Novedades en Windows Server 2008 Active Directory

Posted on 23/07/2008

0


Aunque no han habido "grandes cambios" si hay "importantes cambios" varios de los cuales, pueden tener gran influencia en el diseño de Active Directory.

Entre otros podemos mencionar:

  • Read-Only Domain Controllers (RODCs)
  • Active Directory Domain Services Auditing
  • Fine-Grained Password Policies
  • Restartable Active Directory Services
  • Database Mounting Tool and Snapshoots

 

Read-Only Domain Controllers (RODCs)

¿Una regresión a NT4? podemos pensar que casi es así, pero igual tiene gran importancia cuando se hace el diseño de Active Directory. Específicamente cuando tenemos sitios remotos donde no contamos con la seguridad física adecuada sobre los controladores de dominio, pero donde debemos tener controladores de dominio por la criticidad de la validación aún cuando el sitio esté desconectado de la red central.

Se da en muchas ocasiones que en un sitio remoto es estrictamente necesario que los usuarios puedan validarse aún estando el enlace caído. Esta consideración nos obliga a poner un Controlador de Dominio en dicho sitio.
Sin embargo la preocupación del diseñador es que va a poner en un sitio con poca seguridad física un servidor que tiene uno de los elementos más valiosos: una copia de todas sus cuentas de usuarios (y sus correspondientes contraseñas ). En estos casos el servidor puede estar sujeto a hurto, ataques por acceso directo, etc. Es un problema.

Para solucionar este problema, a partir de Windows Server 2008, podemos contar con RODCs (Read-Only Domain Controllers) que tiene varias características que lo hacen apropiado para escenarios como el nombrado.

La primera de las ventajas lo dice su nombre, su base de Active Directory, sólo se puede leer y no escribir, con lo cual mitigamos cualquier tipo de ataque que efectúe cambios en NTDS.DIT de este servidor. Igualmente, y para mayor seguridad, si de alguna forma se consiguieran hacer cambios, no hay que preocuparse pues este servidor no hacia otros Controladores de Dominio.

Pero la característica que pienso es la más importante está basada en que aunque este RODC tiene una copia completa de los objetos del Active Directory, se puede controlar fácilmente cuáles son las contraseñas que se replicarán desde el sitio central protegido.

A partir de lo anterior, se puede hacer que se repliquen al RODC sólo las contraseñas de las cuentas usadas en el sitio remoto, lo que haría que en el peor de los casos, las cuentas afectadas por un ataque serían solamente algunas y el daño es parcial.

Se debe tener en cuenta que si cuando el RODC necesita validar una cuenta cuya contraseña no está local, debe obligatoriamente contactar a un Controlador de Dominio que si la tenga.

 

Active Directory Domain Services Auditing

Ya en Windows 2003 se puede hacer auditoría de seguridad de Active Directory, pero sus posibilidades son limitadas. Esto traía como consecuencia que los administradores dudaran en delegar tareas administrativas, pues perdían parte del control. Los delegados estaban acotados a las tareas otorgadas, pero la auditoría era limitada, básicamente "creó – borró" "pudo – intentó". Pero si había cambiado algún dato ¿qué fue? ¿cuál era el valor anterior y cuál el actual?

Ahora la auditoría de seguridad puede auditar los cambios, informando del valor que fue modificado: anterior-actual. Así mismo la creación u operación de mover cuentas, también el "casi desconocido UNDO" para recuperar cuentas eliminadas accidentalmente.

Además se agregan otras categorías de auditoría que permiten auditar la replicación entre Controladores de Dominio.

 

Fine-Grained Password Policies

Si, al fin se pueden tener diferentes directivas de contraseñas de cuentas en un único dominio que regulan todas las características de las mismas (longitud, complejidad, duración, bloqueo, etc.)

No es quizás un proceso tan sencillo ni intuitivo, pero tampoco es demasiado complejo. Básicamente esto se debe al uso de una herramienta no muy familiar a la mayoría como es el ADSIEdit, con el cual se creará un Password Setting Object (PSO) con los atriibutos específicos, y que luego se asignará a usuarios o grupos.

 

Restartable Active Directory Services

En sistemas anteriores a Windows Server 2008, hay operaciones sobre la base de Active Directory que requieren que el Controlador de Dominio fuera reiniciado en Directory Service Restore Mode (DSRM). Y esto no era sólo para hacer una recuperación de Active Directory, sino que también es necesario para hacer una defragmentación "offline" de la base, corrección de posibles errores semánticos, cambio de carpeta de los archivos de la base y logs.

A partir de Windows Server 2008, Active Directory se comporta como "un servicio más", o sea que lo podemos detener como cualquier otro servicio, a fin de efectuar operaciones que así lo requieran.

 

Database Mounting Tool and Snapshoots

En este caso primero describiremos la tarea para luego ver su utilidad. Con la utilidad NTDSUTIL.EXE podemos tomar "snapshots" de la base de Active Directory, inclusive podemos hacerlo programándolo como tarea.
Luego con la utilidad DSAMAIN.EXE podemos listar dichos "snapshots" que no son otra cosa que "estados congelados" de nuestro Active Directory como si fuera un LDAP Server. También lo podemos hacer sobre copias de seguridad de Active Directory. Luego podemos "montar" esos estados anteriores con herramientas como LDP.EXE o aún con Usuarios y Equipos de Active Directory (Active Directory Users and Computers).

Bien ¿qué utilidades le encontramos a esto? va en la creativdad de cada uno, pero son varias, desde la reconstrucción de un domino/bosque hasta una auditoría de cambios, comparar copias de seguridad, etc.

Posted in: Active Directory