Systemy Operacyjne Windows
Możliwość uzyskania certyfikatu z Windows Server i Active-Directory (minimum 75% pkt. w trakcie zajęć – wejściówki, sprawozdania i egzamin minus punkty za frekwencję)
www.ita.wat.edu.pl/~zsuski/sow386
login: SW843
hasło: PK384zma
--------------------------------------------------------------------------------------------------------------------------------------
Wprowadzenie do Active Directory
Active Directory – nazwa własna implementacji usługi katalogowej Microsoftu.
Serwer wg. Microsoftu – komputer z zainstalowanym systemem operacyjnym typu serwer.
Stacja robocza – komputer z zainstalowanym systemem operacyjnym innym niż serwer.
--------------------------------------------------------------------------------------------------------------------------------------
Podział organizacyjny na :
Grupa robocza - komputery z samodzielnymi kontami użytkowników zarządzanych przez SAM (Security Account Managment)
Domena – organizacja wprowadzająca mechanizmy centralizacji. Istnieją wydzielone węzły, którego zadaniem jest utrzymywanie usługi katalogowej (a w niej bazy kont i innych elementów środowiska). Logujący się użytkownik będzie uwierzytelniany sieciowo (nie na komputerze, a oddzielnym serwerze). Istnieją co prawda bazy SAM na komputerach, ale mają ograniczone prawa i nie zaleca się ich używania.
--------------------------------------------------------------------------------------------------------------------------------------
Usługa katalogowa – jest to repozytorium informacji o ludziach i zasobach w organizacji. (komputery, użytkownicy itd., można dzielić na jednostki organizacyjny OU). Każdy obiekt składa się z atrybutów i ich wartości.
--------------------------------------------------------------------------------------------------------------------------------------
Do czego służy Active Directory?
Scentralizowany nadzór nad zasobami sieciowymi.
Scentralizowane I zdecentralizowane zarządzanie zasobami.
Bezpieczne przechowywanie obiektów.
Optymalizacja ruchu sieciowego.
--------------------------------------------------------------------------------------------------------------------------------------
Obiekty Active Directory
Obiekty reprezentują zasoby sieciowe
Atrybuty zawierają informacje o obiektach
--------------------------------------------------------------------------------------------------------------------------------------
Nazwy rozróżnialne (Distinguished Names)
Względne nazwy rozróznialne (Relative Distinguished Names)
LDAP – Zapewnia komunikację z Active Directory przez specyfikowanie unikalnej ścieżki nazewniczej dla każdego obiektu w katalogu.
Nazwy rozróżnialne identyfikuja domene obiektów oraz scieżke określajacą ich osiągalność.
Contoso.msft -> Finance -> Sales -> Suzan Fine
CN = Suzan Fine <- względna nazwa rozróznialna, OU = sales, OU = finance, DC = contoso, DC = msft
Na czerwono – Nazwa rozróżnialna
CN – nie jest domeną ani jednostką organizacyjną
--------------------------------------------------------------------------------------------------------------------------------------
Domeny
Domena wyznacza granice bezpieceństwa
Administrator domeny pełni swoją funkcje jedynie w macierzystej domenie. W innej domenie musiałby uzyskać specjalne przywileje.
Domena jest jednostką replikacji
Kontrolery domen uczestniczą w replikacji i zawierają kopię informacji katalogowej dla domeny
--------------------------------------------------------------------------------------------------------------------------------------
Jednostki organizacyjne
Sieciowy model administracyjny : Sales -> Users, Computers
Struktura organizacyjna : Vancouver -> Sales, Repair
OU są wykorzystywane do grupowania obiektów w hierarchie zapewniające jak najlepsze zabezpieczenie potrzeb organizacji.
Przekazywanie uprawnień administracyjnych
--------------------------------------------------------------------------------------------------------------------------------------
Struktura fizyczna Active Directory
Lokacje (Sites)
Kontrolery domeny (Domain controllers)
Łącza WAN (WAN Links)
--------------------------------------------------------------------------------------------------------------------------------------
Katalog (wykaz) globalny – jest to repozytorium, które zawiera podzbiór atrybutów wszystkich obiektów w Active Directory.
--------------------------------------------------------------------------------------------------------------------------------------
Co to jest schemat katalogu?
Definicja klas obiektów i atrybutów
Zasięg lasu
Mozliwośc zmiany
Ochrona (DACL)
--------------------------------------------------------------------------------------------------------------------------------------
Narzędzia administracyjne Active Directory
Administracyjne przystawki MMC
Użytkownicy i komputery usługi Active Directory
Lokacje i usługi Active Directory
Domeny i relacje zaufania usługi Active Directory
Schemat Active Directory
Narzędzia wiersza poleceń
Dsadd
Dsmod
Dsquery
Dsmove
DSrm
Dsget
CSVDE
LDIFDE
Skrypty WSH (Windows Script Host)
--------------------------------------------------------------------------------------------------------------------------------------
Weryfikacja instalacji Active Directory
Weryfikaca rekordów SRV w DNS
Weryfikacja SYSVOL
Weryfikacja bazy katalogu i plików kronik
Weryfikacja instalacji w rejestrze zdarzeń
--------------------------------------------------------------------------------------------------------------------------------------
Implementacja stref zintegrowanych z Active Directory
Implementacja Strefy prostej (forward lookup zone)
Implementacja strefy odwrotnej (reverse lookup zone)
--------------------------------------------------------------------------------------------------------------------------------------
Wdrażanie szablonów zabezpieczeń i zasad inspekcji
--------------------------------------------------------------------------------------------------------------------------------------
Szablony zabezpieczeń
Szablon | Opis |
---|---|
Zabezpieczenia domyslne (Setup security.inf) | Ten szablon okresla domyślne ustawienia zabezpieczeń. |
Domyślne zabezpieczenia kontrolera domeny (DC security.inf) | Określa domyslne ustawienia zabezpieczeń zaktualizowane z szablonu Setup security.inf dla kontrolera domeny |
Szablon zgodności (Compatws.inf) | Modyfikuje uprawnienia i ustawienia systemu dla grupy Użytkownicy w celu osiągnięcia maksymalnej zgodnosci oprogramowania |
Szablony bezpieczne (Securedc.inf i Securews.inf) | Określają rozszerzone ustawienia zabezpieczeń, których prawdopodobieństwo wpływu na zgodnośc aplikacji jest niewielkie. |
Szablony bardzo bezpieczne (Hisecdc.inf i Hisecws.inf) | Zwiekszają ograniczenia wynikające z ustawień zabezpieczeń. |
Zabezpieczenie katalogu głównego (Rootsec.inf) | Okresla uprawnienia do katalogu głównego dysku systemowego. |
--------------------------------------------------------------------------------------------------------------------------------------
Konfiguracja i analiza zabezpieczeń z poziomu wiersza poleceń
Program secedit
/analyze
/configure
/export
/import
/validate
/generaterollback
Program gpupdate – odświeżanie ustawień zasad grup
--------------------------------------------------------------------------------------------------------------------------------------
Po co jest inspekcja?
Podczas inspekcji śledzone są działania użytkownika i systemu operacyjnego, a wybrane zdarzenia są rejestrowane w dziennikach zabezpieczeń – co się stało? Kto to zrobił? Kiedy? Jaki był wynik ?
Inspekcje należy właczyć w celu:
Utworzenia wartości odniesienia
Wykrycia włamań i ataków
Określenia uszkodzeń
Zapobiegania kolejnym uszkodzeniom
Inspekcji można poddawać odstęp do obiektów, zarządzanie kontami oraz logowania i wylogowania użytkowników.
--------------------------------------------------------------------------------------------------------------------------------------
Pliki dzienników (logi)
W podglądzie zdarzeń dostepne są nastepujące dzienniki:
Aplikacja
Zabezpieceznia
System
Usługa katalogowa
Usługa replikacji plików
--------------------------------------------------------------------------------------------------------------------------------------
Typowe zdarzenia zabezpieczeń – wyszukać i uzupełnić
Dzienniki zdarzeń
W dzienniku systemowym znajdują się zdarzenia wygenerowane przez komponenty systemu operacyjnego
W dzienniku aplikacji znajduja się zdarzenia wygenerowane przez aplikacje i programy
Typy zdarzeń systemowych i aplikacji
Informacja
Ostrzeżenie
Błąd