{La experiencia de Cajamadrid}

David Cervign Luna

IT Pro Evangelist Microsoft Ibrica http://blogs.technet.com/davidcervigon

La experiencia de Cajamadrid Read-Only Domain Controllers Administracin Polticas de Grupo

{Cajamadrid}

Jorge Marcos
Coordinador departamento TI Caja Madrid

Antonio Snchez
Ingeniero Preventa Microsoft Espaa

1999: Red Banyan

Marzo-2000: DA con Windows 2000 para 3.500 usuarios de Servicios Centrales

Marzo-2002: Extensin a red de oficinas con un total de 11.000 usuarios

Factor clave en la decisin: posibilidad de integracin de aplicaciones

Aplicaciones comerciales como Microsoft Exchange, Office Sharepoint Server Live Communications Server Asignacin de recursos de ficheros a cada departamento, proyecto y/o aplicacin Distribucin de software Gestin de Smart Cards: gestin descentralizada en base a la informacin del Directorio Activo

Necesidades de reas de Negocio

Crecimiento de usuarios
2002 11.000 2008 15.000 2011 18.000

Cambios en la organizacin corporativa

Movilidad de los usuarios

Reduccin de Costes

Aspectos tecnolgicos destacados

15 15,000 35 11,000 Usuarios Servidores

Escalabilidad y consolidacin

Gestin de identidades

Infraestructura PKI

Sistema de Autorizaciones
Controla las operaciones que puede ejecutar un usuario: Pago Taln, elevacin lnea crdito, etc Ms de 3 millones de registros y 10.000 usuarios Sistema actual: Tablas DB2 en Mainframe Nuevo sistema:
Acceso va LDAP Active Directory Lightweight Directory Services (antes ADAM) Dos servidores Windows Server 2008 x64 Intel Quad Core con 16Gb Ram

Programa de adopcin previa Evaluacin previa de versiones Beta Contacto directo con los Grupos de Desarrollo de Microsoft Colaboracin Microsoft Consulting Services Proyecto desarrollado conjuntamente con Informtica El Corte Ingles (IECISA) y con la colaboracin de Intel Corporation

La experiencia de Cajamadrid Read-Only Domain Controllers Administracin Polticas de Grupo

Desafos de las delegaciones remotas

Los administradores se enfrentan a los siguientes desafos a la hora de desplegar Controladores de Dominio en una delegacin remota
El DC se coloca en una localizacin fsica insegura El DC tiene una conexin de red poco fiable con el HUB El personal de la delegacin tiene pocos conocimientos o permisos para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o Los Domain Admins delegan privilegios al personal de la delegacin

Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podran iniciar sesion o acceder a recursos de red si la WAN falla

Lo que ve el atacante

Perspectiva del Administrador del Hub

Menor superficie de ataque para los DCs de delegaciones remotas

Por defecto, no hay contraseas de usuarios o equipos almacenadas en un RODC El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC Estado de Solo lectura con replicacin unidireccional del AD y FRS/DFSR Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptogrficas propias y distintas La delegacin del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte va TS al RODC Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNS Los RODCs tienen cuentas de estacin de trabajo
Server Core RODC

No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio

Admin Role Separatio n

Los RODC son totalmente compatibles con Server Core

Secure Appliance DC

Modelos de Despliegue
Infraestructura de Directorio Activo
Delegacin (RODC) Delegacin (RODC)

Cuando usarlos
Precupaciones en torno a la seguridad y al coste de gestin de los DCs de las delegaciones remotas Necesidades locales de acceso a recursos si falla la WAN

Read-Only

Data Center (Hub)

Writeable

Delegacin (RODC)

Internet DMZ

Cuando no:
Como reemplazo de un DC tradicional con todas sus funciones en uso

Read-Only

Modelos de Administracin recomendados

Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo adems la autenticacin rpida y la aplicacin de polticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesin

La mayor parte de las cuentas cacheadas

A Favor: facilidad en la gestin de contraseas. Para entornos en los que es ms importante la administrabilidad que la seguridad. En contra: Ms contraseas expuestas potencialmente por el RODC

Solo una pocas contraseas cacheadas

A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los dems En Contra: Requiere una administracin granular ms fina
Mapear equipos por delegacin Requiere buscar manualmente el atributo Auth2 para identificar las cuentas

Despliegue paso a paso

Como desplegar un RODC a partir de un entorno de Windows Server 2003
1.
2. 3. 4. 5. 6. 7.

ADPREP /ForestPrep ADPREP /DomainPrep Promover un DC con Windows Server 2008 Verificar que los modos funcionales del forest y del dominio son 2003 Nativo ADPREP /RodcPrep Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes Promover el RODC

No especfico de un RODC

Especfico de un RODC

Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promocin/promocin

Delegar la promocin de un RODC

Pre-crear la cuenta del RODC

Especificar los parmetros del RODC Asignar la mquina al slot del RODC

{Read-Only Domain Controllers}

La experiencia de Cajamadrid Read-Only Domain Controllers Administracin Polticas de Grupo

Sin reiniciar el servidor, ahora se puede:

Aplicar parches de los DS Realizar una desfragmentacin offline

Un servidor con los DS parados es similar a un servidor miembro

NTDS.dit est offline Puede iniciarse sesin local con la contrasea del Modo de Recuperacin del Directorio Activo (DSRM)

Nuevos eventos de cambios en el AD

Los Event logs dicen exactamente:
Quien hizo el cambio Cundo se hizo el cambio Que objeto/atributo fue cambiado Los valores inicial y final
Event ID Event type Event description 5136 Modify This event is logged when a successful modification is made to an attribute in the directory. This event is logged when a new object is created in the directory. This event is logged when an object is undeleted in the directory. This event is logged when an object is moved within the domain.

5137

Create

5138

Undelete

La auditora esta controlada por

Poltica global de auditora SACL Schema

5139

Move

Windows Server Backup (wbadmin.exe)

NTBackup est descontinuado Nueva tecnologa Block-Level, basada en imgenes Backup/recovery del System State por lnea de comandos Debe hacerse a una particin diferente Recuperacin del System State en DSRM (auth & non-auth)

Dedicated Backup Volume

Backup/Recovery Objeto/OU existentes Nueva unidad Organizativa

Backup/Recovery
Permite a los administradores elegir la copia de seguridad disponible ms apropiada
NTDSUTIL.EXE Saca SnapShots de DS/LDS via VSS DSAMAIN.EXE Expone las snapshots como servidores LDAP LDP.EXE Ver datos de solo lectura de DS/LDS

La herramienta NO restaura objetos

Ahora: Herramienta + tombstone reanimation + LDAP Post-WS08: Undelete?

Introduccin
Permite una administracin granular de las contraseas y polticas de bloqueo dentro de un dominio Las polticas pueden aplicarse a:
Usuarios Grupos Globales de Seguridad

Requerimientos
Windows server 2008 Domain Mode No requiere cambios en los clientes

No hay cambios en los valores de las configuraciones propiamente dichos

P.e., no hay nuevas opciones para controlar la complejidad de las contraseas

Pueden asociarse mltiples polticas al usuario, pero solo una prevalece.

Funcionamiento
PSO Resultante = PSO1
Precedencia= 10

Password Settings Object

PSO 1

Se aplica a

PSO Resultante = PSO1

Precedencia= 20

Password Settings Object

Se aplica a

PSO 2

Administracin
Recomendacin: Administracin basada en grupos
Delegar la modificacin de la membresa del grupo

Esta caracterstica puede ser tambin delegada

Por defecto, solo los Administradores de Dominio pueden:
Crear y leer PSOs Aplicar una PSO a un grupo o usuario

Permisos
Operacin a Delegar Crear y borrar PSOs Aplicar PSOs a usuarios/grupos Permisos Delegados En el PSC: Create all child objects Delete all child objects En el PSO: Write

{Mejoras en la Administracin del Directorio Activo}

La experiencia de Cajamadrid Read-Only Domain Controllers Administracin Polticas de Grupo

Herramientas
Nuevas GPOE y GPMC Usan versiones consitentes

Plantillas
ADM Ficheros ADMX y ADML
(Vista/2008)

Group Policy Service

Corren como un servicio compartido en el quipo Servicio fortificado, ms fiable

ADM ADMX

Multiples Polticas Locales

LGPO Admin User

Poltica Local de Equipo Polticas del grupo de Admins/ No Admins Politicas de Usuario

Nuevas definiciones
+ 800 nuevas polticas en Windows Vista. Polticas de grupo extendidas para las nuevas caractersticas de Vista

LGPOs

Group Policy Enhancements

Network Location Awareness (NLA)

NLA

Repositorio Central de Polticas

SysVol ADMX ADML
+ Policies + GUID + ADM

El servicio de NLA ofrece la ltima informacin de red Las aplicaciones pueden pedir o registrar en NLA cambios en el estado de la red
DC

Group Policy Logging

Log Administrativo Log de Servicios y Aplicaciones Logs de eventos basados en XML Nuevas Herramientas GPOLogView

+ Policy Definations
ADMX, ADML Files

FRS/DFS-R

Repositorio Centralizado de ADMX Contiene todas las plantillas ADMX Creado en el Sysvol de los DCs para cada dominio

Componentes
GPO administrada a nivel de Dominio
(Contiene todos los .ficheros admx y .adml)

Group Policy Central Store

ADMX ADML

SysVol

Los .ADM se agregan siempre a cada GPO EXCEPTO en Windows Vista/Windows Server 2008

+ Policies

DC

Almacn Central Replicado por FRS o DFS-R

+ GUID + ADM

La GPO se identifica por su GUID

Ahorra espacio en Sysvol y evita trfico de replicacin entre DCs.

Descarga los .ADMX automticamente desde el Almacn Central. Si el DC no est disponible, Vista usar el almacn local.

PolicyDefinitions
ADMX, ADML Files

Lugares de almacenamiento de los ficheros ADMX (%systemroot%\sysvol\domain\policies\PolicyDefinitions)

Vista / Windows Server 2008

Almacenamiento local de .ADMX %systemroot%\policyDefinitions

El Almacn Central debe crearse a mano una sola vez en un Controlador de Dominio El Almacn Central est disponible al administrar GPOs a nivel de dominio, aunque el Almacn central no se usa por defecto

Es una caracterstica que hay que agregar en el Server Manager

DFS-R reemplaza a FRS para la replicacin de Sysvol

Compresin Replicacin diferencial block-level Planificacin Control de Ancho de Banda

Es necesario que el Bosque/Dominio est funcionando en el nivel funcional de Windows Server 2008
Requiere que todos los DCs sean Windows Server 2008 El paso de FRS a DFS-R no es automtico

{Construyendo el Almacen Central}

Otros Roles de Windows Server 2008 relacionados con el Directorio Activo

Active Directory Certificate Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services

Herramientas de Gestin
Data Collection Template (conocido anteriormente como Server Performance Analyzer) Operations Manager AD MP SP1 para W28K DC/RODCs

 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.