viernes, 19 de octubre de 2012

RODC (I de III) Read Only Domain Controller

En el mundo empresarial la necesidad de mantener los distintos activos de la información y demás recursos accesibles en las distintas sucursales es algo habitual, en muchas ocasiones no hay equipos administrativos que gestionen adecuadamente esos recursos en la propia sucursal generando una situación que puede amenazar la seguridad de la estructura de la empresa.

Microsoft implementa desde Server 2008 un recurso para aliviar algunos de estos problemas, el Controlador de Dominio de Solo Lectura (RODC) que tiene una serie de características muy particulares.

El primer aspecto que debemos tener en cuenta a la hora de implementar un Controlador de Dominio en una sucursal es el riesgo al que está expuesta la información de esa máquina, credenciales y contraseñas de usuarios privilegiados, información del directorio activo, datos de la empresa, etc.

No tener instalado un controlador de dominio en algunas sucursales puede ser un gran inconveniente en muchas situaciones, dificultando o denegando el acceso a los recursos de la empresa si la línea de comunicación con la central deja de estar disponible.

El tercer elemento a tener en cuenta es la replicación de la información del propio directorio activo en un entorno poco confiable, imaginemos que un usuario de una sucursal, con pocos conocimientos técnicos, realiza un backup autoritativo que modifique de forma incorrecta el esquema de nuestra empresa, este cambio se replicaría por todos los controladores de dominio de la organización con el consiguiente perjuicio.

Cuando un usuario de la sucursal se conecta, el RODC recibe la solicitud y la envía a un controlador de dominio para la autenticación. Se puede configurar una directiva de replicación de contraseñas (PRP) que especifica las cuentas permitidas que el RODC almacena en caché. La próxima vez que la autenticación se solicita el RODC puede realizar la tarea a nivel local. Debido a que el RODC mantiene sólo un subconjunto de las credenciales de usuario, si el RODC se ve comprometido o es robado, el efecto de la exposición de la seguridad es limitado, además los controladores de dominio mantienen una lista de todas las credenciales almacenadas en la caché del RODC.

La replicación es unidireccional, ningún cambio en el RODC se replican en cualquier otro controlador de dominio, esto elimina la exposición del servicio de directorio a la corrupción resultante de los cambios realizados en una sucursal DC comprometida.

Los RODC, a diferencia de los DC, tienen un grupo de administradores local, pudiendo dar a uno o más miembros del personal local la capacidad de mantener un RODC plenamente, sin concederles la equivalencia de los administradores de dominio.

Los pasos generales para instalar un RODC son los siguientes:
  • Nivel funcional del bosque debe ser Windows Server 2003 o superior.
  • Si el bosque tiene algún DCs Windows Server 2003, ejecutar: adprep / Rodcprep.
  • Al menos un DC Windows Server 2008 o Windows Server 2008 R2.
  • Instalar el RODC. 
Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias