Roles y seguridad en Active Directory

De ITCG Wiki
Ir a la navegaciónIr a la búsqueda

Roles de Active Directory:

  • Domain services (IDA identity and access):
cada usuario agregado a la base de datos de AD, debe tener un SID (Secure ID), es automático y hexadecimal. Este rol controla la autorización y autenticación de los usuarios en la red. El rol de Domain Services también gestiona la estructura jerárquica de la red y las relaciones entre los objetos.
  • Lightweight Services:
es una versión ligera de Active Directory, se usa en entornos empresariales pequeños.
  • Certificate Services:
permite emitir certificados digitales que se pueden utilizar para autenticar a los usuarios y asegurar la confidencialidad. Por ejemplo, si estas fuera de la oficina y usas una VPN de la organización, se emite un certificado digital que solo los dispositivos con el certificado pueden acceder a la red.
  • Rights management services:
se utiliza para proteger y controlar el acceso a datos sensibles y documentos en toda la organización. Permite a los administradores definir políticas de acceso y restricciones en los documentos.
  • Federation services:
permite la autenticación y la autorización de usuarios de diferentes organizaciones en un entorno confiable.

Autenticación

Verifica si un usuario es correcto o no, evalúa si el usuario y la contraseña son parte de la base de datos. Hay tres métodos de autenticación:

  • Local e interactiva:
autenticarse en una PC personal, un equipo que esta en workgroup, lo que se conoce como SAM (security Access management).
  • Red o dominio:
se realiza por los controladores de dominio. Las credenciales de los usuarios se guardan en el Domain Controler. Las credenciales se encriptan con Kerberos y la evaluación de hace por medio del data store. El domain controler, incluye un token de seguridad, que contiene:

   * SID de usuario
   * SID de equipo
   * SID de grupo

Si nos conectamos desde un equipo diferente y con el mismo SID de usuario, los permisos pueden cambiar.

TICKET GRANTING TICKET

Viéndolo como una analogía, es como un brazalete VIP en una fiesta:

Entrada a la fiesta (TGT)

  1. Al llegar a la fiesta (dominio) debes autenticarte mostrando tu autenticación (nombre de usuario y contraseña).
  2. Una vez autenticado, te dan el brazalete (TGT) que muestra que eres un invitado autenticado en la fiesta (dominio).
  3. Con ese brazalete (TGT), no necesitas mostrar tu identificación cada vez que quieres acceder a diferentes áreas (recursos de red).
  4. Acceso a áreas específicas (boletos de Servicio)
  5. Dentro de la fiesta (dominio) hay diferentes áreas como pista de baile, sala VIP o zona de comida.
  6. Cada vez que quieres acceder a estas áreas no necesitas volver a mostrar tu identificación, en su lugar solo muestras el brazalete para demostrar que ya te autenticaste a la entrada.
  7. Cada área te dará un “boleto de servicio” específico que te permite acceder a esa área en particular sin tener que autenticarte nuevamente.
  • Inicio de sesión secundario:
se utiliza cuando las credenciales no tienen los permisos que otras credenciales si tienen. Se conoce como “ejecutar como”, permite a los usuarios iniciar sesión en una computadora con diferentes credenciales sin cerrar su sesión actual.

Autorización o validación

Verifica si el usuario tiene permisos o no para realizar una acción. Listas de control de acceso para cada recurso.

Cada objeto tiene su propio ACL compuesto por una lista de permisos.

Diferencia entre permisos y privilegios:

  • Permiso:
es qué puedo hacer y qué no puedo hacer con un objeto del sistema de archivos: como leer o escribir archivos.
  • Privilegio:
son cambios que no podemos hacer sobre el sistema operativo: como una cuenta de usuario puede cambiar la fecha o la hora, apagar o encender el equipo. En sí, son las group policies.

En los ACL se encuentra un SID con su respectivo permiso. Cada SID con su permiso recibe el nombre de ACE (entrada de control de acceso).

Autorización en workgroup

Cada máquina es responsable de su propia autenticación y autorización. Las credenciales se verifican localmente El subsistema de seguridad de windows evalúa el SID del usuario para determinar si coincide con el ACE en la ACL del recurso al que el usuario intenta acceder. El SID del usuario se compara con los SIDs en el ACLS para decidir si se le permite acceso.

Ejemplo:

En una oficina, entorno workgroup. Hay dos computadoras con sus propias cuentas de usuario: Juan y María. En este caso, Juan quiere acceder a una carpeta compartida en la computadora de María.

Juan inicia sesión en su propia computadora utilizando su nombre de usuario y contraseña local, al igual que María.

Cuando Juan intenta acceder a la carpeta compartida en la computadora de María, el sistema local de María verifica si el usuario Juan coinciden con los registros locales. Si las credenciales son validas, el subsistema de seguridad de Windows evalúa el SID del usuario Juan y verifica si está en la ACL de la carpeta compartida. Si el SID de Juan coincide con un ACE en la ACL con los permisos adecuados, se le permite el acceso. 

   > Los ACEs son los permisos (leer, escribir, eliminar)

Autenticación y Autorización en un Dominio

En un entorno de dominio, el proceso es más centralizado. Durante el inicio de sesión en un dominio, se crea un Ticket Granting Ticket como parte del protocolo Kerberos. El TGT contiene el SID del usuario, así como los SIDs del equipo y los grupos a los que pertenece el usuario. Cuando el usuario intenta acceder a un recurso, el sistema evalúa el TGT y los SIDs asociados para verificar si están en la ACL del recurso. Además el SID del usuario en el TGT se compara con los SIDs en el ACL para permitir o denegar el acceso.

Ejemplo:

En una empresa más grande, el usuario Ana, necesita acceder a una impresora compartida en la red.

Ana inicia sesión en su computadora utilizando sus credenciales de dominio y cuando ingresa se genera un TGT como parte del protocolo de Kerberos.

Ana intenta acceder a la impresora, el sistema verifica el TGT y los SIDs asociados en busca de permisos. Si los SIDs en el TGT de Ana coinciden con los SIDs en la ACL de la impresora se le permite imprimir o no.

Validación de permisos:

La validación de permisos implica comparar los SIDs en el TGT o en la identidad del usuarios con los SIDs en la ACL del recurso. Si los SIDs coinciden, se conceden los permisos especificados en el ACE de la ACL

Referencias

https://www.semanticscholar.org/paper/MCTS-70-640-Cert-Guide%3A-Windows-Server-2008-Active-Poulton/df901910b9cb3d6f2be60dff368ed1c47b3f7e85 https://www.semanticscholar.org/paper/MCTS-70-640-Exam-Cram%3A-Windows-Server-2008-Active-Poulton/57eebd5ce58d37181cb55d29f8d8f2f8b1c889db https://www.semanticscholar.org/paper/Implementace-Active-Directory-Domain-Services-Kořínek/bed1c60b817cb0ba0b7bbf552f9d619ac4b271e9 https://www.semanticscholar.org/paper/MCTS-Windows-Server-2008-Active-Directory-Services-Suhanovs/667573df9079728aa8e62d574e06aa6cebe76d69 https://www.semanticscholar.org/paper/Active-Directory-Domain-Services-2008-How-To-Policelli/c6ac1a37b9001230267426850a3cd1427e4dbed8

Obtenido de «https://wiki.itcoug.com/index.php?title=Roles_y_seguridad_en_Active_Directory&oldid=688991»