Aksesskontroll og sikkerhet i Active Directory

IMT4161 Information Security and Security Architecture Autumn Term 2004 MSc in Information Security Aksesskontroll og sikkerhet i Active Directory Håvard Hasli, haa_hasl@hig.no Vidar Grønland, vid_groe@hig.no Norwegian Information Security Laboratory NISlab Department of Computer Science and Media Technology Gjøvik University College P.O. Box 191, 2802 Gjøvik, Norway

Aksesskontroll og sikkerhet i Active Directory Page 1 Forord Vi fikk i oppgave å skrive en rapport som skulle omhandle aksesskontroll i Active Directory. Prosjektet er en del av faget Informasjonssikkerhet og sikkerhetsarkitektur (IMT4161) ved høgskolen i Gjøvik. Vi la hovedtyngden på informasjon fra internett, da denne som regel er av nyere dato enn boklitteratur på området. Informasjonsinnhenting er også enklere, da det her er lettvint å søke, men man bør være obs på at en ikke kan stole blindt på all informasjon på nettet. Informasjonen vi har benyttet, kommer stort sett fra Microsoft sine nettsider. Dette fordi vi anser disse sidene for å være meget troverdige, siden det er Microsoft som har utviklet Active Directory. Vi vil rette en takk til Magne Reinsborg (IT sjef ved HiG), som gav oss et lynkurs i hvordan Active Directory fungerer i praksis. Da vi begynte med prosjektet la vi for stor vekt på den distribuerte delen av Active Directory, siden det meste av informasjonen vi fant var vinklet mot dette. Dette brukte vi mye tid på, og fikk derfor ikke, føler vi, vinklet prosjektet nok i retning av aksesskontroll. Sammendrag Dette prosjektet handler om aksesskontroll og sikkerhet i og rundt Active Directory. Vi har gått nærmere inn på hva Active Directory er og hva slags sikkerhetsmekanismer som brukes. Vi har her tatt for oss objektsikring og tilgang til delte objekter (ACL og ACE). Vi har også sett noe på hvordan aksesskontrollmekanismene ble forbedret fra Windows NT 4.0 og til Windows 2000.

Aksesskontroll og sikkerhet i Active Directory Page 2 Innholdsfortegnelse 1 Hva er og hva gir Active Directory?...3 2 Hvordan fungerer Active Directory?...5 3 Aksesskontroll i Active Directory...8 Definisjon av aksesskontroll...8 Oppbygging...8 Eksempel på hvordan objekttyper blir brukt...9 Aksesskontroll i Windows NT4.0 vs Windows 2000...10 4 Hvordan aksesskontroll virker i AD...12 Aksesskontrollkomponenter...12 Ekstern tilgang til AD...14 Aksesskontroll-arv...14 5 Sikkerhet i Active Directory...16 Måter Active Directory styrker sikkerheten på:...16 Hvordan Active Directory styrker sikkeheten...17 6 Kerberos protokollen...18 7 Konklusjon...19 8 Kilder...20 9 Ordliste (vedlegg)...21

Aksesskontroll og sikkerhet i Active Directory Page 3 1 Hva er og hva gir Active Directory? I distribuerte datasystemer, kommuniserer datamaskiner og andre enheter over fjerntilkoblinger for å gjennomføre oppgaver gjennom klient/server applikasjoner. Distribuerte miljøer krever et sentralt oppbevaringssted for informasjon og integrerte tjenester som har muligheten til å administrere nettverksbrukere, tjenester, enheter, og tilleggsinformasjon som administratorer ønsker å lagre. Organisasjoner som benytter distribuerte miljøer trenger å administrere nettverksressurser og tjenester. Etter hvert som organisasjonen vokser, øker behovet for et sikkert og sentralisert administreringssystem. En katalogtjener gir en slik sentralisert lokasjon å lagre informasjon om nettverkets tjenester, enheter og brukere. En katalogtjener implementerer også tjenester som gjør denne informasjonen tilgjengelig for brukere, datamaskiner og applikasjoner. Katalogtjeneren er både en kataloglagringsdatabase, [eng: directory store], og et sett av tjenester som har som oppgave å legge til, modifisere, slette, og lokalisere data i kataloglagringsdatabasen på en sikker måte. Active Directory gir: En sentral lokasjon for nettverksadministrasjon og delegering av administrativ autoritet. Man har tilgang til objekter som representerer alle nettverkets brukere, enheter og ressurser og muligheten til å gruppere objekter for å forenkle administreringen og anvendelsen av sikkerhets og gruppepolicyer. Informasjonssikkerhet og «single sign on» for tilgang til nettverksressurser for brukerne. God integrering av sikkerhet. Kombinasjoner av brukernavn og passord kan identifisere hver enkelt nettverksbruker, og denne identiteten følger brukeren over hele nettverket. Skalerbarhet. Active Directory inneholder et eller flere domener, hver med en eller flere domenekontrollere. Dette gjør at man kan skalere katalogene i henhold til nettverkskravene. Fleksibel og global søking. Brukere og administratorer kan benytte enkle verktøy for å søke i Active Directory. Som standard, er søk rettet mot den globale katalogen, hvilket gir et bredt søkespekter.

Aksesskontroll og sikkerhet i Active Directory Page 4 Lagring av applikasjonsdata. Active Directory tilbyr en sentral plassering for lagring av data som er delt mellom applikasjoner og for applikasjoner som distribuerer dataene sine over nettverket. Systematisk synkronisering av katalogstruktur oppdateringer. Oppdateringer blir distribuert til hele nettverket ved hjelp av sikre og kostnadseffektive dupliseringer mellom domenekontrollere. Fjernadministrering. Man kan koble seg eksternt opp mot hvilken som helst domenekontroller fra enhver Windows basert datamaskin som har administrative verktøy installert.

Aksesskontroll og sikkerhet i Active Directory Page 5 2 Hvordan fungerer Active Directory? Active Directory lar organisasjoner lagre informasjon på en hierarkisk, objektorientert måte, og gir mulighet for duplisering for å støtte distribuerte nettverksmiljøer. Active Directory benytter seg av objekter for å representere nettverksressurser som for eksempel brukere, grupper, maskiner, enheter og applikasjoner. Den bruker «containere» for å representere organisasjoner, eller samlinger av relaterte objekter som f.eks. printere. Informasjonen blir organisert i en trestruktur bestående av disse objektene og «containerne», på samme måte som Windows baserte operativsystemer bruker kataloger og filer for å organisere informasjon på en PC. Figur 2.1. Active Directory organiserer informasjon i en trestruktur for å forenkle administreringen. I tillegg administrerer Active Directory relasjoner mellom objekter og «containere» for å gi et enkelt, sentralisert og omfattende overblikk. Dette gjør at ressurser blir lettere å finne, administrere, og bruke i distribuerte systemer. Hierarkiet i Active Directory er fleksibelt og konfigurerbart, slik at organisasjoner kan organisere ressurser på en mest mulig optimalisert måte med hensyn på brukervennlighet og administrerbarhet. I figur 2.1 over, blir «containere» brukt til å representere samlinger av brukere, maskiner, enheter og applikasjoner. «Containere» kan innkapsles, («container» inni en annen «container»), for å gjenspeile organisasjonsstrukturen. I dette tilfellet representerer «containerne» studenter og ansatte de to «avdelingene» brukere er delt inn i, og relasjonen dem imellom, innenfor organisasjonen skole. Ved å gruppere

Aksesskontroll og sikkerhet i Active Directory Page 6 objekter i kataloger, kan objekter administreres som en samling av objekter i stedet for en og en. Dette øker effektiviteten og nøyaktigheten av administreringen. Som nevnt tidligere lagrer Active Directory informasjon om nettverkselementer vha. objekter. Disse objektene kan tildeles attributter, som beskriver karakteristikken av et objekt. Ved hjelp av dette kan organisasjonen lagre all slags informasjon i katalogtjeneren, og samtidig kontrollere tilgangen til det. Figur 2.2. Active Directory objekter og attributter beskyttes ved hjelp av aksesskontrollister. Som figur 2.2 illustrerer, kan administratoren kontrollere aksessen til informasjon lagret i katalogene. Her: et brukerobjekt lagret i katalogen studenter, har attributtene navn, email, tlf og studentnr. Active Directory lar administratoren gi aksessrettigheter for hvert enkelt attributt i objektene, og for hele objekter. I dette tilfellet har administratoren gitt global aksess til objektet «Espen Askeladd», men låst tilgangen til studentnummer attributtet hans. Active Directory brukes til et av tre formål: Intern katalogtjener Benyttes innenfor organisasjonens nettverk for å publisere informasjon om brukere og ressurser innenfor organisasjonen. En organisasjons interne katalogtjener kan aksesseres av ansatte selv om de er utenfor organisasjonens nettverk ved å bruke en sikker tilkobling som f.eks. VPN (Virtual Private Network). Ekstern katalogtjener Dette er kataloger som ofte ligger på servere i perimeter nettverket eller i demilitariserte soner (DMZ), på grensen mellom organisasjonens lokalnettverk og internett. Eksterne kataloger blir typisk brukt til å lagre informasjon om kunder, klienter og business partnere som benytter eksterne applikasjoner eller tjenester. De

Aksesskontroll og sikkerhet i Active Directory Page 7 blir også gjort tilgjengelige for kundene, klientene og business partnerne for å gi dem et utvalg av lagret informasjon (kalles ofte extranet). Applikasjons katalogtjener «Applikasjonskataloger» lagrer «private» katalogdata som kun er relevant for applikasjonen i en lokal katalog, f.eks. på samme server som applikasjonen, uten at det kreves noen tilleggskonfigurasjon av Active Directory. De individuelt tilpassede dataene, som bare er interessante for «portalapplikasjonen» og dermed ikke trenger å dupliseres rundt på nettverket, trenger kun å lagres i registeret/katalogen assosiert med programmet. Denne løsningen reduserer unødvendig trafikk på nettverket mellom domenekontrollere.

Aksesskontroll og sikkerhet i Active Directory Page 8 3 Aksesskontroll i Active Directory Definisjon av aksesskontroll En sikkerhetsmekanisme som bestemmer hvilke operasjoner en bruker, gruppe, service, eller datamaskin er autorisert til å utføre på en datamaskin, eller et bestemt objekt, (som for eksempel filer, skrivere, register nøkler, eller katalogtjenesteobjekter), for å administrere brukertilgang til delte ressurser. Oppbygging I Active Directory (AD) blir aksesskontrollen utført på objektnivå ved å sette forskjellige sikkerhetsnivåer eller rettigheter av typen full kontroll, skrive, lese eller ingen tilgang. Aksesskontrollen i AD definerer hvordan forskjellige brukere kan benytte seg av AD objektene. Rettighetene i objektene er satt til maks sikkerhet som standard. Hvert objekt som sikres i AD inneholder en «security descriptor (SD)», denne har oversikt over all sikkerhetsrelatert informasjon for dette objektet, vanligvis i form av aksesskontrollister [eng: access control lists (ACL)]. (Se fig 3.1.) ACL er lister med sikkerhetsbeskyttelsesmekanismer som gjelder for et helt objekt, en del av et objekt eller en individuell egenskap et objekt har. Det fins to typer ACL; «Discretionary ACL (DACL)» og «System ACL (SACL)». DACL er den delen av et objekts SD som gir eller nekter spesifikke brukere og grupper adgang til objektet. SACL er delen av objektets SD som spesifiserer hvilke hendelser som skal kunne logges per bruker eller gruppe. Hver av disse to listene inneholder aksesskontrolloppføringer [eng: access control entries (ACE)], for hver spesifikk operasjon som skal utføres på et objekt finnes en ACE som sier noe om sikkerheten rundt denne. DACL Hver ACE gir eller nekter tilgang til en bruker eller gruppe som ønsker aksessrettigheter til objektet. Disse aksessrettighetene kan være operasjonene som er tillatt på objektet f.eks. lesing og skriving.

Aksesskontroll og sikkerhet i Active Directory Page 9 SACL Hver ACE definerer hvilke hendelser som skal logges av sikkerhetssystemet. Disse hendelsene kan være forsøk på aksess, endring av rettigheter osv. SEC. DESC OBJEKT SACL DACL ACE 1ACE 2ACE 3ACE 4ACE Figur 3.1 Grovskisse av aksesskontrollistene i en sikkerhetsdeskriptor. Eksempel på hvordan objekttyper blir brukt Hovedpoenget med objektspesifikke ACE er er at program kan både ha en stor samling av aksessrettigheter og i tillegg kunne utvide disse dynamisk. Ved å gruppere aksessrettighetene hierarkisk i «property sets», forbedres ytelsen når man har store sett med rettigheter, fordi man kan samle disse i en enkelt ACE. Active Directory benytter dette til å organisere egenskaper med lignende aksesskontrollbehov, som f.eks. alle kontaktinformasjonsegenskaper, inn i et «property set». Se eksempel under.

Aksesskontroll og sikkerhet i Active Directory Page 10 ACL Header: Revision: version 2 ACL Size: 100 bytes ACE Count: 3 ACCESS_ALLOWED_ACE Principal: Administrator Access: read, write, delete, control ACCESS_ALLOWED_OBJECT_ACE Principal: Group Admins Access: read, write ObjectType: {GUID for public property-set} ACCESS_ALLOWED_OBJECT_ACE Principal: Ola Norman Access: control ObjectType: {GUID for change-password} Figur 3.2. En ACL på et brukerobjekt i Active Directory. Den første ACE en gir administratorer full kontroll over brukerobjektets egenskaper. Den andre ACE en gir «Group Admins» lese og skrivetilgang til brukerobjektets offentlige informasjon som f.eks. tlf nr, navn, adr. Den tredje ACE en gir brukeren Ola Norman tilgang til å endre sitt eget passord. (Siden det å endre et passord ikke kan gjøres ved en lese eller skrivetilgang er man nødt til å benytte control for å få utført dette. Active Directory skjønner da at brukeren har lov til å benytte et passordendringsprogram (f.eks. kpasswd) til å endre passordet sitt med, så lenge brukeren kan oppgi sitt forrige passord). Aksesskontroll i Windows NT4.0 vs Windows 2000 Aksesskontrollalgoritmene og strukturen for NT 4.0 ble utviklet med tanke på tjenester som f.eks. filsystemet, med bare noen få objekttyper (filer, kataloger ) og operasjoner (r,w,x). I motsetning inneholder Active Directory hundrevis av objekttyper, hver med mange egenskaper som må beskyttes individuelt. Ut i fra dette ser vi at aksesskontrollmekanismene i NT 4.0 har tre store begrensninger: 1. Støtter ikke store antall egenskaper og operasjoner på objekter 2. Har ikke mulighet til å ha mange forskjellige objekttyper innenfor en «container» 3. Forplante endringer i ACL er gjennom et tre av objekter Løsningen på disse tre problemene er gjort ved å utvide oppføringene i Aksesskontrollistene (ACE ene) til å inneholde to ting til: objekttype (object type) og arvet objekttype (inherited object type). Objekttypefeltet sier noe om hva slags objekt/egenskap ACE en gjelder for. Dette feltet utvider mulige rettigheter

Aksesskontroll og sikkerhet i Active Directory Page 11 tilgjengelig for et objekt. Arvet objekttypefeltet kontrollerer hvilke typer objekter som arver ACE en. (Se fig. 3.3). ACE: Header: Type: ACESS_ALLOWED_OBJECT_ACE Flags: OBJECT_INHERIT ObjectType: LogonScriptPath InheritedObjectType: users Access Rights: read, write, exec Principal SID: secadmin Figur 3.3. Eksempel på en ACE struktur i Windows 2000. I Windows 2000 spesifiserer ACL oppføringene (ACE ene) hva slags type objekt som kontrolleres, hvilke typer objekter som kan opprettes, og hvilke typer objekter som vil kopiere oppføringen inn i deres egen ACL når de opprettes. Som et resultat av dette kan ACL er spesifisere hvilke objekter som kan aksesseres så vel som hvordan informasjonen forplanter seg i hierarkiet av objekter. I NT4 kan en bare bestemme om en bruker har eller ikke har adgang til å kjøre et program, hvis adgang blir gitt vil programmet kjøre med alle rettigheter denne brukeren har. Dette fordi når et program skal kjøres vil det bli opprettet en kopi av brukerens aksesstoken som brukes av programmet for adgang til de ressurser det trenger. Med AD og Windows 2000 fikk brukeren mulighet til å kontrollere hvor mye aksess et program kunne få. Dette blir gjort ved at det blir laget en «strengere» kopi av brukerens aksesstoken hvor det blir satt adgang til kun de ressursene et program trenger. Hvis programmet som kjører i begrenset modus har tilgang til brukernavnet og passordet ditt kan det autentisere seg mot en annen server og få full tilgang der. Men ved å bruke kun abstrakte autentifiseringsprosedyrer som f.eks. GSS API kan begrensningene en bruker har blitt gitt overført også til den nye serveren. I Windows 2003 brukes Kerberos til å gjøre dette. (Se kapittel 6 for mer info om Kerberos).

Aksesskontroll og sikkerhet i Active Directory Page 12 4 Hvordan aksesskontroll virker i AD Aksesskontroll i Microsoft Active Directory er basert på Windows NT/2000 sin aksesskontrollmodell. Som nevnt i kapittel 3 blir aksessprivilegier for AD ressurser vanligvis gitt ved bruk av en ACE (aksesskontrolloppføring). En ACE inneholder en aksess eller loggrettighet på et objekt for en spesifikk bruker eller gruppe. En ACL er en ordnet liste med ACE er for et spesifikt objekt. En SD (sikkerhetsdeskriptor) inneholder egenskaper og metoder som lager og håndterer ACL er. Den basiske oppbygningen av sikkerhetsmodellen er som følger: Sikkerhetsdeskriptor. Hvert objekt i AD har sin egen SD som inneholder sikkerhetsdata for beskyttelse av objektet. SD en kan inneholde en diskré aksesskontrolliste DACL. Denne inneholder en liste med ACE er. Hver ACE gir eller nekter tilgang til en bruker eller gruppe som ønsker aksessrettigheter til objektet. Disse aksessrettighetene kan være operasjonene som er tillatt på objektet f.eks. lesing og skriving. Sikkerhets kontekst. Når et objekt blir forsøkt aksessert vil programmet oppgi sikkerhetsklareringen til den som forsøker å få tilgang. Når denne er autentisert vil sikkerhetsklareringen bestemme programmets sikkerhetsnivå, dette inkluderer gruppemedlemskap og privilegier assosiert med den som forsøkte å få tilgang. Aksessjekk. Systemet vil kun gi tilgang til et objekt dersom objektets SD gir de nødvendige tilgangsrettigheter til den som forsøker å få tilgang. Aksesskontrollkomponenter Det finnes to primære komponenter i en aksesskontrollmodell: Aksesstoken, som inneholder informasjon om en pålogget bruker Sikkerhetsdeskriptor, som inneholder sikkerhetsinformasjonen som beskytter et sikret objekt Når en bruker logger seg på, vil systemet autentisere brukeren mot dens brukerkonto og passord. Hvis dette er vellykket vil brukeren få tildelt et aksesstoken. Hver prosess utført på vegne av brukeren vil få en kopi av dette. Tokenet inneholder sikkerhetsidentifikatorer som identifiserer brukerens konto og

Aksesskontroll og sikkerhet i Active Directory Page 13 enhver gruppe brukeren tilhører. Det inneholder også en liste med hvilke privilegier brukeren eller brukerens grupper har. Systemet bruker token for å identifisere eiere av prosesser når disse prøver å aksessere et sikret objekt eller utføre systemadministrative oppgaver som krever utvidede privilegier. Når et sikret objekt blir opprettet vil systemet tildele dette objektet en sikkerhetsdeskriptor som inneholder sikkerhetsinfo satt av den som lagde objektet, eller en standardversjon av denne infoen om intet annet er spesifisert. Programmer kan bruke funksjoner for å hente eller sette sikkerhetsinfo for et eksisterende objekt. En sikkerhetsdeskriptor SD identifiserer objektets eier og kan også inneholde følgende aksesskontrollister: Brukers aksesstoken Bruker SID Gruppe SID Liste med rettigheter Diverse aksessinfo Objekts sikkerhetsdeskriptor Objekteier SID Gruppe SID SACL ACE ACE ACE DACL Aksessjekk utføres mellom disse to når en prosess ønsker tilgang til et objekt. Hver ACE blir sjekket opp mot aksesstokenets rettigheter. ACE ACE ACE ACE - - Figur 4.1. En brukers aksesstoken og et objekts sikkerhetsdeskriptor

Aksesskontroll og sikkerhet i Active Directory Page 14 Ekstern tilgang til AD AD tillater både anonym og autentisert aksess til katalogstrukturen. Anonyme brukere har kun tilgang til objekter som har tillatt aksess for alle i sin ACL. Autentisert tilgang til AD via Lightweight directory access protocol (LDAP) støttes gjennom bruk av MIT Kerberos V5 autentiseringsprotokoll i tillegg til passordbasert autentifikasjon. Internettklienter kan også autentiseres vha. X.509 v3 Public Key Cetificates. Security Support Provider Interface (SSPI) er Microsofts implementeasjon av Generic Security Services Application Programming Interface (GSSAPI). Denne er basert på en slik arkitektur at en applikasjon som skriver til disse APIene kan bruke forskjellige sikkerhetsleverandører (security providers). Microsoft sin LDAP klient og WinNT AD bruker SSPI sin API for autentifikasjon og sikkerhet, og kan derfor bruke hvilken som helst annen SSPI leverandør for opprettelse og utførelse av en sikker LDAP sesjon. Windows 2003 har også lagt inn SSPI støtte for SSL 3.0, Kerberos v5 og Windows NT SSP. Aksesskontroll arv Når man tildeler en «container» en ACE, vil rettighetene assosiert med ACE en flyte nedover i treet i en prosess man kaller arv. Arving av rettigheter er ikke noe nytt i Windows 2000. Windows NT har alltid benyttet seg av arv for å tildele «default» aksessrettigheter til filer, kataloger og registernøkler. Når et nytt objekt opprettes, arver dette objektet sikkerhetsdeskriptoren fra sin «parent». Denne måten å arve på brukes også i Windows 2000. Figur 4.2 Arving av ACE er fra «parent» til «child» ved opprettelse av nytt objekt.

Aksesskontroll og sikkerhet i Active Directory Page 15 Det som er nytt i Windows 2000 er konseptet med dynamisk arving. Når en arvbar ACE blir lagt til en aksessliste for et containerobjekt i katalogen, oppdateres sikkerhetsdeskriptoren til de underordnede objektene automatisk. Dette blir på en måte det samme som, «bruk på alle underkataloger» i NT, i stedet for å overskrive sikkerhetsdeskriptoren i «child» objektet, blir en ny ACE lagt til i listen. Det er egentlig ikke en fullstendig dynamisk arving i Windows 2000, men mer en dynamisk/statisk arving. Når en ACE blir lagt til i sikkerhetsdeskriptoren til et katalogobjekt, og arvingen blir satt til å flyte nedover i treet, (object_inherit flagget er satt), vil sikkerhetsdeskriptoren til alle «child» objektene bli oppdatert med den nye ACE en. Hvis man har 1500 brukerkontoer i en «container» og man legger til en arvbar ACE i ACL en til «containeren», vil sikkerhetsdeskriptorene til de 1500 brukerkontoene bli modifiseret. Katalogtjeneren er optimalisert for slike typer jobber, men det kan fortsatt ta litt tid. Disse utvidelsene av arvereglene tillater sentralisert administrering av aksesskontrollen fordi aksessrettighetene kan administreres på et hvilket som helst nivå i hierarkiet. Det er da mulig å administrere hvor som helst i treet, og la endringene flyte nedover, eller å administrere direkte på et objekt. I tillegg kan enkelte deler av treet være mer beskyttet og blokkere arving av rettigheter ovenifra. Denne måten å gjøre det på er den største fordelen med dynamisk aksesskontroll, nemlig sentralisert administrering høyt i objekttreet. ACL datastrukturen i Windows 2000 merker alle ACE er med et flagg som forteller om den er arvet eller ikke. Alle ACE er som er arvet vil ha INHERITED_ACE flagget satt i headeren sin. I Windows 2000 blir ACE er som er lagt til lokalt, plassert før de som er arvet.

Aksesskontroll og sikkerhet i Active Directory Page 16 5 Sikkerhet i Active Directory Gode og konsekvente sikkerhetstjenester er av vesentlig betydning for alle «større» nettverk. Administrering av brukerautentisering og aksesskontroll er ofte en kjedsommelig jobb som sjelden ender opp med et feilfritt resultat. Active Directory sentraliserer administreringen og tvinger frem rollebasert sikkerhet som svarer til organisasjonens daglige drift. For eksempel, støtte for flere autentiseringsprotokoller som Kerberos, X.509 sertifikater, smartkort kombinert med en fleksibel aksesskontrollmodell muliggjør kraftig og konsekvent sikkerhet for interne brukere, hjemmekontorbrukere, og eksterne e handelskunder. Måter Active Directory styrker sikkerheten på: Den forbedrer passordsikkerhet og administrering. Ved å tilby, «single signon», til nettverksressurser med integrerte, meget kraftige, sikkerhetstjenester som er usynlige for sluttbrukeren. Sikrer skrivebords funksjonalitet. Ved å låse skrivebordskonfigurasjoner og forebygge aksess til spesifikke klientmaskinoperasjoner, sånt som software installasjoner og endringer av registeret, basert på rollen til sluttbrukeren. Har innebygd støtte for standard internett sikkerhets protokoller og autentiserings mekanismer som f.eks. Kerberos, PKI (Public Key Infrastructure) og LDAP over SSL (Secure Socket Layer). Kontrollerer sikkerheten nøye. Ved å bruke aksesskontrollrettigheter på katalogobjekter og de individuelle dataelementene de består av. Begrensning av antall nye objekter en bruker kan opprette, reduserer faren for DoS angrep, (Denial of Service), ved overbelastning av lagringsplassen på domenekontrollere.

Aksesskontroll og sikkerhet i Active Directory Page 17 Hvordan Active Directory styrker sikkeheten Figur 5.1 Hvor Active Directory legger inn sikkerhetsmekanismene for å beskytte data og forenkle aksess. Som fig 5.1 viser, fungerer Active Directory som en sikkerhetssentral for styring av brukerautentisering og kontroll av aksess til nettverksressurser. Når en bruker er autentisert og pålogget, er alle ressurser i systemet beskyttet og aksess blir godkjent eller avslått på grunnlag av en autoriserings modell. Dette medfører at organisasjoner ikke trenger å beskytte ressurser på forskjellig måte for de som logger på via intranett og de som logger på ved hjelp av digitale sertifikater for å få tilgang til ressurser via internett. I tillegg støtter Active Directory PKI, og internettprotokoller som LDAP over SSL, for å gi organisasjonen mulighet til å tilby kataloginformasjon utenfor brannmuren til extranet brukere og e handel kunder. På denne måten styrker Active Directory sikkerheten og forenkler anvendelsen av e handel ved at administratoren kan bruke de samme verktøyene og prosessene til å administrere aksesskontroll og brukerrettigheter på tvers av «desktoppbrukere», «dial up brukere» og eksterne kunder.

Aksesskontroll og sikkerhet i Active Directory Page 18 6 Kerberos protokollen På en Windows NT basert maskin som ikke er koblet til et domene brukes NT LANmanager som aksesskontroll for å verifisere brukernavn og passord. I fra Windows 2000 og innførselen av Active Directory har Kerberos overtatt denne funksjonen*. (*Finnes enda noen parallellkjøringer.) Kerberos var en hund med tre hoder fra gresk mytologi, dette er analogt med de tre aktørene i et Kerberossystem. Du har et nøkkeldistribusjonssenter, en bruker og en server. Protokollen brukes når en bruker skal autentisere seg for å få tilgang til en nettverksressurs i f.eks. et Active Directory miljø. Dette gjøres vha. 6 forskjellige steg. (Se også figur 6.1 under) 1. Brukeren kontakter «Key Distribution Center (KDC)» sin autorisasjonsdel (AS) med sitt brukernavn med forespørsel om «Ticket to get ticket (TGT)» 2. AS verifiserer bruker og sender tilbake en TGT som kun kan dekrypteres med brukerens passord 3. Brukeren kontakter KDC sin «Ticket Granting Service (TGS)» med TGT og spør om å få en «service ticket» 4. TGS gir da brukeren en «service ticket» 5. Brukeren tar sin «service ticket» og autentiserer seg mot nettverksressursen 6. Nå kan brukeren og serveren utveksle data KDC 4 1 Auth.Service 2 AS 3 Ticket Granting Service TGS 6 5 Server Figur 6.1. Hvordan få tilgang i et Kerberossystem «Service ticket» har en standard levetid på ca. 10 timer, (noe Microsoft har satt), men tiden kan i løpet av sesjonen økes automatisk uten ny autorisasjonsrunde.

Aksesskontroll og sikkerhet i Active Directory Page 19 7 Konklusjon Vi fant ut at Active Directory benytter seg av aksesskontrollen implementert i Windows 2000, og ikke som et eget system som vi først trodde. Denne er en forbedring av aksesskontrollmekanismene fra NT 4.0. En annen ting vi nå ser er at Active Directory gir økte muligheter for systematisering av objektsikring. En stor fordel med Windows 2000 og Active Directory er at man nå kan kjøre applikasjoner i begrenset modus, noe som bedrer sikkerheten i systemet. Prosjektet har gitt oss en bedre forståelse av hvordan aksesskontrollister fungerer og hvordan sikkerheten er oppbygd i Windowsbaserte systemer. Dessuten har det også gitt oss et grunnlag for faget distribuerte systemer som kommer senere i utdannelsen.

Aksesskontroll og sikkerhet i Active Directory Page 20 8 Kilder Arving av ACE er http://www.informit.com/articles/article.asp?p=130428&redir=1, 2004 Microsoft MSDN how active directory works http://msdn.microsoft.com/library/default.asp?url=/library/enus/ad/ad/controlling_access_to_active_directory_objects.asp, 2004 Microsoft server 2003 Access control overview http://www.microsoft.com/resources/documentation/windowsserv/2003/standard/p roddocs/enus/default.asp?url=/resources/documentation/windowsserv/2003/standard/proddo cs/en us/sag_seconceptsunlocac.asp, 2004 Kerberos http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/securit y/erberos.mspx, 2004 Hvordan fungerer AD, hvordan AD styrker sikkerheten http://www.microsoft.com/windows2000/server/evaluation/features/dirlist.asp, 2004 Aksesskontroll Michael M Swift, m.fl. Improving the granularity of Access Control in Windows NT, 2001

Aksesskontroll og sikkerhet i Active Directory Page 21 9 Ordliste (vedlegg) ACL ACE AD Attributt Container DACL DMZ Domene DoS Egenskap GUID GSSAP Kerberos KDC Klasse LDAP Objekt Objektklasse SACL Skog SSL SSPI TGS TGT Trust Trær VPN Aksesskontrolliste Aksesskontrolloppføring (står i en ACL) Active Directory Se egenskap Et hjelpeobjekt fot å holde struktur på Active Directory. Benyttes for å gruppere ressurser. Kan innholde en annen container og danne en trestruktur. Sammenligning: Mappe: Organiserer filer og andre mapper. Container: Organiserer AD-objekter og andre containere Diskrè aksesskontrolliste Demilitarisert sone (En nøytral sone mellom internett og det interne nettverket.) Navn på en samling av arbeidsstasjoner og tjenermaskiner. Kan kun inneholde W2K arbeidsstasjoner og tjenermaskiner. Denial of Service Brukernavn, etternavn etc. (Delbeskrivelser som forteller noe om objektet) Globally Unique Identifier (128bits nummer generert av OS et eller applikasjonen) Generic Security Services Application Programming Interface Nettverks-autentisereingsprotokoll Key Distribution Center (Brukt i Kerberos) Beskrivelse hva objektet skal inneholde. Når for eksempel en bruker opprettes får den satt av plass til de egenskapene den skal ha. Lightweight Directory Access Protocol (Protokoll brukt for tilgang til katalogtjenere) En bruker, skriver, datamaskin eller en annen ressurs Brukere og grupper er eksempler Systemaksesskontrolliste Vi utvider fra rot, gren og tre til skog. En skog er en samling av to eller flere trær med felles oppsett men med forskjellig innhold. Secure Sockets Layer (protokoll for sending av private dokumenter over internett) Security Support Provider Interface Ticket Granting Service (Brukt i Kerberos) Ticket to Get Ticket (Brukt i Kerberos) Hvilke domener som skal stole på hverandre En samling av objekter med flere containerobjekter. Et objekt som ikke kan inneholde andre objekter kalles bladobjekter. Et tre kan også være et tre av flere domener (domenetre). Virtual Private Network