Authentication Policy Silos

Microsoft Dynamic Access Control DAC, permite trabajar con Claims y mejorar el sistema de permisos, servicios como AD FS y crear Authentication Policy y Authentication Policy Silos. En Seguridad Jabalí hablamos hace tiempo de como configurar DAC para mejorar el sistema permisos y la gestión de archivos:

Mejorar la Protección de Ficheros en Microsoft DAC (I de III)

Microsoft Dynamic Access Control DAC (II de III)

 

Hoy vamos a mostrar como configurar Authentication Policy y Authentication Policy Silos, pero primero veamos los aspectos técnicos de estas tecnologías...

Authentication policies:
Permite configurar directivas de autenticación en AD DS para aplicar a cuentas de servicios, equipos y usuarios.
Ofrece la posibilidad de personalizar los tickets TGT.
Utiliza claims (DAC) para condiciones personalizadas.

Las directivas de autenticación se implementan con una nueva clase de objeto de AD DS llamado directiva de autenticación, permite realizar configuraciones de Kerberos más restrictivas para cuentas de usuario o servicio específicas y posibilita utilizar claims de DAC para definir las condiciones que deben cumplir los usuarios, cuentas de servicio y / o dispositivos durante la conexión.

Los requisitos son:

• Todos los Domain controllers deben ser Windows Server 2012 R2 o superior.
• El nivel funcional del dominio debe ser al menos Windows Server 2012 R2.
• Los DCs deben soportar Dynamic Access Control DAC.
• Los equipos deben ser configurados para soportar DAC.

Al configurar una directiva de autenticación se puede configurar los siguientes parámetros:

• Nombre de la política de autenticación y Descripción.
• Si la política debe aplicarse (predeterminada) o si desea validar la política solo mediante restricciones de directiva de auditoría.
• Cuentas a las que debe aplicarse la política. Las cuentas están en la configuración de la política de autenticación.

En las cuentas de usuario, servicio y equipo, se puede definir por separado:

• El tiempo de vida TGT de la cuenta y Condiciones de control de acceso mediante claims de DAC para definir qué usuarios o servicios pueden utilizar qué dispositivos.

Las configuraciones se pueden realizar en las propiedades de cuenta de usuario del Centro de administración de Active Directory o las propiedades de la directiva de autenticación. Independientemente de dónde se configuren, se guardan en la directiva de autenticación.

• Una vez configurado, se inicia sesión en un dispositivo o aparece el mensaje "Su cuenta está configurada para evitar que utilice este PC". En ambos casos, se registra un suceso.

Authentication policy silos: 

Los silos de políticas de autenticación permiten a los administradores configurar usuarios, cuentas de servicio y equipos dentro del mismo ámbito de seguridad para aplicar la misma política de autenticación.
Los Policy Silos permiten restringir el acceso a ciertas estructuras de archivos a identidades validadas por un Silo, al igual que las directivas de autenticación se pueden configurar en modo Auditoría o modo restrictivo.

• Objeto AD DS.
• Aplica directivas de autenticación centralizada para múltiples objetos.
• Permite a los administradores configurar acceso a los archivos por Silo.

En el siguiente video tenéis la demostración paso a paso para configurar Microsoft Dynamic Access Control o DAC, trabajar con Claims y el sistema de permisos, crear Authentication Policy y Authentication Policy Silos.

 

Seguridad a lo Jabalí para Todos!!

Microsoft Dynamic Access Control DAC (II de III)

En anteriores artículos se describían los requisitos básicos para implementar la estructura de Microsoft Dynamic Access Control DAC, en esta ocasión hablaremos de las diferentes opciones disponibles en esta herramienta.

Seleccionar Active DirectoryAdministrative Center/DAC/Claim Types posteriormente New Claim Type y editar la característica deseada para usuario y/o equipo.

Otra característica que se puede configurar son las propiedades de los recursos.... por defecto vienen todas deshabilitadas.

También se pueden editar ... doble click en cualquier propiedad.

Ahora ya se pueden crear Reglas de Acceso utilizando todas estas características y propiedades mediante la opción de Central Access Rule

 

Como se puede apreciar en las imágenes se pueden generar Reglas de Acceso mucho más complejas que la simple pertenencia a un grupo o los permisos de seguridad.

Sin embargo en la mayor parte de los entornos empresariales no es recomendable gestionar una serie de reglas dispersas, que con el paso del tiempo suele terminar en un descontrol de reglas sin ningún tipo de gestión. Para evitar este tipo de escenarios en DAC podemos gestionas una serie de directivas centralizadas que permiten controlar y gestionar eficazmente todas estas reglas de acceso.

Esta directiva de DAC se aplicara mediante GPO en la ruta que se describe a continuación...

Computer Configuration/Policies/Windows Settings/Security Settings/File System

y botón derecho sobre...  Central Access Policy

En las Propiedades de la carpeta, pestaña de seguridad, seguridad avanzada esta disponible una nueva pestaña que permite gestionar Central Policy

 

Una forma eficaz de implementar acceso a los recursos de una forma mucho más detallada que con los típicos permisos de seguridad, pero ¿Como se aplica el resultante total de permisos sobre un recurso?

Este esquema explica muy bien como es el proceso de aplicar los diferentes permisos sobre el recurso

Además se puede monitorizar DAC y planificar nuevas actualizaciones, pero eso sera en el próximo capitulo....

Seguridad a lo Jabalí para Todos!!

Mejorar la Protección de Ficheros en Microsoft DAC (I de III)

En un entorno Microsoft están disponibles varios medios para controlar el acceso a ficheros, los permisos de sistema de ficheros NTFS, los permisos de compartir y para aumentar el control sobre la documentación de un entorno empresarial esta AD RMS Active Directory Rights Management Services.

En todos los escenarios esta presente la misma limitación se concede el permiso basado en un determinado SID o la pertenencia al SID de un grupo de seguridad. En Server 2012 se implementa el Control de Acceso Dinámico DAC que permite generar y añadir a los usuarios y equipos nuevas piezas de información denominadas "Claims" utilizadas para decidir el acceso a un recurso del directorio activo.

Una vez configurado Kerberos emite un Token diferente incluyendo los nuevos Claims para poder utilizarlos en el momento de conceder permiso para acceder a un recurso. 

Además  mediante DAC se pueden generar propiedades asociadas a los diferentes recursos y expresiones condicionales basadas en esas propiedades y claims para acceder a dichos recursos.

El Control de Acceso Dinámico se debe desplegar dentro de un entorno de Directorio Activo, al menos un controlador de Domino Server 2012 y un servidor con el Rol de File Server Resource Manager instalado.

Lo primero que se debe configurar es el nivel funcional del dominio y del bosque (en función del escenario del despliegue) mediante la consola de Dominios y Confianzas del Directorio Activo.

Hay que modificar la Directiva de Grupo GPO que gestiona los Unidad Organizativa OU de los Controladores de Dominio: Default Domain Controllers Policy

 

En la ruta :

Configuración de Equipo/Directivas/Plantillas Administrativas/System/KDC

Habilitamos:

kdc support for claims compound authentication and kerberos armoring

 

En la consola de administración del Servidor en Tools selecciónar Active Directory Administrative Center y DAC Dynamic Access Control

Desde Microsoft Dynamic Access Control se pueden configurar diferentes piezas de información para equipos y/o usuarios (claims), propiedades de recursos, reglas de acceso o directivas de acceso centralizadas... pero eso sera el próximo día. XD

Seguridad a lo Jabalí para Todos!!