Active Directory

Active Directory (AD)

To usługa katalogowa od Microsoft, działa w środowisku sieciowym na systemie Windows. Zarządzanie zasobami sieciowymi np. użytkownikami, grupami, komputerami, drukarkami, i inne IT. centralnie przechowywane info. i kontrola dostępu, autoryzacja użytkownik

Single Sing-On SSO

Single Sign-on to funkcja AD, AD może integrować się z innymi usługami i aplikacjami. Umożliwia użytkownikom logowanie się tylko raz, aby mieć dostęp do wielu zasobów bez logowania się wielokrotnie.

Zarządzanie zasobami AD

zarządzanie zasobami: AD pozwala na zarządzanie użytkownikami, grupami, komputerami w jednym miejscu, to pozwala na przypisywanie uprawnień do różnych zasobów jak folderów czy plików itp.

Domeny i jednostki organizacyjne (OU)

w strukturze AD, domeny reprezentują granice bezpieczeństwa i administracyjne. Każda domena może zawierać jednostki organizacyjne (OU), które pozwalają na logiczne grupowanie obiektów żeby łatwiej nimi zarządzać

Zarządzanie certyfikatami

AD może pełnić rolę serwera certyfikatów, umożliwiając wprowadzenie zabezpieczeń opartych na certyfikatach w sieci

co to certyfikat w IT

Jak w AD, certyfikaty pomagają komputerom i użytkownikom rozpoznawać się nawzajem bez ryzyka oszustwa.

Usługa federacji tożsamości w AD

Federacja tożsamości - pozwala na uwierzytelnianie użytkowników z różnych domen/organizacji. przydatne podczas współpracy między organizacjami. obrazowo: Jak mam karnet na siłownię X a współpracują z siłownią Y, nie muszę wyrabiać nowego karnetu.

Zarządzanie hasłami AD

AD pozwala na zarządzanie polityką haseł, np ich długość, znaki specjalne itp. Można też wdrożyć mechanizmy resetowania haseł przez użytkowników

Integracja z aplikacjami AD

AD może działać jako centralna baza użytkowników dla różnych aplikacji. Dzięki temu użytkownicy nie muszą tworzyć osobnych kont w każdej aplikacji - logują się do wszystkiego tym samym loginem i hasłem

Narzędzia administracyjne AD

są tu narzędzia administracyjne takie jak users & computers do zarządzania userami, Sites & services np do lokalizacji serwerów, jaki serwer ma obsługiwać które biuro dla opty ruchu sieciowego. domains & trust do zarządzania relacji między firmami

Domena w AD

struktura organizacyjna, grupująca użytkowników, komputery, zasoby. Zarządzana przez kontrolery domeny DC domain controller (1 lub więcej), umożliwia autoryzację, stosowanie polityk,. Wszystko zarządzane centralnie i dostępne dla uprawnionych.

Domena w AD obrazowo

Domena AD jest jak biuro firmy, wszystko zorganizowane, zarządzane centralnie. Kontroler domeny to Recepcjonista sprawdza tożsamość userów. Obiekty to pracownicy i sprzęt. Polityki to regulamin ustala zasady i dba o bezpieczeństwo

Kontroler domeny (DC)

DC to serwer w AD, który zarządza uwierzytelnianiem i autoryzacją użytkowników oraz zasobów. Przechowuje bazę danych, synchronizując ją z innymi DC w domenie, zapewniając bezpieczeństwo, dostępność i centralne zarządzanie.

Drzewo w AD

drzewo katalogowe. Sposób zarządzania. Główna domena + jej subdomeny Relacja nadrzedna-podrzędna. Mogą dzielić zasoby za zgodą admina. Z min. 2 domen (domena+subdomena) firma.com(root domain) hr. firma.com (subdomena) it. firma.com Struktura hierarchiczna

Katalog Globalny AD

Jest to specjalna baza danych AD, przechowuje informacje o wszystkich obiektach w lesie. Działa na poziomie lasu a nie pojedynczego drzewa. Umożliwia szybkie wyszukiwanie zasobów w różnych domenach lasu

Las w AD

Las w AD to najwyższa struktura obejmująca jedno lub więcej drzew domenowych. Wszystkie domeny w lesie dzielą schemat, konfigurację i globalny katalog. Mogą mieć różne nazwy i współdzielić zasoby dzięki relacjom zaufania.

Obiekty zasad grupy

Obiekty zasad grupy GPO, to zestawy reguł w AD, pozwalające administratorom centralnie zarządzać ustawieniami komputerów i użytkowników. służą do wymuszania polityk haseł, konfiguracji systemu, ograniczenia dostępu i automatyzacji ustawień w sieci.

Zasady grupy: użytkownik

Zasady grupy user, to zbiór zasad, które polegają zarządzać użytkownikami i zwiększać bezpiec. Tworzone za pomocą GPO, Np. Polityki haseł, polityki blokowania konta, uprawnienia userów, polityki zarządzania i instalacji oprogramowania, związane z kontami

Jednostka organizacyjna UO w AD

Jednostka organizacyjna UO to szuflada w AD, w której grupuiesz użytkowników, komputery i zasoby. Pomaga to w zarządzaniu i nadawaniu uprawnień np IT ma dostęp do swojej OU a HR do swojej

Relacja zaufania w AD

Relacja zaufania Trust, to po prostu sposób, w jaki różne domeny w AD mogą sobie ufać i udostępniać zasoby. Umożliwia użytkownikom jednej domeny dostęp do zasobów w innej. Mogą być jedno lub 2 o warunkowe i inne. Jest 12 typów relacji

Relacja jednokierunkowa One way trust

Jedna domena ufa drogiej. Domena A może mieć dostęp do zasobów w domenie B, ale domena B nie ma dostępu do domeny A. Może być przenaszalna lub nie.

Relacja dwukierunkowa Two way trust

Obie domeny ufają sobie nawzajem. Domena A i domena B mogą dzielić się zasobami.

Przenaszalna relacja zaufania

Jeśli domena A ufa domenie B, a domena B ufa domenie C, to domena A również ufa domenie C

Nieprzenaszalna relacja zaufania Non-transitive trust

Relacja zaufania nie przechodzi dalej. np domena A ufa domenie B, ale domena C nie ma dostępu nawet jeśli domena B ufa domenie C

Relacja między lasami

Tworzy zaufanie pomiędzy lasami np gdy firma kupuję drugą, może być jednokierunkowa lub dwukierunkowa, ale dotyczy tylko głównych domen w lasach.

Relacja rodzic dziecko

Tworzy się automatycznie, kiedy dodasz nową domenę jako dziecko w stosunku do rodzica. Domena dziecko ma automatyczny dostęp do zasobów w domenie rodzica.

Relacja korzenia drzewa tree root Trust

automatycznie tworzona pomiędzy głównymi domenami w różnych drzewach w tym samym lesie. Umożliwia wymianę zasobów pomiędzy nimi

Relacja skrótowa

Tworzona ręcznie w celu poprawy wydajności komunikacji między bardzo oddalonymi domenami w lesie

Relacja zewnętrzna

tworzona między domenami w różnych lasach. np gdy dwie organizacje muszą mieć dostęp do swoich zasobów ale są oddzielne

Relacja Realm

Umożliwia uwierzytelnianie między domeną Windows a innymi systemami np Kerberos.

Active Directory Federation Services ADFS

wprowadzenie ADFS pozwala na SSO Single sing on dzięki któremu użytkownicy raz zalogowani do domeny mogą mieć dostęp bez ciągłego logowania się do aplikacji

Uwierzytelnianie

System sprawdza tożsamość użytkownika lub urządzenia, aby upewnić się, że ma ono uprawnienia do dostępu do zasobów. wiedza- hasło, kod pin własność token karta wrodzoność odcisk palca lokalizacja -dostep do lok. zachowanie np sposób pisania na klawia

Autoryzacja

Autoryzacja to proces decydowania, czy uwierzytelniony użytkownik ma uprawnienia do dostępu do zasobów. Zarządzana jest przez polityki dostępu, takie jak RBAC (role-based acces control), które przypisują uprawnienia na podstawie roli użytkownika

Ryzyka związane z bezpieczeństwem AD

-Nieautoryzowany dostęp -slabe hasła -Insider Threat(judasz) -Eskalacja uprawnień -Malware i ransomware -brak zarządzania aktualizacjami -brak monitoringu i aktywnego logowania- brak lub monitoring w małej skali

AD vs Azure Active Directory

AD jest serwisem, który pracuje w środowisku one-premise, jest to scentralizowana baza do zarządzania i organizowania zasobów wewnątrz lokalnej sieci. Azure Active Directory jest rozwiązaniem chmurowym, to też od MS z możliwościami aplikacji SaaS

Ryzyka związane z Azure AD

-Nieautoryzowany dostęp -Zagrożenia wew-insider Threats -Nieautoryzowany dostęp do aplikacji -Bledna konfiguracja uwierzytelniania- np brak Polityki haseł -poufnosc danych -ataki Brute-force i DoS -luki w apkach zew. dostawców

Ataki Brute-force i DoS

Cyberprzestępcy mogą łamać hasła lub paraliżować systemy. Monitoring, zabezpieczenia i ograniczenie dostępu zwiększają odporność