Apuntes.pdf | PDF Host

Un servicio de directorio ofrece toda la información de los recursos de la red a través de una única ubicación. Para ello convierte cada recurso en un objeto y almacena su información en una base de datos jerárquica y, opcionalmente, distribuida. Servicio de directorio : Aplicaciones que guardan y administran toda la información sobre los elementos de la red directorio : repositorio único para la información relativa a los objetos de una organización dominio : subconjunto de objetos dentro de un directorio objeto: cualquier objeto que forma parte del directorio, pueden ser recursos, usuarios, equipos, relaciones de confianza, servidores o unidades organizativas entre otros Se pueden clasificar en 3 categorías: 1. Usuarios : identificados a traves de usuario/contraseña – se organizan en grupos 2. Recursos : Elementos que pueden usar los usuarios para el correcto desarrollo de su actividad 3. Servicios : Funciones a las que el usuario tiene acceso (correo, internet, copia de seguridad...) Unidad organizativa : Es un conjunto de objetos que permite organizarlos en forma de subconjuntos de forma jerárquica. Facilita la organización de los dominios Grupo : conjunto de objetos usuario y/o grupo. Ayuda a facilitar la organización y administración de los objetos Controlador de dominio : Un equipo que contiene la base de datos de objetos de un dominio (info de seguridad y responsable de la autenticación de objetos en su ámbito de gobierno) Catálogo global : Es una base de datos con todos los objetos del directorio activo Ésta información se reparte entre todos los controladores de dominio. Árbol: Es un conjunto de dominios que dependen de una raíz común y tienen una estructura jerárquica. Tiene un espacio de nombre común (servidor DNS propio). El objetivo es disminuir el tráfico de la red replicando sólo la información necesaria. Relaciones de confianza : Son un método de comunicación segura entre dominios, árboles y bosques. Permite conectarse usuarios a otros lugares del directorio activo a los que no pertenecen (siempre que esté dentro del directorio activo). Las GPO : Son las Group Policy Object, es decir, políticas de objetos. En general son configuraciones específicas para usuarios y equipos de un dominio que se almacenan en objetos de directivas de grupo. Los requisitos para aplicar una GPO son dos: • la red debe basarse en una estructura de directorio y debe existir al menos un controlador de dominio. • los equipos y usuarios a administrar deben estar unidos al dominio, y deben usar credenciales de dominio para iniciar sesión en sus equipos. Curiosamente, y pese a su nombre, las directivas de grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos, pues tan solo son aplicables a sitios (redes), dominios y unidades organizativas. El resultado de su aplicación afecta a los objetos que contienen. Relación de confianza: Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por otro dominio. Los tipos de relaciones de confianza se diferencian en función de tres rasgos característicos: • Métodos de creación ◦ Automática (implícita) ◦ Manual (explícita) • Dirección ◦ Unidireccional: los usuarios del dominio A (de confianza) pueden utilizar los recursos del dominio B (que confía), pero no al revés. ◦ Bidireccional: aquí ambas acciones son posibles • Transitividad ◦ una relación de confianza transitiva es aquella que permite que si un dominio A confía en otro B, y éste confía en un tercero C, entonces de forma automática, A confía en C. En las relaciones no transitivas, la confianza entre A y C tendría que añadirse explícitamente (Detalles que posiblemente no son importantes) tipos de relaciones de confianza válidos en dominios y bosques de Windows Server: • Confianza raíz de árbol. Esta relación se establece de forma automática entre los dominios raíz del mismo bosque. Es implícita, bidireccional y transitiva. • Confianza principal-secundario. Esta relación se establece de forma automática entre un dominio dado y cada uno de sus subdominios (o dominios secundarios). Es implícita, bidireccional y transitiva. • Confianza de acceso directo. Este tipo de relación debe establecerse de forma manual y tiene como objetivo mejorar la eficiencia en los inicios de sesión remotos. Si los usuarios de un dominio A necesitan acceder frecuentemente a los recursos de un dominio B es posible crear una relación directa que acorta el tiempo necesario para la autentificación de los usuarios. Es explícita, transitiva y unidireccional (si se necesita en ambos sentidos, deben crearse dos relaciones de confianza). • Confianza externa. Este tipo de relación se crea manualmente y permite a usuarios de un dominio Windows Server acceder a recursos ubicados en dominios de otro bosque, o bien dominios Windows NT 4.0. Es explícita, unidireccional y no transitiva. • Confianza de bosque. Este tipo de relación debe crearse de forma manual entre los dominios raíz de dos bosques distintos, y permite a los usuarios de cualquier dominio de un bosque acceder a los recursos de cualquier dominio del otro bosque. Es unidireccional y solo es transitiva entre dos bosques. Para instalar un directorio en Windows Server: 1. Dotar de las herramientas necesarias al servidor 2. Promocionarlo a una función específica dentro del dominio DNS : espacio para resolver nombres de dominios, hay 2 configuraciones para DNS: • Zona de busqueda directa ( DNS → IP) • Zona de busqueda indirecta (IP → DNS) DHCP: comandos: • ipconfig /release → libera la concesión • ipconfig /renew → Le reasigna una IP Objetos predeterminados de directorio: Un dominio contiene objetos que se crean de forma predeterminada tras su instalación. Estos objetos proporcionan acceso al sistema a varios niveles e incluyen grupos que permiten a los administradores delegar tareas específicas de mantenimiento de la red a otros usuarios. Los contenedores con los que arranca un dominio en Microsoft Windows Server son: • builtin, contenedor predeterminado para los grupos que proporcionan acceso a las funciones de administración del servidor • computers, contenedor predeterminado para las cuentas de equipos • users, contenedor predeterminado para cuentas de usuario • domain cotrollers, contenedor para los nuevos controladores de dominio • foreign security principals, contenedor para entidades de seguridad de dominios de confianza externos, basados en las relaciones de confianza • managed service accounts, contenedor para objetos que permiten la administración de servicios ajenos a Active Directory En cuanto a los usuarios creados por defecto, todo sistema de directorio debe contener al menos estos tres: • administrador, cuenta para la administración del dominio • invitado, cuenta para el acceso como invitado al dominio • default account, cuenta de usuario administrada por el sistema Un FQDN (Fully Qualified Domain Name) en un identificador de dominio que incluye el nombre del equipo y el de dominio al que pertenece. Si el equipo sor1 se encuentra en el dominio smr2.local, su FQDN será sor1.smr2.local. Además si ese equipo pasa a ser de un subdominio denominado tic, cambiará a sor1.tic.smr2.local Este identificador posee una longitud máxima de 255 caracteres y de 63 para el nombre de dominio (o subdominio). Estará formado por un conjunto de caracteres entre las letras y números ASCII y el carácter – (guion). Además, no distingue entre mayúsculas y minúsculas. Administración de objetos usuario: Cada usuario que tenga acceso al dominio requerirá de una cuenta de usuario. Las cuentas tienen privilegios. Realiza tres acciones básicas: • Autentificar la identidad de la persona que se conecta al directorio • Controlar el acceso a los recursos del dominios • Auditar las acciones realizadas Políticas de contraseñas: Es buena práctica que los administradores tengan dos cuentas, una administrativa y otra como usuario normal Hay diferentes políticas de contraseñas, algunos ejemplos son: • El usuario debe cambiar la contraseña en el siguiente inicio de sesión, de esta forma tan solo el usuario conoce la contraseña. Ni el administrador del domino puede acceder a ella • El usuario no puede cambiar la contraseña, requerido cuando por necesidades de seguridad la contraseña debe ser controlada por el administrador • La contraseña nunca expira, no se aplicarán las restricciones de caducidad de contraseña a esta cuenta • Cuenta deshabilitada, deshabilita cuentas que temporalmente no se necesitan en la red. También es posible que se active automáticamente debido a las restricciones de seguridad impuestas por el administrador Directivas de seguridad locales: Son reglas que los admin puedes configurar en un equipo para proteger los recursos. Forman parte de las GPO. Las directivas configuran lo siguiente: • Autenticación de usuarios para una red o dispositivo • Los recursos a los que los usuarios pueden tener acceso • La opción de registrar las acciones de un usuario o grupo en el registro de eventos • La pertenencia a un grupo Algunas directivas que creo que son importantes destacar: • directiva de contraseñas, determinan la configuración de contraseñas, como la duración y la aplicación • asignación de derechos de usuario, enumera los usuarios o grupos que tienen derechos de inicio de sesión o privilegios sobre un dispositivo En cualquier caso, estas políticas se aplican a un equipo en concreto y son útiles para él, pero es necesario recordar que estos equipos se encuentran ubicados en un entorno de directorio y, que las políticas de seguridad generales para él no solo se realizan a través de estas directivas, sino a través de la GPO (Group Policy Objetc). Estas GPO se configuran en el controlador del dominio y, si alguna de estas directivas de seguridad locales contradice a una política de grupo del servidor, será ésta última la que prevalezca en aras de aplicar una seguridad común al directorio. Este es el motivo por el cual en un controlador de dominio no se puedan modificar directamente las directivas de seguridad locales, sino que se debe realizar a través de las GPO ya que de este modo afectarán a todo el dominio y no tan solo a un equipo. Administración de objetos grupo: SID (Security IDentifier) es un identificador que se asigna a cada objeto. Estos identificadores han de ser únicos en todo el ámbito del directorio. No importa que dos objetos tengan el mismo nombre si pertenecen a dominios distintos, aunque en realidad no es cierto ya que existe el FQDN. Por ejemplo dos grupos de nombre “Administradores” en dominios distintos. Cada uno de esos grupos tendrá un SID distinto y el sistema operativo se referirá a él a través de este SID. Este identificador está formado por el identificador del dominio al que pertenece y el identificador propio del objeto Los grupos son un contenedor que agrupa usuarios para definir permisos de forma conjunta, en vez de hacerlo de forma individual. Cada grupo creado dentro de un dominio tiene un identificador numérico para la gestión por parte del sistema (excepto los grupos de distribución). En resumen, se usan para: • simplificar la administración, si se asignan permisos para un recurso compartido a un grupo, se concede el mismo acceso al recurso a todos los miembros de dicho grupo • delegar la administración, a un grupo se le puede agregar los miembros que desee y que tengan los mismos derechos o permisos de los que disponga el grupo • crear listas de distribución de correo electrónico Además, existen 3 tipos de grupos: • grupos de distribución , se utilizan para crear listas de distribución de correo electrónico. Estos grupos no disponen de características de seguridad ni identificador de grupo son un listado de usuarios para mensajería • grupos integrados o builtin , creados durante la instalación de los servicios de directorio y son fundamentales para simplificar la asignación de funciones de administración del sistema • grupos de seguridad , son los que permiten asignar permisos sobre los recursos compartidos. Estos grupos son creados por los administradores, para adaptar el dominio al funcionamiento de la empresa o actividad que se necesite gestionar. Es posible crear un número infinito de grupos para satisfacer las necesidades de la empresa. A los grupos se les asigna derechos y permisos sobre los recursos de forma directa, de este modo aparecen en las listas de control de acceso discrecional DACL (Discretionary Access Control Lists) y eso los faculta para acceder a los recursos compartidos. • grupos de seguridad locales de dominio, cuentan con un identificador SID (Security IDentified) que es reconocido dentro del dominio en el que se crean, de modo que estos grupos no serán visibles fuera del dominio. Dentro dominio en el que fue creado el grupo, todos los controladores de dominio y todos los clientes serán capaces de reconocerlo. Afectan a todo el dominio pero no es posible darles permisos para el mismo bosque, aunque sus miembros pueden provenir de otros dominios. • grupos de seguridad globales de dominio, su SID (Security IDentified) es reconocido fuera de su propio dominio, por lo que puede ser visto y usado en dominios que no son el propio donde se crearon. Estos grupos pueden contener como miembros únicamente cuentas de usuario y grupos globales de su propio dominio • grupos de seguridad universales, no tienen ningún tipo de limitación y su SID es reconocido en todo el directorio. Pueden ser vistos en cualquier dominio del bosque, y pueden contener cualquier tipo de usuario o grupo de cualquier dominio. Se recomienda no utilizarlos, ya que es posible llegar a crear situaciones de inseguridad para algunos recursos Grupos Built-in: Cuando se instala un directorio, viene con unos grupos predeterminados ya configurados y creados. No se le puede dar permiso de acceso a una carpeta a un grupo integrado de forma directa. Es posible hacer si se añaden estos grupos a los grupos de seguridad. Entre los grupos Built-in más destacados están: • Administradores, permite a los miembros del grupo realizar tareas administrativas • Invitados, conjunto de todos los invitados del dominio • Usuarios, grupo global que contiene todas las cuentas de usuarios el domino. También existe los grupos que no se pueden ver ni modificar, son los grupos especiales y se les conoce como identidades especiales. Representa a distintos usuarios en distintas ocasiones, un ejemplo de estos es el grupo “Todos”, que representa a todos los usuarios incluido a los usuarios invitados y usuarios de otros dominios. Unidades organizativas: Es un contenedor de objetos pertenecientes a un mismo dominio, con la particularidad de que se pueden subordinar unas a otras. Cuando se elimina un objeto contenedor, se elimina todos los objetos que lo contienen. Si se aplican permisos y atributos a la unidad organizativa, se aplicará a todo lo inferior. Un objeto de domino solo puede estar contenido en una única unidad organizativa. Equipos del dominio: al igual que sucede con las cuentas de usuario, deben ser únicas en todo el dominio. Las cuentas de equipos se crean con dos objetivos fundamentales: • autenticar la identidad de un equipo ya que solo se podrá iniciar una sesión desde aquellos equipos que pertenezcan al dominio, aunque esto es decisión del administrador • autorizar o denegar el acceso a los recursos del dominio Cuando un equipo se une al dominio, de forma automática se crea la cuenta de ese equipo Ámbito de directivas: Es posible asignar una GPO a un objeto determinado del dominio y afectará a todos los objetos que contiene Cuando se habilita una GPO, el orden en que la misma es aplicada es el siguiente: • en primer lugar se aplica el objeto de directiva de grupo local único de cada equipo. • en segundo lugar se aplican los objetos de directiva de grupo del sitio, en el orden especificado administrativamente. • en tercer lugar los objetos de directiva de grupo del dominio, en el orden especificado administrativamente. • en cuarto lugar los objetos de directiva de grupo de las unidades organizativas, de unidad organizativa principal a secundaria, y en el orden especificado administrativamente en el nivel de cada unidad. En caso de contradecirse: Para la configuración de GPO que solo afecten a un usuario o equipo local se puede utilizar el editor de directivas locales gpedit.msc. En nuestro caso accederemos en el entorno de Servicios de Dominio de Active Directory, con la consola de administración gpmc.msc (=administración de directivas de grupo). Directivas importantes: • configuración de software, listado de software que el equipo debe tener instalado. Si no es así, se instalará desde el repositorio especificado en la directiva • configuración de Windows, directivas basadas en la configuración sistema operativo que debe tener para poder pertenecer al dominio y la configuración de seguridad mínima • plantillas administrativas, listado de todas las directivas que hacen referencia a la configuración del sistema operativo. Este es el grueso de los contenidos de directiva cada directiva dispone de varios valores de configuración. La mayoría de directivas ofrecen tres opciones: • no configurada, la directiva no tiene efecto alguno • habilitada, la directiva ejerce su efecto sobre los objetos del directorio a los que haya sido vinculada • deshabilitada, la directiva no ejerce su efecto sobre los objetos vinculados Las directivas se aplican en la configuración del equipo durante el inicio del sistema operativo, pero se puede forzar con el comando gpupdate/force. El valor predeterminado de actualización es de 90 minutos, mas un intervalo aleatorio para evitar que todos los equipos se actualicen a la vez. Control de acceso a recursos: Hay que proteger el controlador de dominio (archivos, aplicaciones y otros recursos) de usos no autorizados. El proceso compara la cuenta de usuario con su pertenencia a grupo y sus derechos, privilegios y permisos asociados a esas cuentas. Resumen: Es el proceso de autorizar a usuarios, grupos y equipos el uso de los objetos. Cuando un usuario inicia sesión en un dominio, recibe un token de acceso que determina el nivel de uso de los objetos del directorio. Antes de permitir que un usuario utilice un objeto, se comprueba el token de acceso y si está autorizado a realizar la tarea. Para ello compara la información de dicho token con las ACE (Access Control Entry) del objeto. Este proceso busca el permiso que permita la acción requerida por el usuario sobre el objeto, si no encuentra ninguno que lo permita expresamente, lo deniega y el usuario no podrá realizar la acción sobre el objeto. Esquema del proceso: Listas de control de acceso: Las ACL (Access Control List) son el resultado de la combinación de todos los permisos, derechos y privilegios que el usuario posee. Al iniciar sesión esta ACL se asigna al usuario en el token de acceso que será comparado con la ACE de cada objeto con el que se pretenda interactuar. En la ACL se juntan los siguientes permisos: derechos de inicio de sesión y privilegios de usuario, propietario del objeto, permisos. Permisos de red y locales En un servidor de archivos, el acceso a una carpeta puede estar determinado por dos tipos de permisos: • los permisos de recurso compartido definidos tan solo para carpetas • los permisos NTFS (New Technology File System) definidos tanto en carpetas como en archivos Ambos sistemas de permisos conviven en entornos de Microsoft pero son independientes, ninguno modifica al otro. Los permisos de acceso final en una carpeta compartida se determinan teniendo en cuenta las entradas de permiso de recurso compartido y de permiso NTFS. En caso de contradicción entre ellos, se aplicarán siempre los permisos más restrictivos Herencia: Cada objeto del directorio tiene asignada información de control de acceso. Esta información se denomina descriptor de seguridad y controla el tipo de acceso permitido a usuarios y grupos. Existen dos formas de asignar permisos a los objetos: • permisos explícitos, son aquellos que asigna el usuario o son el resultado de la creación del objeto y son los que se han estudiado hasta ahora • permisos heredados, son los que se propagan a un objeto desde un objeto primario Es posible deshabilitar la herencia, ya que de forma predeterminada se aplica para facilitar las tareas. Perfiles moviles y carpetas de usuario Todos los perfiles se generan a partir de una copia del perfil Default User ( ntuser.dat). Diferentes tipos de perfil: • perfiles locales, creados en un equipo cuando un usuario inicia sesión. El perfil es específico de un usuario y se almacena en el disco duro del equipo local • perfiles móviles, creados por un administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier máquina donde éste inicie sesión • perfiles obligatorios, son perfiles móviles que solo pueden ser modificados por un administrador. Éste podrá definir configuraciones para usuarios o grupos, que no podrán personalizar sus perfiles • perfil temporal, cuando se produce un error que impide cargar un perfil móvil o un perfil obligatorio, se crea un perfil temporal para facilitar el inicio de sesión del usuario. Una vez finalizada se sesión, el perfil temporal se elimina Carpetas personales: son almacenes que proporciona un servidor para los documentos de los usuarios. En sistemas de la familia de Microsoft, existe un sistema de nomenclatura de recursos de red basado en un espacio de nombres común. Su formato es el siguiente: \\equipo\ carpeta_contenedora\carpeta_compartida . Una vez asignada una letra de unidad de red, cuando el usuario inicie sesión aparecerá un nuevo volumen en su sistema de archivos con la mencionada letra y apuntando a la carpeta compartida del servidor. Variables de entorno: En cualquier sistema operativo, las variables de entorno son un conjunto de valores que obtienen su valor de forma dinámica durante la sesión del usuario. Las variables de entorno más destacadas: • %homedrive%, letra de la unidad de disco que contiene el directorio principal del sistema operativo, normalmente C: • %homepath%, ruta de acceso absoluta al directorio principal del usuario • %os%, nombre del sistema operativo del usuario • %processor_architecture%, tipo de arquitectura del equipo del usuario • %userdomain%, nombre del dominio donde existe la cuenta del usuario • %username%, nombre del usuario de la cuenta • %path%, rutas de los ficheros ejecutables Cuotas de disco: Las cuotas de disco permiten controlar la cantidad de ficheros que se introducen en un recurso compartido. (Herramienta administrador de cuotas) Tipos de limites: • rigidos o hard: Si se supera, no se puede sobrepasar • flexibles o soft: Si se supera, avisa al administrador de que se han excedido los límites. Filtrado de ficheros en recursos compartidos: Se puede filtrar el tipo de ficheros con la herramienta “Administración del filtrado de archivos” Volúmenes distribuidos: Se pueden crear grupos de almacenamiento para crear volumenes RAID a partir de un conjunto de volumenes lógicos Sistemas de tolerancias a fallos (RAID): "Redundant Array of Independent Disks” Conjunto de discos que ofrecen varias ventajas como: • tolerancia a fallos, protege contra la pérdida de datos y proporciona recuperación de datos en tiempo real con acceso ininterrumpido en caso de que falle un disco • mejora del rendimiento/velocidad, los datos se desglosan en fragmentos que se escriben en varias unidades de forma simultánea. Este proceso, denominado fraccionamiento de datos, incrementa notablemente el rendimiento • mayor fiabilidad, emplean dos técnicas para aumentar la fiabilidad: la redundancia de datos y la información de paridad. La redundancia implica el almacenamiento de los mismos datos en más de una unidad. En la paridad de datos se utiliza un algoritmo matemático para generar información extra. Cuando se produce un fallo en una unidad se leen los datos correctos que quedan y se comparan con los datos de paridad almacenados por la matriz • alta disponibilidad, se refiere a la capacidad para obtener los datos adecuados en cualquier momento Tipos de RAID: Pueden implementarse mediante software o hardware (host o RAID externo). Lo recomendado es por hardware, y se usaría ISCSI, SCSI, SAS o Fibre Channel para la interconexión. Niveles de RAID: Stripping, no ofrece tolerancia a fallos, aumenta la velocidad en funcion del numero de discos, se requieren 2 discos. + velocidad - tolerancia a fallos Redundancia de discos, mayor velocidad de lectura, se requieren 2 discos. + Redundancia - No aumenta velocidad de escritura Utiliza ECC junto a la paridad calculando con puertas XOR para errores. útiles para archivos de gran tamaño. + Alta tasa de transferencia, fiabilidad y disponibilidad. - Minimo de 3 unidades Igual que el anterior pero con paridad distribuida. Mejora la fiabilidad permitiendo el fallo de cualquiera de 1 de sus discos. Minimo de 3 unidades, optimo a partir de 6 unidades