Přečtěte si celou sérii:
|
Kap. 1 – Ochrana služby Active Directory Domain Services |
Každá součást moderního datového centra vyžaduje nějakou formu nebo způsob ověřování. Služba Active Directory Services společnosti Microsoft obsahuje informace o jednotlivých objektech v rámci doménové struktury a nezbytné informace ukládá do relační databáze (ntds.dit). Řadiče domény tvoří vrchol infrastruktury, která řídí přístup ke zdrojům prostřednictvím procesu ověření a přihlášení. Stejně tak, když se uživatel pokusí o přístup k souboru na podnikovém souborovém serveru založeném na doméně. Kerberos a NTLM jsou ověřovací protokoly, které se používají k ověření identity počítače nebo uživatele. Pro nepřetržitou dostupnost (Always-On Business) je ověřování, mírně řečeno, zásadní.
IT odborníci a technici jsou velmi pečliví a provádějí rozsáhlé plánování, aby navrhli vysoce dostupnou infrastrukturu Active Directory Domain Services a eliminovali tak možné problémy. Pokud je jednotlivý řadič domény nedostupný, například kvůli výpadku sítě nebo restartování v průběhu časového období opravy, nebylo by žádoucí, aby se přerušila veškerá komunikace, a proto integrujeme odolnost. Nástroj Lokality a služby Active Directory společnosti Microsoft (dssite.msc) obstarává modul replikace nebo časový interval, ve kterém dochází k replikaci mezi řadiči domény. To zajistí automatické přemisťování nejnovějších změn z jednoho pracoviště na druhé. Osvědčeným postupem je vytvořit pracoviště „s prodlevou“, tedy pracoviště v rámci prostředí, které je výrazně vyjmuto z obvyklé replikace. Tyto hodnoty se řídí podle modelu nákladů a intervalu. Pracoviště s nejvyššími náklady a intervalem replikace mají nejnižší prioritu. Pokud dojde k nechtěnému odstranění organizační jednotky, bylo by žalostné, kdyby nastala okamžitá replikace po celém prostředí – proto pracoviště s prodlevou.
Příklad č. 1: Lokality a služby Active Directory – náklady a interval replikace
Naštěstí pro uživatele nástroje Veeam Backup & Replication jsme schopni rychle, snadno a spolehlivě obnovit jednotlivé objekty či atributy objektů v případě, že je nedopatřením provedena nějaká úprava nebo odstranění. Toho je dosaženo využitím nástroje Veeam Explorer pro službu Microsoft Active Directory.
Přístupová práva mějte pod kontrolou
Active Directory (AD) má řadu zabudovaných globálních skupin zabezpečení; některé pro objekty počítačů, jiné pro uživatelské objekty. Například pro:
- Správce domény
- Podnikové správce
- Správce „Schema Admin“
- Uživatele domény
- Řadiče domény
- Doménové počítače
Abyste mohli úspěšně zavést delegování, je důležité pochopit, jak v rámci Active Directory fungují modely zabezpečení. Podle mého je to vlastně celkem jednoduché, něco jako NTFS. Oprávnění nastavená na nejvyšší úrovni se mohou rozšířit napříč vnořenými organizačními jednotkami a objekty v rámci doménové hierarchie.
Nehody se zaručeně stávají! Co kdyby Petr z oddělení podpory omylem smazal organizační jednotku se všemi účty služby pro infrastrukturu SQL? To by byl mizerný den! Aby byla zajištěna ochrana před nechtěnou lidskou chybou, nebo v horším případě před zlovolným ohrožením bezpečnosti, je nutné důkladně monitorovat členství v těchto skupinách. Měly by být prováděny pravidelné audity pro potvrzení toho, které uživatelské účty mají přístup ke kterým skupinám. Osvědčeným postupem je vytvářet účty služeb (svc-xxxx) pro všechny uživatelské účty založené na aplikaci a účty správce (admin-xxxx) a všechny účty pro přístup se zvýšenými oprávněními, prostřednictvím kterých se jednotliví uživatelé přihlašují. Můj běžný doménový účet cwyckoff by například NIKDY nebyl ve skupině Správci domény povolen. Pro tento účel bych vytvořil a používal účet admin-cwyckoff. Rozvažte také používání náhodných znaků, například ID zaměstnanců, jako uživatelských účtů (např. v123456 nebo admin-v123456). Pro hackery zvenčí je pak obtížnější uhodnout názvy uživatelských účtů při použití útoku hrubou silou na základě známých zásad vytváření názvů.
Delegování rolí na další členy v rámci IT je skvělý způsob, jak dalším členům týmu poskytnout oprávnění k provádění činností. Ve větších IT firmách obvykle ověřovací službu Active Directory ovládají týmy techniků a architektů, kontrolu a přístup pak delegují na týmy na úrovni správy a obsluhy. Za tímto účelem byste měli využít integrovaný nástroj v rámci nástroje Uživatelé a počítače služby Active Directory (dsa.msc). Delegovat na jednotlivé uživatele nebo skupiny uživatelů přístupová oprávnění k provádění úloh je rychlé a snadné. Může to vypadat například takto: „Připojit počítač k doméně“ nebo „Resetovat uživatelská hesla a vynutit změnu hesla při příštím přihlášení“. Můžete také vytvořit vlastní úlohu, jestliže požadovanou úlohu nenajdete mezi běžně nabízenými možnostmi v průvodci. Vzhledem k tomu, že dokážeme vypsat úlohy, které jsou každý uživatel nebo skupina uživatelů oprávněni provádět, můžeme uplatnit přístup založený na rolích. Jedná se o naprosto nejosvědčenější postup a zároveň o skvělý způsob, jak zajistit, aby příslušné týmy měly přesně ta oprávnění, která potřebují k provádění odpovídajících úloh – nic víc a nic míň.
Příklad č. 2: Integrovaný průvodce delegováním řízení
Závěr
Ověřování domény je klíčová složka infrastruktury, která se až příliš často přehlíží. Členové provozující doménové služby mnohdy nemají čas posadit se a promyslet, jakou konkrétní roli má ten který člen v rámci IT. Nejjednodušší způsob, jak z toho ven, je dát lidem příliš mnoho oprávnění, což velmi rychle povede k dost nebezpečné situaci. Integrace místních zásad ochrany spolu s návrhem vysoce odolné architektury umožňuje, aby všechny složky fungovaly tím nejoptimálnějším způsobem. V dalším příspěvku probereme součásti poruchy a obnovení celého pracoviště a také to, jak můžete dále využít řadiče domény jen pro čtení (RODC) k zabezpečení prostředí Active Directory.
