sábado, 27 de noviembre de 2021

Authentication Policy Silos

Microsoft Dynamic Access Control DAC, permite trabajar con Claims y mejorar el sistema de permisos, servicios como AD FS y crear Authentication Policy y Authentication Policy Silos. En Seguridad Jabalí hablamos hace tiempo de como configurar DAC para mejorar el sistema permisos y la gestión de archivos:

Mejorar la Protección de Ficheros en Microsoft DAC (I de III)

Microsoft Dynamic Access Control DAC (II de III)

 


Hoy vamos a mostrar como configurar Authentication Policy y Authentication Policy Silos, pero primero veamos los aspectos técnicos de estas tecnologías...

Authentication policies:
Permite configurar directivas de autenticación en AD DS para aplicar a cuentas de servicios, equipos y usuarios.
Ofrece la posibilidad de personalizar los tickets TGT.
Utiliza claims (DAC) para condiciones personalizadas.

Las directivas de autenticación se implementan con una nueva clase de objeto de AD DS llamado directiva de autenticación, permite realizar configuraciones de Kerberos más restrictivas para cuentas de usuario o servicio específicas y posibilita utilizar claims de DAC para definir las condiciones que deben cumplir los usuarios, cuentas de servicio y / o dispositivos durante la conexión.

Los requisitos son:

  • Todos los Domain controllers deben ser Windows Server 2012 R2 o superior.
  • El nivel funcional del dominio debe ser al menos Windows Server 2012 R2.
  • Los DCs deben soportar Dynamic Access Control DAC.
  • Los equipos deben ser configurados para soportar DAC.
Al configurar una directiva de autenticación se puede configurar los siguientes parámetros:
  • Nombre de la política de autenticación y Descripción.
  • Si la política debe aplicarse (predeterminada) o si desea validar la política solo mediante restricciones de directiva de auditoría.
  • Cuentas a las que debe aplicarse la política. Las cuentas están en la configuración de la política de autenticación.
En las cuentas de usuario, servicio y equipo, se puede definir por separado:
  • El tiempo de vida TGT de la cuenta y Condiciones de control de acceso mediante claims de DAC para definir qué usuarios o servicios pueden utilizar qué dispositivos.
Las configuraciones se pueden realizar en las propiedades de cuenta de usuario del Centro de administración de Active Directory o las propiedades de la directiva de autenticación. Independientemente de dónde se configuren, se guardan en la directiva de autenticación.
  • Una vez configurado, se inicia sesión en un dispositivo o aparece el mensaje "Su cuenta está configurada para evitar que utilice este PC". En ambos casos, se registra un suceso.

Authentication policy silos: 

Los silos de políticas de autenticación permiten a los administradores configurar usuarios, cuentas de servicio y equipos dentro del mismo ámbito de seguridad para aplicar la misma política de autenticación.
Los Policy Silos permiten restringir el acceso a ciertas estructuras de archivos a identidades validadas por un Silo, al igual que las directivas de autenticación se pueden configurar en modo Auditoría o modo restrictivo.

  • Objeto AD DS.
  • Aplica directivas de autenticación centralizada para múltiples objetos.
  • Permite a los administradores configurar acceso a los archivos por Silo.

En el siguiente video tenéis la demostración paso a paso para configurar Microsoft Dynamic Access Control o DAC, trabajar con Claims y el sistema de permisos, crear Authentication Policy y Authentication Policy Silos.

 


Seguridad a lo Jabalí para Todos!!

Publicado por en 13:49
Etiquetas: , , , , , , , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias