Как работать с LiveMeetingcdn.osisoft.com/corp/ru/webinars/2013_ActiveDirectory_RU.pdf · 2013-11-06 · каталогов Active Directory при работе с PI

© Copyr i g h t 2012 OS Iso f t , LLC . 1

Вебинар «Защита данных. Особенности настройки службы

каталогов Active Directory при работе с PI System»

Как работать с LiveMeeting

Настройка аудио/видео

Задать вопросы

Загрузить материалы семинара

Presented by

Защита данных. Особенности

настройки службы каталогов

Active Directory при работе с

PI System

Игорь Кораблев,

инженер технической поддержки клиентов OSIsoft

© Copyr i g h t 2012 OS Iso f t , LLC .

Основные вопросы

• Анатомия Атаки.

• Аутентификация в системе и “Pass the Hash”.

• Настройка ДМЗ.

• Анализ решений на базе Active Directory.


4

Анатомия атаки

Сбор информации

Заметание следов

атаки

Управление

доступом(делегирование)

Та самая стадия,

когда угроза

превращается в

атаку! Получение доступа

Сканирование и анализ

структуры


Процесс Атаки

Attacker


6

Звено процесса атаки

Начальная

стадия

Действия

клиента

Взлом

пароля

или хэша

Уязвимость

системы

Повышение

полномочий Сканирование

хэшей

Захват

управления

Переадресация портов и

маршрутизация при помощи

уже взломанной системы

Эксплоит

Цель


Взлом посредством “Pass the Hash”

fn(Hash,Challenge)

Request Access

Random Challenge

LMhash=fn(“password”)

NThash=fn(“password”)

Захвачен хэш? Пароль больше не нужен!


Стратегически важные аккаунты

• Администраторы домена.

• Локальные администраторы.

• Аккаунт с возможностью удаленного доступа

к машине в сети.

• “Зеркальный” аккаунт.

• Имеет “Network Logon” права на удаленной

машине.

• И др.


Рекомендации по настройке

аутентификации

• Действовать по принципу делегирования

наименьших прав доступа.

• Сокращение и защита доменных аккаунтов с

высоким уровнем доступа.

• Сокращение и защита локальных

административных аккаунтов.

• Ограничение трафика посредством

фаервола.


Поток данных в производственной среде

Control

DMZ

Офис

Высший уровень аутентификации

Отсутствие аутентификации

Consumer 1

Producer 1 + Consumer 2

Producer 2 + Consumer 3

Producer 3

ENTERPRISE “ZONE”

PRODUCTION “ZONE”


Доверительная модель

DMZ

Офис

Система Управления

O-Пользователи

Ресурсы для O/D

Ресурсы для O/CУ

СУ-Пользователи

O-Пользователи “SSO”

Resources for C

Trusted

Trusted

Trusting

(Explicitly Managed)

Избранные O-

Пользователи

Аутентифицированные

в СУ для доступа к СУ-

ресурсам

O-Пользователи

Аутентифицированные в O

для доступа к

D-ресурсам

СУ-Пользователи

Аутентифицированные в У

для доступа к

D-ресурсам Trusted


Практики PI System в DMZ

• Избегайте сквозной трафик через DMZ – Никаких исключений для сквознго трафика

– DMZ изолирована от интернета

– Запрет на локальный и RDP доступ к системе

• Управляющая сеть – Минимизация использования

офис и вебпротоколов

– Мониторинг трафика DMZ

– Отдельный полномочия для входа в систему

– PI Interface +PI Buffering


16

16

Способ 1: DMZ PI

Управляющая сеть DMZ Корпоративная сеть

PI Interface Service

Critical Usage

5450 5457 5459

Web Apps PI Coresight PI Notifications PI WebParts

5450 5457 5459

Desktop Apps PI ProcessBook PI DataLink

Web Server

A

S

S

E

T

S

T

H

R

E

A

T

A

C

T

O

R

S


17

Способ 2: PI High Availability

Управляющая сеть DMZ Корпоративная сеть



Desktop Apps PI ProcessBook PI DataLink Critical Usage

5450 5457 5459

5450 5457 5459

Web Server

A

S

S

E

T

S

T

H

R

E

A

T

A

C

T

O

R

S


18

18

Способ 3: DMZ PI to PI

Управляющая сеть

DMZ

Корпоративная сеть


PI-to-PI Interface Critical Usage


Данные реального времени (нет пользовательского

трафика)

5450 5450


Web Server

A

S

S

E

T

S

T

H

R

E

A

T

A

C

T

O

R

S


19

19

Способ 4: Однонаправленные сети

(Data Diode) Управляющая сеть

Enforcement Zone(Однонаправленная

сеть)

Корпоративная сеть


Critical Usage



Web Server

A

S

S

E

T

S

T

H

R

E

A

T

A

C

T

O

R

S


Возможные опции для построения

архитектуры

1. “Зеркальные” аккаунты.

2. Лес– Один домен

3. Лес– Несколько доменов

4. Множество лесов


“Зеркальные”

аккаунты Единый Лес Множество Лесов

Единый аккаунт для управления Нет Да Да

Передача хэша в среде Офис/Производство 2 1 n/a – Тикеты

Сегрегация административных полномочий Да Нет Да

Наследование доверительных свзяей в среде

Офисн/Производство n/a Наследуемые Ненаследуемые

Обозначения трастов в среде Офис/Производство n/a Неявные

Явные Отсуствуют

Направленность Доверительных связей n/a Двунаправленные Однонаправленные

Область Аутентификации Локaльная Любой домен в

лесу

Любой домен в

лесу

Глобальный каталог / Схема n/a 1 2

Репликация через файрвол n/a Да Нет

Требования к репликации (DC to DC) 2 tcp / 2 udp 9 tcp / 3 udp (2003)

10 tcp / 6 udp (2008) 1 tcp / 1 udp

Возможные опции. Сравнение.



Руководство к действию

• Ограничьте доступ к DMZ и сервисам AD

• Будьте осторожней в использовании аккаунтов администратора

• Поддерживайте програмное обеспечение, операционную систему и сетевое ПО в акутальном состоянии.

• Решение должно быть оправдано с точки зрения трудозатрат. – Привлекайте эскпертов.


Дополнительные источники

• Active Directory Replication Over Firewalls http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

• How to Configure a Firewall for Domains and

Trusts http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx

• Active Directory Domain Services in the

Perimeter http://technet.microsoft.com/en-us/library/dd728034(WS.10).aspx

• Windows Security Requirements for PI Server

3.4.380.36 and later (OSIsoft KB00354)

http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx


















http://technet.microsoft.com/en-us/library/dd728034(WS.10).aspx





Стандартный сервис OSIsoft SRP

• Техническая поддержка 24/7 ( на английском языке)

• Обновления программного обеспечения

• Доступ на веб-сайт технической поддержки

techsupport.osisoft.com:

– База знаний

– Документация для текущих версий продуктов

– Информация о будущих разработках

– История обращений в техническую поддержку OSIsoft

http://techsupport.osisoft.com/


Дополнительный сервис OSIsoft (SRP) для

России и стран СНГ

• Техподдержка на русском языке в часы работы

Московского офиса

• Ежегодный двухдневный «техосмотр» PI System

• Один ваучер на тренинг в Москве

• Доступ на OSIsoft virtual campus (vCampus)

• Практикум по различным сценариям (восстановление

после катастроф, миграция/обновление PI System,

слияние PI Server’ов и т.д., в зависимости от размера

PI Server)

http://vcampus.osisoft.com/


Дополнительный сервис OSIsoft (SRP) для

России и стран СНГ

При приобретении технической поддержки в 2013 году

через наших партнеров мы дополнительно предлагаем:

• До 10 лицензий клиентского ПО PI Webparts или PI

Coresight бесплатно, с бесплатной технической

поддержкой на первые 12 месяцев

• Демонстрационный стенд нашего нового ПО PI

System 2012 – бесплатно, на 30 дней


Наш канал на YouTube

OSIsoftRussia


Зарегистрироваться на этот вебинар можно на

нашем сайте:

www.osisoft.ru

20 ноября - «Обновление до

PI Server 2012»

4 декабря –«Все о техподдержке, доп.

сервисах и портале разработчиков

OSIsoft »

Вебинар OSIsoft на русском языке в

2013 году


Тренинги OSIsoft в Москве

Название курса Начало Окончание

PI System Architecture, Planning and Implementation 25.03.2014 28.03.2014

Building PI System Assets and Analytics with PI AF 1.04.2014 4.04.2014

Visualizing PI System Data 8.04.2014 10.04.2014

Содержание курсов Вы можете найти в разделе «Обучение» на нашем

сайте

www.osisoft.ru

Заявки присылайте на электронный адрес:

[email protected]


СПАСИБО! [email protected]

По всем вопросам обращайтесь по адресу:

Documents

Как работать с LiveMeetingcdn.osisoft.com/corp/ru/webinars/2013_ActiveDirectory_RU.pdf · 2013-11-06 · каталогов Active Directory при работе с PI