27 oct 2012

Flu a lo Jabalí – RODC

Buenas a todos, hoy volvemos con una nueva entrada dedicada a los mejores artículos de nuestro blog amigo Seguridad Jabalí y en la que os traemos una cadena de posts que nos han gustado mucho sobre RODC (Controlador de Dominio de Solo Lectura)

RODC (I de III) Read Only Domain Controller

En el mundo empresarial la necesidad de mantener los distintos activos de la información y demás recursos accesibles en las distintas sucursales es algo habitual, en muchas ocasiones no hay equipos administrativos que gestionen adecuadamente esos recursos en la propia sucursal generando una situación que puede amenazar la seguridad de la estructura de la empresa.
Microsoft implementa desde Server 2008 un recurso para aliviar algunos de estos problemas, el Controlador de Dominio de Solo Lectura (RODC) que tiene una serie de características muy particulares.
El primer aspecto que debemos tener en cuenta a la hora de implementar un Controlador de Dominio en una sucursal es el riesgo al que está expuesta la información de esa máquina, credenciales y contraseñas de usuarios privilegiados, información del directorio activo, datos de la empresa, etc.
No tener instalado un controlador de dominio en algunas sucursales puede ser un gran inconveniente en muchas situaciones, dificultando o denegando el acceso a los recursos de la empresa si la línea de comunicación con la central deja de estar disponible.
El tercer elemento a tener en cuenta es la replicación de la información del propio directorio activo en un entorno poco confiable, imaginemos que un usuario de una sucursal, con pocos conocimientos técnicos, realiza un backup autoritativo que modifique de forma incorrecta el esquema de nuestra empresa, este cambio se replicaría por todos los controladores de dominio de la organización con el consiguiente perjuicio.
Cuando un usuario de la sucursal se conecta, el RODC recibe la solicitud y la envía a un controlador de dominio para la autenticación. Se puede configurar una directiva de replicación de contraseñas (PRP) que especifica las cuentas permitidas que el RODC almacena en caché. La próxima vez que la autenticación se solicita el RODC puede realizar la tarea a nivel local. Debido a que el RODC mantiene sólo un subconjunto de las credenciales de usuario, si el RODC se ve comprometido o es robado, el efecto de la exposición de la seguridad es limitado, además los controladores de dominio mantienen una lista de todas las credenciales almacenadas en la caché del RODC.
La replicación es unidireccional, ningún cambio en el RODC se replican en cualquier otro controlador de dominio, esto elimina la exposición del servicio de directorio a la corrupción resultante de los cambios realizados en una sucursal DC comprometida.
Los RODC, a diferencia de los DC, tienen un grupo de administradores local, pudiendo dar a uno o más miembros del personal local la capacidad de mantener un RODC plenamente, sin concederles la equivalencia de los administradores de dominio.
Los pasos generales para instalar un RODC son los siguientes:
  • Nivel funcional del bosque debe ser Windows Server 2003 o superior.
  • Si el bosque tiene algún DCs Windows Server 2003, ejecutar: adprep / Rodcprep.
  • Al menos un DC Windows Server 2008 o Windows Server 2008 R2.
  • Instalar el RODC. 

RODC (II de III) Directiva de Replicación de Contraseñas

La Directiva de replicación de contraseñas(PRP) determina las credenciales que tienen premitido almacenarse en la cache en un RODC específico.
Para facilitar la gestión de PRP, Windows Server 2008 R2 crea dos grupos de seguridad en el contenedor de usuarios de Active Directory. El primer grupo,Grupo de replicación de contraseña, se añade a la lista de permitidos de cada RODC nuevo. De forma predeterminada, el grupo no tiene miembros. Por lo tanto, por defecto, un RODC nuevo no tiene caché de ningún usuario.
El segundo grupo se denomina Grupo denegado RODC replicación de contraseñas. Los usuarios cuyas credenciales desea asegurar que nunca se almacenen en caché por el RODC deben estar en este grupo.
De forma predeterminada, este grupo contiene grupos de seguridad sensibles, incluidos Administradores de dominio, Administradores de organización y Propietarios del creador de directivas de grupo.
Se pueden agregar grupos, en cuyo caso todos los usuarios que pertenecen al grupo pueden tener su credenciales almacenadas o denegadas en el RODC.Si el usuario se encuentra tanto en la lista de autorizados y la lista de denegados, la lista denegados tiene prioridad.
Separación del rol administrativoEn las sucursales un RODC puede requerir mantenimiento, se puede gestionar la administración local a través de una característica llamada separación de funciones administrativas. Cada RODC mantiene una base de datos local de grupos específicos para fines administrativos. Usted puede agregar cuentas de usuario de dominio a estos roles locales para habilitar el soporte de un RODC specífico mediante el comando Dsmgmt.exe
Agregar un usuario como Administrador en un RODC:
  • 1. Abrir un Command Prompt en el RODC.
  • 2. Introducir el comando dsmgmt.
  • 3. Teclear local roles.
  • 4. Puedes ver la lista de comandos con el parametro ?.
  • 5. Teclea add [nombre de usuario] administrators.

RODC (III de III) Delegar la Administración

Antes de Finalizar con las opciones de administración orientadas a sucursales de empresa sin personal técnico quiero hablaros de otra opción disponible, que aunque no está dentro de las características de los Controladores de Solo Lectura es interesante conocer.
En Sistemas Microsoft podemos utilizar la delegación de privilegios para que ciertos usuarios o grupos de usuarios puedan realizar tareas dentro de la organización, por ejemplo utilizar directivas de grupos restringidos para gestionar la delegación de privilegios de administrador para los equipos:
  • Editor de administración de directivas de grupo desplazarse a...
  • Configuración del equipo\Directivas\Windows\Seguridad\Grupos restringidos.
  • En Grupos restringidos Agregar grupo.
  • Examinar, Seleccionar grupos, Nombre del grupo a agregar al grupo.
  • Aceptar para cerrar el cuadro de diálogo Agregar grupo.
  • En Propiedades, Añadir junto al grupo Este es un Miembro de la sección.
  • Tipo y haga clic en Aceptar.
  • Aceptar para cerrar el cuadro de diálogo Propiedades.
La delegación de los miembros del grupo de esta manera se suma el grupo especificado en el paso 3 para ese grupo. No se quitan los miembros existentes del grupo. Si varias GPO configuran diferentes directores de seguridad como los miembros del grupo, todos serán agregados al grupo.
 

1 comentario: