Sammeln von bestimmten Ereignissen Aufgaben können durch Events ausgelöst werden Mehr Details in Audit-Logs Z.B. Attributänderungen auditpol /get /category:DS Access auditpol /set /subcategory:Directory Service Changes

36 Festlegen wessen Passworte in dem Standort repliziert werden Keine kritischen Passwörter in unsichere Standorte replizieren Delegieren der lokalen Administration von RODCs

37 DSACLS.exe Hinzufügen / Entfernen von ACEs Verbesserte Fehlerbehandlung um fehlerhafte ACLs darzustellen SIDs anstelle von Namen zugelassen ICACLS.exe Hinzufügen / Entfernen von SIDs in NTFS Sichern / Rücksichern von ACEs in eine Datei Behält korrekte Reihenfolge der ACEs SIDs anstelle von Namen zugelassen

38 Europas führender herstellerübergreifender Dienstleister für Informationstechnologie Windows Server 2008 im Haus implementiert Kundenprojekte zu WS2k8 seit Anfang 2007 Zahlreiche Referenzen Große Erfahrung bei Migrationsprojekten Halle 5.1, Stand 6.2 Das Magazin für professionelle System- und Netzwerkadministration Mai / Juni 2007: Vorschau auf Windows Server 2008 November 2007 bis Januar 2008: Serie zu Windows Server 2008 März / April 2008: Active Directory Wiederherstellung mit Windows Server 2008 Halle 5.1, Stand 6.18

39 Windows Server 2008 Tech Center fault.mspx fault.mspx Windows Server 2008 Webcasts: Windows Server 2008 Produktseite: Microsoft Virtualization:

40 Security Descriptor in der MSDN-Library Platform SDK Active Directory Delegation Whitepaper: Best Practices for Delegating Active Directory Administration 79e1-48fa-9730-dae7c0a1d6d3 79e1-48fa-9730-dae7c0a1d6d3 Best Practices for Delegating Active Directory Administration Appendices a216-45f cb1fb22a0642 a216-45f cb1fb22a0642 Mein Blog: Meine WebSite: Scripting Example at FAQ AD Bugs Computer ACEs

41 Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

42 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Herunterladen ppt "Sie haben ein Active Directory, aber eine Menge Domänenadministratoren? Sie wollen die Sicherheit erhöhen, die Gefahren durch fehlerhafte Administration."

Ähnliche Präsentationen


Google-Anzeigen