Rollbaserad Säkerhet med GPO

TechNet Security Summit 2004 1.

Rollbaserad Säkerhet med GPO

Marcus Murray


Innehåll

• Säker domändesign

• Härdning av servrar med Rollbaserad säkerhet

• Härdning och anpassning av klienter.

• Delegering av administration


En Default installerad Windows Server 2003/XP/W2K

Tjänster Portar

Fysisk access

C$Default shares

Sniffa inloggningar

Vägar in i

datorn för

bjudna och

objudna!

Blaster


En forest är en ”Security Boundary”

• ”Sid History” Attack– Koncept– Färdiga verktyg

• ”Sid History” Filtrering– Använd endast mellan

externa trust– Configureras med Netdom

DomainDomain

Domain

Domain

Domain

Domain

Domain TreeDomain Tree

ForestForest

Domain

Domain TreeDomain Tree

Forest RootForest Root


SidHistory Offline Editor (sidhistory.exe)

• Hur det fungerar:

• Get the SID for a user in the target domain.• Reboot a domain controller in Directory Restore mode.• Backup NTDS.DIT (optional but recommended).• Run SHEdit.• Delete all LOG, EDB and CHK files from the %SYSTEMROOT%\NTDS folder.

If you used the %SYSTEMROOT%\NTDS folder as your temporary folder then the tool cleaned up all these files for you.

• Perform an authoritative restore of the AD database if you have multiple domain controllers. This will replicate the change to the other controllers.

• Reboot the server. You should have the desired access on the target domain.• Use the ClearSIDHistory.vbs script to delete the SID History attribute.


Så vad gör vi…Alt 1) • Lev med det

– Acceptera att varje Domain Admin är en potentiell Enterprise Admin– Acceptera att alla som har exklusiv fysisk access till en DC är en

potentiell Enterprise Admin– Begränsa ovan till personer med högsta tillförlitlighet, skapa system

och regelverk som styr över exklusiv fysisk access till DC.

Alt 2) • Designa om AD

– Varje Domain migreras till en egen forest.– Använd MIIS el dyl. för att replikera den globala katalogen.– Filtrera SidHistory mellan Forests (Default i W2Ksp4 och WS2003)


Härdning av servrar med Rollbaserad säkerhet


Windows Server 2003 Security Guide


Rollbaserad administration med Windows Server 2003 Security Guide

• 3 olika scenarion för att passa alla typer av företag

• Testad, implementerad och beprövad

• Väl dokumenterad

• Lätt att tillämpa


Windows Server 2003 Security Guide - 3 Scenarion

HIGH SECUREHIGH SECURE

ENTERPRISE

LEGACY

Windows 2000 Proffessional

Windows XP

Windows 98

NT4 Workstation

Hårt Nedlåst för hög säkerhet


Windows XP


Windows Server 2003 Security Guide - 3 Scenarion

HIGH SECUREHIGH SECURE

ENTERPRISE

LEGACY


Windows XP

Windows 98

NT4 Workstation

Hårt Nedlåst för hög säkerhet


Windows XP


Rollbaserad OU-struktur

Domain Controllers

Member Servers

File Servers

Infrastructure Servers

Web Servers

CA Servers

IAS Servers

Print Servers

Domain


Domain Controllers.infDomain Incremental GPO

Rollbaserad OU-säkerhet med GPO och .inf-filer

Domain Controllers

Member Servers

File Servers


Web Servers

CA Servers

IAS Servers

Print Servers

Domain Incremental GPO

Domain.inf

Member Servers GPO

Member.inf

File Servers GPOFile.inf

Print Servers GPOPrint.inf

IAS Servers GPOIAS.inf

CA Servers GPOCA.inf

Web Servers GPOWeb.inf

Infrastructures Servers GPOInfra.inf

Domain


Rollbaserad Administration med Delegering

Domain Controllers

Member Servers

File Servers


Web Servers

CA Servers

IAS Servers

Print Servers

Domain Engineering

Operations

Web Services

Enterprise Admins

Domain


Summering Rollbaserad Säkerhet - Koncept

Member Servers File Servers

File Servers.inf

Member Servers.inf

File Servers GPO

Member Servers GPO

File Server-SE01

Domain


Samma koncept går att applicera på Windows 2000…


Whitepaper: Securing Windows 2000 Server

DomainDomain Domain Controllers

Member Servers

File & Print Servers

Web Servers


Finns på: go.microsoft.com/fwlink/?LinkId=14838


OBS! Ej att förväxla med:Whitepaper: Windows 2000 Security Hardening Guide

DomainDomain Domain Controllers

Member Servers

ClientsMember Laptop

Member Workstation

Stand-alone Workstation

Stand-alone server

Finns på: www.microsoft.com/downloads


Samma koncept går att applicera med Exchange….


Rollbaserad Säkerhet - Exchange 2000 Server

Domain Controllers

Member Servers

File Servers


Web Servers

CA Servers

IAS Servers

Exchange Servers


OWA Servers

Exchange Back-end Servers

Exchange Domain Controllers incremental GPODomain


Samma koncept går att applicera på XP klienter….


Whitepaper: Windows XP Security Guide

Secured XP Users OU

Windows XP OUXP Laptop OU

XP Desktop OU

Stand-alone Desktop

Stand-alone Laptop


Domain


Group Policy Common Scenarios Using GPMC

Users

Computers

Highly Managed

Lightly Managed Mobile

Highly Managed

Lightly Managed Mobile

Appstation

Kiosk

Multi-user

Taskstation

Appstation

Kiosk

Multi-user

Taskstation

Domain


Ett annat Whitepaper som hör till….


Whitepaper: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP

Länk go.microsoft.com/fwlink/?LinkId=15160


Delegering av Administration


Vad är risken med att inte begränsa behörighet?


Anonym användareAnonym användare

Legitim användareLegitim användare

Fysisk åtkomstFysisk åtkomst

DCDC

DCDC

NätverksNätverksResursResurs

RootRootdomaindomain

Data adminData admin

Service adminService admin

x

x.y

Legitim användareLegitim användare

En illasinnadEn illasinnad



En illasinnadEn illasinnad En illasinnadEn illasinnad


Skapa en struktur för Delegerad administration

• Förstå alla aspekter och behov av att managera AD• Utred vem som skall kunna göra vad, definiera roller.• Skapa en modell för delegering som säkerställer att all

administration av AD innefattas. • Implementera en modell för delegering med effektivitet

och säkerhet i fokus. Tillämpa principen ”minsta möjliga privilegier och rättigheter”

• Underhåll modellen för delegering kontinuerligt, och gör modifieringar så att den stödjer alla administrativa behov.


Exempel på delegerad behörighet – inloggning• Skall användare Bob kunna logga på från användare Alice dator?• Skall en vanlig användare kunna logga på en administratörs

vanliga dator?• Är det bra att en domainadmin loggar på användare Bobs dator för

att installera ett program?• Är det någon risk med att en domänadministratör loggar in på en

vanlig användares dator?


Idéer om delegerad behörighet – inloggning• Endast den som skall kunna logga på lokalt mot en viss dator bör

ha rättigheten ”log on locally”– Behörig användare, lokal administratör

• Endast den som skall kunna ansluta till en viss dator via nätverket bör ha rättigheten: ”access this computer from the network”

– Se till exempel till att det lokala administratörskontot har deny!

– Se till exempel till att lokala tjänstekonton har deny!

• Undvik att ge domänkonton påloggningsmöjligheter om du kan lösa det med lokala konton

– Local Service, Network Service, etc..


Exempel och idéer om delegerad behörighet –inloggning

Access this computer from the network

Deny access to this computer from the network

Deny logon locally

Deny Logon through Terminal Services

Logon locally

Allow Logon through Terminal Services


Exempel och idéer om delegerad behörighet – Administration klientdatorer, Administration servrar

Local AdminWebserversLocal AdminWebservers

Local AdminFileservers

Local AdminFileservers

Local AdminComputers BLocal AdminComputers BLocal Admin

Computers ALocal AdminComputers A

OU AOU B

Local AdminAdmincomputers

Local AdminAdmincomputers

Admin Computers

OUWebservers

OU

Fileservers OU


Kontrollera Strukturen och säkerställ:

• Att endast de delegerade administratörerna kan utföra tilldelade uppgifter

• Att de delegerade administratörerna endast kan utföra de uppgifter som tilldelats dem och ingenting utöver detta.


Exempel

• En supporttekniker skall kunna nollställa lösenord.– Men absolut inte för Domänadminsitratörerna

• En Administratör skall kunna Skapa datorkonton i En OU.– Men absolut inte kunna skapa användarkonton


Whitepaper:Best Practices for Delegating Active Directory Administration• Konceptuell dokumentation om strategi och metodik för

att implementera rollbaserad administration

• Innehåll:– Chapter 1: Delegation of Administration Overview– Chapter 2: How Delegation Works in Active Directory– Chapter 3: Delegating Service Management– Chapter 4: Delegating Data Management– Case Study: A Delegation Scenario


Best Practices for Delegating Active Directory Administration - Administrativa roller

Service Management Role Service Management Category Covered

Forest Configuration Operators Installation managementTrust managementKnowledge Reference managementOperations Master Roles managementLDAP Policy managementFunctional Levels management

Domain Configuration Operators Installation managementOperations Master Roles managementBackup and Restore management

Security Policy Administrators Security Policy management

Service Admin Managers Service Admin Groups and Accounts management

Domain Controller Administrators Directory Service Configuration managementDirectory Database managementDomain Controller management

Backup Operators Backup and Restore management

Schema Administrators Schema management

Replication Management Administrators Replication management (topology and operational aspects)

Replication Monitoring Operators Replication management (health monitoring)

DNS Administrators DNS management


Whitepaper:Best Practices for Delegating Active Directory Administration - Appendices

• Konkret information om hur vilka rättigheter som krävs för genomförandet av en uppgift, hur man konfigurerar roller, har man arbetar med olika verktyg för delgering etc.

• Exempel på innehåll:– Appendix A: Active Directory Administrative Tasks

– Appendix G: Active Directory Delegation Tools

– Appendix L: Implementing Service Management Delegation Roles

– Appendix M: Service Management Delegation Role Definitions

– Appendix N: Default Active Directory Service Administrator Groups

– Appendix O: Active Directory Delegation Wizard File


Lägga till nya tasks i ”Delegation of Control Wizard”

• Kopiera %systemroot%\inf\Delegwiz.inf till Delegwiz.inf.old

• Modifiera %systemroot%\inf\Delegwiz.inf

• Alt 1: Klipp/klistra från whitepaper: Best Practices for Delegating Active Directory Administration: Appendices

• Alt 2: Följ instruktionen i KB: “HOW TO: Customize the Task List in the Delegation Wizard” http://support.microsoft.com/default.aspx?scid=kb;en-us;308404


Ta bort Delegerade tasks:

• Alt 1) Ta bort rättigheterna manuellt– Man måste veta exakt vilka rättigheter som tilldelats vid

skapandet av denna task.– Ev. använd SubinACL

• Alt 2) Ta bort och återskapa Gruppen.– Ibland enklare– Kräver att du har fullgod dokumentation över gruppens

tasks/rättigheter.


Slut

Documents

Rollbaserad Säkerhet med GPO