Что в филиале мне твоём? Бешков Андрей Microsoft RUS Cтанкевич Александр

Дилема филиалов Головной офис

Дилема филиалов Головной офис Вариант 1: Контроллеры в головном офисе Сотрудники филиала не могут авторизоваться, когда WAN неисправен Вариант 2: Контроллеры в филиале Если филиал атакуют, вся организация может стать уязвимой

Это ваш филиал?

* Дверь закрывающая доступ в помещение не установлена

Это ваш филиал?

Тогда мы идём к вам...

Демонстрация «Взлом» контроллера домена

Контроллеру домена необходимо обеспечить... ФИЗИЧЕСКУЮ БЕЗОПАСНОСТЬ!

Администратору RODC не нужно быть членом группы Domain Admins Предотвращение порчи AD филиальным администратором Можно настроить хранение паролей филиальных пользователей Предотвращение репликации специфичных атрибутов схемы на RODC Нет репликаци от RODC к полноценному DC Разделение администрирования Секреты не хранятся Однонаправленные реплики Изменения на RODC не попадают в AD Read-Only Domain Controller

RODC против злоумышленника Давайте украдём RODC. По умолчанию, я не храню пароли, а так же специфичные атрибуты. Злоумышленник RODC

RODC против злоумышленника

Тогда перехватим учётные данные доменного администратора. С разделённым администрированием, им не нужно заходить на меня. Добавим данные на RODC и используем его учётную запись. Моя база только для чтения, а другие контроллеры не реплицируют данные с меня. Злоумышленник RODC RODC против злоумышленника

Windows 2003 DC Windows 2008 DCs Windows 2008 RODC RODC против злоумышленника

Ррррррр! Злоумышленник RODC RODC против злоумышленника

Безопасные филиалы Головной офис DC RODC

Варианты применения RODC Пароли не хранятся ( по умолчанию ) –За : Наиболее безопасно –Против : Никто не сможет работать, если WAN неисправен Некоторые пароли хранятся –За : Хороший баланс между безопасностью и непрерывной работой филиала –Против : Необходимо управлять хранением паролей Большинство паролей хранится –За : Простое управление паролями –Против : Малый выигрыш в безопасности, по сравнению с полноценным контроллером

Демонстрация Установка и настройка RODC

Шифрование Физическая безопасность по-прежнему на низком уровне Кража учётных данных сотрудников филиала также не исключена На сервере, кроме Active Directory, хранятся и другие данные (возможно конфиденциальные) Было бы неплохо всё зашифровать!

Виртуализация В целях... –сокращения количества серверов –изоляции задач –получения большей управляемости –сокращения затрат (особенно в условиях кризиса)

Что это?

Ключ шифрования в памяти! Оригинальный ключ: Дамп памяти:

Что делать? Обследовать филиальную инфраструктуру Определить филиалы для внедрения RODC Внедрить BitLocker Использовать виртуализацию и ServerCore?

Вопросы?

Заполните анкету: Терминалы - холлы конференции и интернет-кафе на 1 этаже Заполните анкету: Терминалы - холлы конференции и интернет-кафе на 1 этаже Чтобы участвовать в розыгрыше призов Чтобы участвовать в розыгрыше призов Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00 Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00 Не забывайте заполнять анкеты по докладам Ваше мнение очень важно! Подробная информация по заполнению анкет – на сайте конференции

Запись доклада на