Настройка контроллеров домена в разных подсетях

Zerox Обновлено: 07.06.2015 Windows 44 комментария 64,925 Просмотры

Введение

Удаленный способ передачи информации, рассчитанный на деловую переписку, отправку официальных запросов и ответов, рассылку рекламных сообщений и передачу офисных документов в первую очередь ассоциируется с почтовой службой. И основным представителем, выступающим в качестве главного, надежного и предпочтительного поставщика электронной почты, несомненно является приложение «Gmail». Даже те пользователи, которые используют другие средства для отправки и получения писем, такие как учетная запись электронной почты «IMAP» (более современный протокол, поддерживающий прием и возможность управления электронной почтой прямо на почтовом сервере) в пользовательских доменах, имеют учетную запись «Google», и в большинстве случаев, предпочитают использовать связанную с ней электронную почту «Gmail». Из огромного количества электронных писем, которые пользователи получают ежедневно, можно без особого труда намеренно или случайно удалить важные письма. Но когда приходит осознание, что письма, которые были удалены, очень нужны, вернуть их становится гораздо сложнее. И тут у пользователей возникают абсолютно правильные вопросы, как вернуть утраченные письма и какие существуют способы восстановления удаленных писем? Самым идеальным вариантом для пользователей почтовой службы «Gmail», который позволяет хранить свои письма в целостности и сохранности, конечно можно назвать создание резервной копии электронных сообщений.

Active Directory Active Directory Active Directory

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться

Что такое Active Directory в Windows и для чего это нужно

Компания «Майкрософт» разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).

Что такое Active Directory в Windows и для чего это нужно

Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.

Читайте также:  Outlook зависает при запуске — решение! Как настроить

Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.

Что такое Active Directory в Windows и для чего это нужно

Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.

Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена. Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.

Что такое Active Directory в Windows и для чего это нужно

Ключевые возможности Active Directory

— Единая регистрация в сети. Позволяет настроить вход пользователя в рабочее пространство под своей учётной записью. Функционал аутентификации позволяет администрировать доступы пользователе ко всем ресурсам и информационным системам организации, настраивать интеграцию аутентификации c другими службами авторизации (использование единого доступа сотрудника, например, к компьютеру, к электронной почте, корпоративному порталу, 1С и т.д.).

— Безопасность информации. Централизованная настройка ролей и прав доступа группам или отдельным пользователям в рабочей сети, в зависимости от поставленной задачи.

— Лёгкий поиск. Поиск объектов осуществляется при помощи имени пользователя/компьютера или адреса электронной почты.

— Удобный интерфейс. Позволяет проектировать каталоги в виде древовидной структуры или задавать связь и права доступа между несколькими деревьями, обозначающими филиалы в разных зданиях или городах.

— Централизованное управление. Позволяют производить изменения сразу для всей рабочей сети, а не настраивать каждый объект отдельно. Отличное решение, если стоит задача, например, расширить (ограничить) права доступа к конкретному объекту сети или подключить отдельный сервер только для юридического отдела. Такие массовые изменения осуществляются при помощи групповых политик Active Directory.

Групповые политики Active Directory — отвечают за управление компьютерами, которые являются элементами домена, и позволяют максимально оперативно и централизованно настроить рабочее пространство пользователя и систему безопасности.

Возможности групповых политик Active Directory:

  • администрирование операционной системы;
  • настройка безопасности доступов к системному и прикладному программному обеспечению (установка разрешений, включение пользователей в группы);
  • установка, настройка и обновление, удаление программного обеспечения (одновременно на всех необходимых устройствах сети удаленно);
  • обслуживание компонентов операционных систем;
  • интеграция с другими сервисами и приложениями, которые работают по сети, используя функционал групповых политик;
  • настройка правил с зависимостью от местоположения пользователя;
  • выполнение скриптов и многое другое.
Читайте также:  Изменение сетевого порта принтера в Windows

В общем

Active Directory позволяет администраторам сети создавать домены, пользователей, объекты в сети и управлять ими. Например, администратор может создать группу пользователей и предоставить им определенные права доступа к определенным каталогам на сервере. По мере роста сети Active Directory позволяет организовать большое количество пользователей в логические группы и подгруппы, обеспечивая при этом контроль доступа на каждом уровне.

Структура Active Directory включает три основных уровня:

1) домены,

2) группы,

3) коллекции.

Несколько объектов (пользователей или устройств), использующих одну и ту же базу данных, могут быть сгруппированы в один домен. Несколько доменов можно объединить в одну группу. Несколько групп могут быть объединены в коллекцию. Каждому из этих уровней могут быть назначены определенные права доступа и привилегии.

Служба каталогов – это иерархическая структура, которая отображает имена всех ресурсов в сети на ее сетевой адрес. Он позволяет хранить, организовывать и управлять всеми сетевыми ресурсами, а также определять структуру именования. Это упрощает управление всеми устройствами из единой системы.

Контроллер домена – это сервер, на котором запущены службы Active Directory в домене. Все пользователи, информация о пользователях, компьютеры и их политики контролируются “Контроллером домена”. Каждый пользователь должен пройти аутентификацию с помощью “Контроллера домена” для доступа к любому ресурсу или услуге в домене. Он определяет политики для всех пользователей, какие действия могут быть выполнены, какой уровень привилегий должен быть предоставлен и т.д . Это упрощает жизнь администраторам для управления пользователями и компьютерами в сети.

Управление делегированием в Active Directory долгое время было очевидной проблемой. Многие компании стали лучше внедрять жесткие политики для администраторов домена. Если злоумышленник сможет получить доступ к привилегированной учетной записи и изучит вашу сеть, он сможет узнать полезную информацию о том, что находится в AD с точки зрения привилегированного доступа, и создать схему этой “среды”.Другая уязвимость заключается в том, что пользователям без прав администратора могут быть предоставлены права на выполнение привилегированных действий. Злоумышленники могут просматривать списки управления доступом (ACL), видеть, у кого есть доступ и к каким объектам, и использовать эту информацию для компрометации Active Directory. Если сотрудник службы поддержки может сбросить пароли для ваших наиболее привилегированных пользователей, и злоумышленник получает доступ к учетной записи этого человека, то вы, по сути, позволяете этому злоумышленнику один из векторов для повышения прав.

Для понимания некоторых техник вначале следует разобраться, как устроен хэш. В Windows типичный хэш выглядит примерно так:

helpdesk:500:aad3b435b51404eeaad3b435b51404ee:94c2605ea71fca715caacfaa92088150:::

Строка выше состоит из четырех секций, разделенных двоеточиями. Первая часть – имя пользователя, вторая – относительный числовой идентификатор.

Третья часть представляет собой LM хэш, прекративший использоваться, начиная с Windows Vista/Server 2008. На данный момент вы навряд ли встретите где-либо подобный тип, если только в старых системах. В случае если вы столкнетесь с подобными ситуациями, считайте, что вам повезло, поскольку эти хэши легко взламываются.

Четвертая часть представляет собой NTLM хэш (иногда называемый NTHash).

Читайте также:  Причины зависания жесткого диска и способы их устранения

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Оснастка управления групповыми политиками

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.

Оснастка управления групповыми политиками

На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

Так как установка выполняется для текущего сервера — нажимаем “Далее”.

Оснастка управления групповыми политиками

Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Оснастка управления групповыми политиками

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Оснастка управления групповыми политиками

Редактирование атрибутов

Оснастка Схема Active Directory позволяет нам редактировать настройки для атрибутов и их описание. Но некоторые поля могут быть недоступны для изменений. В этом случае необходимо отредактировать их с помощью оснастки Редактирование ADSI.

В качестве примера, изменим максимальную длину для названия отдела, где работает сотрудник.

В Диспетчере серверов открываем оснастку Редактирование ADSI:

В открывшейся оснастке кликаем правой кнопкой по корню (Редактирование ADSI) — выбираем Подключение к…:

Редактирование атрибутов

В качестве точки подключения выбираем Схема:

… и нажимаем OK.

Слева раскрываем добавленный пункт — находим в нем CN=Schema… — в окне справа находим нужный нам атрибут (в нашем примере, для названия отдела или Department) — кликаем по нему дважды — в открывшемся окне выбираем нужный нам параметр и открываем его на редактирование — задаем нужное значение и нажимаем OK:

В течение минут 15 настройка должна примениться.

Внедрение нелегитимных объектов

В предыдущих частях мы собрали все требования для регистрации в процессе репликации, в этой последней главе мы изучим, как атака DCShadow внедряет свою незаконную информацию в инфраструктуру DNS.

Чтобы отдавать незаконные данные, мошеннический контроллер домена должен будет реализовать минимальный набор функций RPC, требуемых спецификациями MS-DRSR: IDL_DRSBind, IDL_DRSUnbind, IDL_DRSGetNCChanges, IDL_DRSUpdateRefs. IDL этой функции предоставляется Microsoft в ее открытых спецификациях и теперь реализован в инструменте Mimikatz Бенджамина Делпи.

Последний шаг атаки «DCShadow» — запустить процесс репликации. Для этого можно использовать две стратегии:

Внедрение нелегитимных объектов
  • Подождите, пока процесс KCC другого контроллера домена не запустит процесс репликации (требуется 15-минутная задержка)
  • Принудительно выполните репликацию, вызвав функцию DRSReplicaAdd RPC. Это изменит содержимое атрибута repsTo, что запустит немедленную репликацию данных.

Выдержка из спецификации MS-DRSR, описывающая DRSReplicaAdd IDL

Принудительная репликация с помощью IDL_DRSReplicaAdd RPC — последний шаг, выполняемый во время атаки «DCShadow». Он позволяет добавлять произвольные данные в целевую инфраструктуру AD. При этом становится тривиальным добавить любой бэкдор в домен (например, добавив нового члена в административную группу или установив историю SID для контролируемой учетной записи пользователя).