Sigurnost mreže zavisi od sigurnosne konfiguracije servera koji čine mrežu. U ovoj lekciji ćete naučiti kako da isplanirate i konfigurišete sigurnu polaznu liniju za domenske kontrolere.

Domenski kontroler je kompjuter na kojem radi Windows Server operativni sistem i na kome je smeštena replika aktivnog direktorijuma. Domenski kontroler takođe upravlja promenama informacija u direktorijumskom servisu i replicira ove promene na druge domenske kontrolere. Domenski kontroleri smeštaju direktorijumske podatke i upravljaju korisničkim procesom prijavljivanja, autentifikacijom i pretraživanjem direktorijuma.

 

Opasnosti koje prete domenskim kontrolerima

Uloga domenskog kontrolera je jedna od najvažniji uloga koju treba zaštititi u svakoj organizaciji. Gubitak ili kompromitovanje domenskog kontrolera može da opustoši klijente, servere i aplikacije koji se oslanjaju na domenske kontrolere za autentifikaciju, grupne polise i LDAP direktorijum.

Sledeća tabela opisuje sigurnosne opasnosti za domenske kontrolere i tehnike ublažavanja ovih opasnosti:

 

Šta je Domain Controler Baseline Policy (polisa polazne linije za domenske kontrolere)?

Kao i kod svih drugih servera, svi domenski kontroleri bi trebalo da imaju svoju sigurnosnu polisu polazne linije. Polisa polazne linije za domenske kontrolere nudi osnovu sigurnosnih konfiguracionih postavki kao što su Audit polise, dodeljivanje korisničkih prava, sigurnosne opcije i postavke za Event Log. Nakon kreiranja objekta grupne polise (GPO) sigurnosne polise za početnu liniju za domenske kontrolere, potrebno je da povežemo taj objekat grupne polise sa Domen Controllers organizacionom jedinicom i postaviti je na prvo mesto po redu da bi stekla prednost u odnosu na Default Domain Controllers Policy.

Dodatne sigurnosne postavke za uspostavljanje sigurne polazne linije: Za domenske kontrolere, broj dodatnih sigurnosnih postavki mora biti određen u sigurnosnoj polisi polazne linije da bi se osigurala zaštita za domenski kontroler protiv osnovnih sigurnosnih pretnji. Ovo uključuje:

  • Ručno dodavanje sigurnosnih grupa za dodeljivanje korisničkih prava: Slično kao kod polazne linije za servere članove domena, dodeljivanje korisničkih prava može se modifikovati za postavke Deny acces to this computer from the network, Deny log on as a batch job i Deny log on through Terminal Services.
  • Korišćenje SYSKEY-a: System Key (SYSKEY) nudi dodatnu odbranu protiv Offline password-cracking softvera. SYSKEY koristi jaku tehniku šifrovanja da bi zaštitio informacije o lozinkama koje su smeštene u direktorijumskom servisu.
  • Smanjivanje Event Logova: Event Viewer u Windows Server 2003 nudi svoje logove za aktivni direktorijum i za File Replication Service FRS (replikaciju). Windows Server Security Guide preporučuje da povećamo veličinu loga na minimum 16 MB.

 

Zaštita baze podataka aktivnog direktorijuma i Log fajlova

Aktivni direkotrijum poseduje svoj mehanizam za bazu podataka koji se naziva Extensible Storage Engine (ESE), koji smešta sve objekte u aktivni direktorijum. ESE koristi transakcije log fajlova da bi osigurao integritet baze podataka aktivnog direkotrijuma.


Fajlovi u aktivnom direktorijumu

Aktivni direktorijum uključuje sledeće fajlove:

  • Ntds.dit. Ovaj fajl predstavlja bazu podataka aktivnog direktorijuma i smešta sve objekte aktivnog direktorijuma koji se nalaze na domenskom kontroleru. Defoltna lokacija je Systemroot-NTDS folder. Svaka transakcija u aktivnom direktorijumu je zapisana u jednom fajlu ili više Transaction log fajlova koji su udruženi sa Ntds.dit fajlom.
  • Edb*.log. Ovaj fajl je Transaction Log fajl. Ime defoltnog Transaction fajla je Edb.log. Svaki Transaction log fajl je 10 MB. Kada je Edb.log fajl pun, on će biti preimenovan u Edbn.log, gde je „n" broj koji povećava veličinu.
  • Edb.chk. Ovaj fajl je Checkpoint fajl koji koristi mehanizam baze podataka kada prati podatke koji još nisu napisani u fajlu baze podataka aktivnog direktorijuma. Checkpoint fajl je pokazivač (pointer) koji održava status između memorije i fajla baze podataka na disku. Check Point file pointer ukazuje tačku početka u log fajlu iz koje informacije moraju da se oporave u slučaju da su bile pogrešne.
  • Res1.log & Res2.log. Ovi fajlovi su rezervisani Transaction Log fajlovi. Količina prostora na disku koja je rezervisana na drajvu za Transaction logove je 20 MB. Ovaj rezervisani prostor na disku nudi Transaction log fajlovima dovoljno prostora za gašenje (Shutdown) u slučaju da je sav ostali prostor na disku iskorišćen.


Zaštita baze podataka u log fajlova: Zaštita baze podataka aktivnog direktorijuma i log fajlova je od krucijalnog značaja ako želimo da održavamo integritet i pouzdanost direktorijumskog servisa. Pomeranje fajla baze podataka i log fajlova će nam zasigurno pomoći da prikrijemo fajlove od napadača. Dalje, pomeranje fajlova sa sistemskog volumena na odvojeni fizički disk će umnogome poboljšati performansu domenskog kontrolera.

Koristimo ntdsutil komandu na komandnoj liniji u Directory Sercices Restore Mode da pomerimo bazu podataka sa jedne lokacije na drugu sigurnu lokaciju na disku. Ntdsutil komanda pomera fajl baze podataka na novu lokaciju i nakon toga ažurira registry ključeve tako da se aktivni direktorijum restartuje sa nove lokacije.


Sledeći koraci predstavljaju način kako pomeramo bazu podataka i log fajlove na novu lokaciju:

  1. Bekapujemo aktivni direktorijum.
  2. Restartujemo domenski kontroler u Directory Services Mode.
  3. Ulogujemo se koristeći administratorski nalog i lozinku lokalnog administratora.
  4. Na komandnoj liniji ukucamo ntdsutil.
  5. Upišemo Files i kliknemo na Enter.
  6. Postavimo lokaciju koja ima dovoljno mesta na drajvu za bazu podataka i nakon toga upišemo sledeće: move DB to drive:\\directory.

    Gde je Drive:\\directory staza do lokacije na koju želimo da premestimo bazu podataka.


Preporuke za konfiguraciju auditinga na domenskim kontrolerima

Auditing proces (zapisivanja događaja) prati aktivnosti korisnika i zapisuje selektovane tipove događaja u Event log. Audit Polisa definiše tip događaja koje želimo da sakupljamo. Pre implementiranja audit polisa, administrator mora da odluči koju kategoriju događaja želi da prati u odgovorajućem okruženju. Postavke za audit koje administrator izabere za kategorije događaja definišu polisu organizacije.

Minimalne preporučene postavke: Sledeća tabela izlistava tipove događaja koji mogu da se prate i zapisuju na serveru na kojem radi Windows, kao i da preporuče minimalne postavke za domenske kontrolere:

Zaštita komunikacije aktivnog direktorijuma

Domenski kontroleri, serveri članovi domena i radne stanice pristupaju deljenim fajlovima (files shares) u toku korisničkog procesa prijavljivanja da bi pristupili logon skriptama i profilima u NETLOGON sheru (share). Kao dodatak, domenskim polisama se pristupa kroz SYSVOL share-a. Kao rezultat, svi domenski kontroleri bi trebalo da izvuku prednost Server Message Block-a (SMB) da bi poboljšali sigurnost.


SMB potpisivanje (signing)

Možemo da odredimo postavku u grupnim polisama koja zahteva SMB potpisivanje ili dozvoljava da SMB server ili klijent pregovaraju o SMB potpisivanju paketa. Ovo bi pomoglo u sprečavanju man-in-the-middle napada koji mogu da modifikuju SMB pakete u tranzitu (prenosu) između domenskog kontrolera i servera člana domena. Sledeća tabela izlistava dozvoljene SMB signing opcije:


Omogućite Digitally sign client communication (when possible) & Digitally sign server communication (always) postavke u grupnoj polisi na domenskom kontroleru.


LDAP potpisivanje (Signing)

LDAP potpisivanje paketa može da pomogne u sprečavanju pogrešnih paketa između domenskih kontrolera i radnih stanica. LDAP potpisivanje paketa ne šifruje podatke koji se nalaze u paketu, tako da podatke i dalje može da pročita onaj ko „uhvati" podatke u toku prenosa. LDAP potpisivanje paketa, ipak, koristi digitalno potpisivanje koje sprečava napadača da uhvaćeni paket prepravi i ponovo pošalje na mrežu. Digitalni potpis u paketu garantuje integritet podataka. LDAP potpisivanje paketa postavlja se samo na LDAP saobraćaj u aktivnom direktorijumu.

Da bi se koristilo LDAP potpisivanje paketa, radne stanice i domenski kontroleri moraju da rade na Windows 2000 SP3 ili na novijima i oni moraju da traže LDAP potpisivanje. Potrebno je konfigurisati postavke za registry na svaku administrativnu radnu stanicu da bi se omogućilo LDAP potpisivanje paketa.

HKLM\\system\\CurrentControlSet\\Services\\LDAP
Entry Name: LDAPClientIntegrity
Data Type: REG_DWORD
Value: 2

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Planiranje sigurne polazne linije za domenske kontrolere 1
  • Planiranje sigurne polazne linije za domenske kontrolere 2
  • Planiranje sigurne polazne linije za domenske kontrolere 3
  • Planiranje sigurne polazne linije za domenske kontrolere 4