7.

1 Introducere

Cand vorbim de Active Directory, vorbim despre un depozit centralizat al tutuor informatiilor, a
utilizatorilor si a resurselor dintr-o organizatie. Cu ajutorul acestor informatii se decide la ce resurse
exista acces pentru utilizatori. Prin permisii asignate catre obiectele Active Directory controlam reteaua
noastra.
Aceste permisii ce ne ofera siguranta retelei noastre sunt liste ce control al accesului (Access Control
Lists ACLs), control al contului de utilizator (User Account Control UAC) si intrari de control ale accesului
(Access Control Entries ACEs).
Pentru a putea defini aceste setari, avem nevoie de o modalitate de a identifica unic obiectele pe
care le securizam prin controlul accesului. Aceasta identificare unica se face cu ajutorul SID-ului (Security
Indetifier). Orice obiect detinator de SID se numeste principal de securitate (Security Principal).
Urmatoarele obiecte sunt Security Principals:
-          Conturi de utilizatori : care identifica individul ce foloseste resursele;
-          Grupuri de Securitate : Grupurile contin utilizatori
-          Conturi de Computer : conturile de computer identifica pentru noi ce calculatoare sunt membri
ai unui domeniu.
Trebuie amintiti ca nu toate obiectele Active Directory sunt Security Principals. Spre exemplu OU-
urile nu sunt.
Acestor obiecte care sunt Security Principal pot fi administrate prin urmatoarele actiuni:
-          Li se pot asigna permisii pentru diferite resurse din retea
-          Li se pot da drepturi pe utilizatori
-          Li se pot urmari actiunile prin auditare

7.2 Grupuri si tipuri de grupuri

In functie de tipul grupului, avem urmatoarele grupuri:

-          Utilizatori si grupuri locale : utilizatorii si grupurile locale sunt folosite la asignarea permisiilor
necesare pentru accesul la masina locala
-          Utilizatori si grupuri de domeniu : utilizatorii si grupurile de domeniu sunt folosite in tot
domeniul. Aceste obiecte sunt disponibile pe toate calculatoarele din tot domeniul si chiar intre
domenii daca exista relatii de incredere intre domenii.
In Active Directory exista doua tipuri principale de grupuri:
-          Grupuri de securitate care sunt Security Principals. Ele pot contine utilizatori, computere sau
alte grupuri si se pot asigna drepturi de securitate cu ajutorul lor.
-          Grupuri de distributie care nu sunt Security Principals si sunt folosite strict pentru distributia
emailurilor.
Schimbarea dintre cele doua tipuri se poate realiza foarte usor si in orice moment.
In functie de scopul domeniului, grupurile pot fi :
-          Locale in domeniu : se folosesc pentru a da drepturi pentru resurse locale
 -          Globale : reprezinta grupuri cu aplicabilitate la nivel de domeniu folosite pentru asignarea
permisiilor de securitate
-          Universale : aceste grupuri sunt folosite pentru a da drepturi intr-un domeniu pentru Security
Principals din alte domenii din interiorul padurii, in conditiile in care administram o organizatie
cu multiple domenii.

7.3 Grupuri de domenii locale built-in

Aceste grupuri sunt folosite pentru administrarea Domain Controllerului si desemnarea unor actiuni
specifice. Printre acestea amintim:
-          Account Operators : pentru administrarea utilizatorilor si grupurilor de domeniu
-          Administrator : drepturi de administrare depline pe acel server
-          Backup Operators : pentru a da drepturi de backup
-          Server Operators : pentru a administra configurarea serverului (servicii, share)
-          Print Operators : pentru administrarea imprimantelor dintr-un domeniu.
Odata cu aceste grupuri builtin vom mai gasi la  promovarea unui controlor de domeniu si
urmatoarele conturi:
-          Contul de Administrator
-          Contul de Guest : oprit implicit
-     Krbtgt (Key Distribution Center Service) folosit pentru autentificarea in Kerberos folosit de sistem
si opriti implicit. Se foloseste doar la promovarea controlorului de domeniu

7.4 Grupuri Globale predefinite

Dintre aceste grupuri amintim:

-          Domain computers : toate computerele dintr-un domeniu sunt membre al acestui grup
-          Domain Admins : membri cu permisii full pentru administrarea domeniului si a obiectelor din
interiorul domeniului
-          Domain Controllers : grupul controloarelor de domeniu
-          Domain Users : toate conturile de utilizatori din domeniu se regasesc aici
-          Enterprise Admins : membrii din acest grup au drepturi administrative peste toata padurea
-          Group Policy Creator Owners : memrii acestui grup pot modifica setarile politicilor pentru
obiectele din domeniu
-          Schema Admins : membrii acestui grup pot modifica schema Active Directory; mai exact pot
modifica parametrii pentru conturile de utilizatori. Orice schimbare facuta aici se propaga in
toata padurea.
In functie de rolurile adaugate, pot aparea si grupuri precum DnsAdmins sau DnsUpdate Proxy sau
DHCP Administrators.
In conditiile in care dorim asignarea de permisiuni si drepturi pentru utilizatori din afara padurii, vom
folosi ForeignSecurityPrincipals.
Modul in care se lucreaza in general este definirea utilizatorilor, apoi a grupurilor, asignarea
utilizatorilor in grupuri si apoi asignarea permisiunilor pe utilizatori.
7.5 Setari de securitate

Fiecare obiect din active directory are o lista de control a accesului, un ACL. Acest ACL este o lista
pentru conturile de utilizatori si grupuri ce au permisiuni de acces a resursei. Pentru fiecare ACL exista o
intrare de control a accesului, ACE, care definteste ce drepturi are un utilizator sau un grup pentru acea
resursa. De retinut ca o permisiune de Deny suprascrie orice alta permisiune, chiar daca acea permisiune
acorda specific acea permisiune.
Fiecare utilizator cand se logheaza pe o statie are un set de drepturi. Anumite actiuni au nevoie de
drepturi suplimentare. Aici ne ajuta controlul contului de user ( UAC) ce permite unui utilizator sa ruleze
actiuni ce au nevoie de drepturi suplimentare.
Fiecare OU poate fi delegat catre controlul unui grup sau unui utilizator pentru un management mai
usor.
Putem configura o parte din setarile de securitate cu ajutorul politicilor de grup. In general cele mai
cunoscute setari de securitate sunt cele legate de parola contului:
-          Enforce Password History : folosita pentru a specifica numarul de parole retinute, astfel incat sa
nu poata fi refolosite
-          Minimum Password Length: folosita pentru a specifica numarul minim de caractere
-          Complexity : specifica daca se va tine cont de criteriul de complexitate
O alta setare definita in politicile de grup este cea legata de blocarea contului :
-          Account Lockout Threshold : specifica numarul de incercari esuate pana la blocarea contului
-          Account Lockout Duration : cat timp va ramane contul blocat
-          Reset Account Lock-out Counter After: specifica timpul dupa care se va reseta contorul pentru
incercari gresite
O ultima setare comuna de securitate priveste politicle locale:
-      Accounts: Rename Administrator Account : pentru a ingreuna accesul persoanelor neautorizate
se schimba numele contului de administrator local
-          Domain Controller : Allow Server Operators To schedule Tasks : membrii grupului Server
Operators pot programa sarcini
-          Interactive Logon : Do not Display Last User Name : pentru a nu ajuta accesul neautorizat, nu se
va afisa numele utilizatorului care s-a logat ultima oara
-          Shutdown: Allow System to be shut down without having to log on : permite administratorilor
sa opreasca masina de la distanta fara a fi necesar sa fie cineva logat

7.6 Implementarea unei politici de audit

Pentru a putea avea un control mai bun asupra nivelului de securitate este necesar sa stim bresele de
securitate daca exista precum si daca si cum se aplica setarile de securitate. Pentru acesta, avem nevoie
de o aduitare a ceea ce se intampla la noi in retea si pentru a realiza aceasat vom implementa o politica
de audit. Poltica de audit ne ajuta sa inregistram actiunile intreprinse de utilizator precum si
interactiunea cu obiectele din domeniu. Actiunile ce se pot audita sunt:
-          Evenimentele legate de logarea conturilor
-          Administrarea conturilor
 -          Accesul serviciului director
-          Accesul obiectelor
-          Schimbarea politicii de audit
-          Utilizarea privilegiilor
-          Evenimentele de sistem.
Pentru verificarea unei politici care i se aplica unui obiect se foloseste comanda auditpol.exe. Printre
parametrii ce se pot folosi amintim:
-          /backup : salveaza politica de audit intr-un fisier
-          /clear : curata politica de audit
-          /get : afiseaza politica de audit curenta
-          /list : afiseaza elementele de politica selectabile
-          /remove : sterge toate setarile de politica per utilizator si dezafecteaza toate setarile de politca
de audit ale sistemului
-          /restore : permite restaurarea unei politici de audit dintr-un fisier salvat anterior
-          /set : permite setarea politicii de audit