Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Mechanizm JIT – zwiększanie bezpieczeństwa administracji Windows

Data publikacji: 25-07-2017 Autor: Jacek Światowiak
RYS. 1. UPROSZCZONY PRZEPŁYW...

Fundamentem większości korporacyjnych środowisk informatycznych są usługi katalogowe bazujące na implementacji określanej jako Microsoft Active Directory. Jest to implementacja bazy LDAP, powiązana z komponentami realizującymi mechanizmy uwierzytelniania i autoryzacji dostępu wykorzystującymi takie protokoły jak LM, NTLM czy Kerberos.

W środowisku, poza zwykłymi kontami użytkowników domeny, znajdują się również konta administracyjne, które umożliwiają zarządzanie środowiskiem AD. Większość uprawnień czy praw bazuje na członkostwie osób, którym powierzono uprawnienia administracyjne w różnych grupach zabezpieczeń, np. administrator domeny, administrator przedsiębiorstwa, administrator organizacji Exchange czy administrator usługi DNS.

Active Directory wykorzystuje protokół Kerberos jako podstawowy mechanizm obsługi procedur uwierzytelniania i autoryzacji, który generuje i obsługuje bilety TGT (Ticket Granting Ticket; komunikaty KRB_AS_REQ oraz KRB_AS_REPL) oraz TGS (Ticket Granting Service; komunikaty KRB_TGS_REQ, KRB_TGS_REP, KRB_AP_REQ). W momencie generacji biletu TGT implementowane są w nim wszystkie grupy zabezpieczeń, do których należy logujący się do systemu użytkownik lub proces systemowy w przypadku usług uruchamianych w tle. Niestety, taki bilet TGT jest ważny aż 600 minut (10 godzin), po czym może być ponownie odnawiany przez maksymalnie 7 dni. Tak długie czasy dostępu z punktu widzenia bezpieczeństwa mogą być słabym elementem zabezpieczeń i być wykorzystane w trakcie ataku typu pass-the-hash i pass-the-ticket. Najlepiej, gdy taki bilet zawierający SID-y grup administracyjnych jest generowany na żądanie administratora i jest ważny przez bardzo krótki okres (niezbędny na wykonanie danej czynności administracyjnej), a następnie niszczony w taki sposób, aby nie można go było ponownie wykorzystać.

> PRIVILEGE ACCESS MANAGEMENT

Microsoft wyszedł naprzeciw oczekiwaniom związanym z mechanizmem czasowego nadawania uprawnień i taka funkcjonalność pojawiła się w produkcie Microsoft Identity Management 2016 (MIM 2016), pod nazwą Privileged Access Management (PAM). Scenariusz działania polega na dobudowaniu do istniejącego produkcyjnego lasu Active Directory dodatkowego lasu administracyjnego, gdzie są umieszczane konta administracyjne. Oba lasy połączone są jednokierunkową relacją zaufania. Dodatkowy las nosi nazwę lasu ESAE (Enhanced Security Administrative Environment). Założenia dotyczące lasu ESAE (rys. 2):

 

  • to środowisko odseparowane od lasu produkcyjnego (dedykowany las z jedną domeną);
  • jego jedynym przeznaczeniem jest przechowywanie kont dla administratorów lasu produkcyjnego;
  • w lesie tym nie wdraża się ani nie instaluje żadnych dodatkowych aplikacji czy komponentów poza komponentami MIM PAM;
  • las ten połączony jest z lasem produkcyjnym za pomocą jednokierunkowej relacji zaufania.

> MECHANIZMy PAM, KROKI WDROŻENIOWE INFRASTRUKTURY PAM

Działanie Privileged Access Management opiera się na prostej procedurze realizowanej w kilku krokach:

 

  • administrator wnioskuje o dostęp do roli PAM;
  • dostęp zostaje udzielony automatycznie lub po zatwierdzeniu przez osobę decyzyjną, na ściśle określony czas;
  • administrator realizuje swoje działania;
  • po zdefiniowanym czasie administrator zostaje usunięty z grupy administracyjnej dającej uprawnienia do wykonania określonej czynności.


[...]

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, Windows 7, MCSE Server Infrastructure, Communication, Messaging. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"