lunes, 20 de junio de 2016

Mejorar la Protección de Ficheros en Microsoft DAC (I de III)

En un entorno Microsoft están disponibles varios medios para controlar el acceso a ficheros, los permisos de sistema de ficheros NTFS, los permisos de compartir y para aumentar el control sobre la documentación de un entorno empresarial esta AD RMS Active Directory Rights Management Services.

En todos los escenarios esta presente la misma limitación se concede el permiso basado en un determinado SID o la pertenencia al SID de un grupo de seguridad. En Server 2012 se implementa el Control de Acceso Dinámico DAC que permite generar y añadir a los usuarios y equipos nuevas piezas de información denominadas "Claims" utilizadas para decidir el acceso a un recurso del directorio activo.

Una vez configurado Kerberos emite un Token diferente incluyendo los nuevos Claims para poder utilizarlos en el momento de conceder permiso para acceder a un recurso. 

Además  mediante DAC se pueden generar propiedades asociadas a los diferentes recursos y expresiones condicionales basadas en esas propiedades y claims para acceder a dichos recursos.

El Control de Acceso Dinámico se debe desplegar dentro de un entorno de Directorio Activo, al menos un controlador de Domino Server 2012 y un servidor con el Rol de File Server Resource Manager instalado.

Lo primero que se debe configurar es el nivel funcional del dominio y del bosque (en función del escenario del despliegue) mediante la consola de Dominios y Confianzas del Directorio Activo.


Hay que modificar la Directiva de Grupo GPO que gestiona los Unidad Organizativa OU de los Controladores de Dominio: Default Domain Controllers Policy
 

En la ruta :
Configuración de Equipo/Directivas/Plantillas Administrativas/System/KDC

Habilitamos:
kdc support for claims compound authentication and kerberos armoring
 

En la consola de administración del Servidor en Tools selecciónar Active Directory Administrative Center y DAC Dynamic Access Control


Desde Microsoft Dynamic Access Control se pueden configurar diferentes piezas de información para equipos y/o usuarios (claims), propiedades de recursos, reglas de acceso o directivas de acceso centralizadas... pero eso sera el próximo día. XD


Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias