Что в филиале мне твоём? Бешков Андрей Microsoft RUS abeshkov@microsoft.com Cтанкевич Александр Stanky@stanky.ru.

Февраль 13, 2021

Главная
Разное
Что в филиале мне твоём? Бешков Андрей Microsoft RUS abeshkov@microsoft.com Cтанкевич Александр Stanky@stanky.ru.

Содержание

2. Что в филиале мне твоём? Бешков Андрей Microsoft RUS abeshkov@microsoft.com Cтанкевич Александр Stanky@stanky.ru
3. Дилема филиалов Головной офис
4. Дилема филиалов Головной офис
5. Это ваш филиал?
6. Это ваш филиал?
7. Это ваш филиал?
8. Это ваш филиал? * Дверь закрывающая доступ в помещение не установлена
9. Это ваш филиал?
10. Тогда мы идём к вам ☺ ...
11. Демонстрация «Взлом» контроллера домена
12. Контроллеру домена необходимо обеспечить... ФИЗИЧЕСКУЮ БЕЗОПАСНОСТЬ!
13. Read-Only Domain Controller
14. RODC против злоумышленника Давайте украдём RODC. По умолчанию, я не храню пароли, а так же специфичные
15. RODC против злоумышленника
16. Тогда перехватим учётные данные доменного администратора. С разделённым администрированием, им не нужно заходить на меня. Добавим
17. Windows 2003 DC Windows 2008 DCs Windows 2008 RODC Windows 2008 RODC Windows 2008 RODC Windows
18. Ррррррр! ☺ Злоумышленник RODC RODC против злоумышленника
19. Безопасные филиалы Головной офис DC
20. Варианты применения RODC Пароли не хранятся (по умолчанию) За: Наиболее безопасно Против: Никто не сможет работать,
21. Демонстрация Установка и настройка RODC
22. Шифрование Физическая безопасность по-прежнему на низком уровне Кража учётных данных сотрудников филиала также не исключена На
23. Виртуализация В целях... сокращения количества серверов изоляции задач получения большей управляемости сокращения затрат (особенно в условиях
24. Что это?
25. Ключ шифрования в памяти! Оригинальный ключ: Дамп памяти:
26. Что делать? Обследовать филиальную инфраструктуру Определить филиалы для внедрения RODC Внедрить BitLocker Использовать виртуализацию и ServerCore?
27. Вопросы?
28. Заполните анкету: http://platforma2009.ru/Eval.aspx Терминалы - холлы конференции и интернет-кафе на 1 этаже Чтобы участвовать в розыгрыше
30. Скачать презентацию

Слайд 2

Что в филиале мне твоём?
Бешков Андрей
Microsoft RUS
abeshkov@microsoft.com
Cтанкевич Александр
Stanky@stanky.ru

Что в филиале мне твоём? Бешков Андрей Microsoft RUS abeshkov@microsoft.com Cтанкевич Александр Stanky@stanky.ru

Слайд 3

Дилема филиалов
Головной офис

Дилема филиалов Головной офис

Слайд 4

Дилема филиалов
Головной офис

Дилема филиалов Головной офис

Слайд 5

Это ваш филиал?

Это ваш филиал?

Слайд 6

Это ваш филиал?

Это ваш филиал?

Слайд 7

Это ваш филиал?

Это ваш филиал?

Слайд 8

Это ваш филиал?
* Дверь закрывающая доступ в помещение не установлена

Это ваш филиал? * Дверь закрывающая доступ в помещение не установлена

Слайд 9

Это ваш филиал?

Это ваш филиал?

Слайд 10

Тогда мы идём к вам ☺ ...

Тогда мы идём к вам ☺ ...

Слайд 11

Демонстрация
«Взлом»
контроллера домена

Демонстрация «Взлом» контроллера домена

Слайд 12

Контроллеру домена необходимо обеспечить...
ФИЗИЧЕСКУЮ БЕЗОПАСНОСТЬ!

Контроллеру домена необходимо обеспечить... ФИЗИЧЕСКУЮ БЕЗОПАСНОСТЬ!

Слайд 13

Read-Only Domain Controller

Read-Only Domain Controller

Слайд 14

RODC против злоумышленника
Давайте украдём RODC.
По умолчанию, я не храню пароли, а так

RODC против злоумышленника Давайте украдём RODC. По умолчанию, я не храню пароли,

же специфичные атрибуты.

Злоумышленник

RODC

Слайд 15

RODC против злоумышленника

RODC против злоумышленника

Слайд 16

Тогда перехватим учётные данные доменного администратора.
С разделённым администрированием, им не нужно заходить

Тогда перехватим учётные данные доменного администратора. С разделённым администрированием, им не нужно

на меня.

Добавим данные на RODC и используем его учётную запись.

Моя база только для чтения, а другие контроллеры не реплицируют данные с меня.

Злоумышленник

RODC

RODC против злоумышленника

Слайд 17

Windows 2003 DC
Windows 2008 DCs
Windows 2008 RODC
Windows 2008 RODC
Windows 2008 RODC
Windows 2008 RODC
RODC против злоумышленника

Windows 2003 DC Windows 2008 DCs Windows 2008 RODC Windows 2008 RODC

Слайд 18

Ррррррр!
☺
Злоумышленник
RODC
RODC против злоумышленника

Ррррррр! ☺ Злоумышленник RODC RODC против злоумышленника

Слайд 19

Безопасные филиалы
Головной офис
DC

Безопасные филиалы Головной офис DC

Слайд 20

Варианты применения RODC
Пароли не хранятся (по умолчанию)
За: Наиболее безопасно
Против: Никто не сможет

Варианты применения RODC Пароли не хранятся (по умолчанию) За: Наиболее безопасно Против:

работать, если WAN неисправен
Некоторые пароли хранятся
За: Хороший баланс между безопасностью и непрерывной работой филиала
Против: Необходимо управлять хранением паролей
Большинство паролей хранится
За: Простое управление паролями
Против: Малый выигрыш в безопасности, по сравнению с полноценным контроллером

Слайд 21

Демонстрация
Установка и настройка RODC

Демонстрация Установка и настройка RODC

Слайд 22

Шифрование
Физическая безопасность по-прежнему на низком уровне
Кража учётных данных сотрудников филиала также не

Шифрование Физическая безопасность по-прежнему на низком уровне Кража учётных данных сотрудников филиала

исключена
На сервере, кроме Active Directory, хранятся и другие данные (возможно конфиденциальные)
Было бы неплохо всё зашифровать!

Слайд 23

Виртуализация
В целях...
сокращения количества серверов
изоляции задач
получения большей управляемости
сокращения затрат (особенно в условиях кризиса)

Виртуализация В целях... сокращения количества серверов изоляции задач получения большей управляемости сокращения

Слайд 24

Что это?

Что это?

Слайд 25

Ключ шифрования в памяти!
Оригинальный ключ:
Дамп памяти:

Ключ шифрования в памяти! Оригинальный ключ: Дамп памяти:

Слайд 26

Что делать?
Обследовать филиальную инфраструктуру
Определить филиалы для внедрения RODC
Внедрить BitLocker
Использовать виртуализацию и ServerCore?

Что делать? Обследовать филиальную инфраструктуру Определить филиалы для внедрения RODC Внедрить BitLocker Использовать виртуализацию и ServerCore?

Слайд 27

Вопросы?

Вопросы?

Слайд 28

Заполните анкету: http://platforma2009.ru/Eval.aspx Терминалы - холлы конференции и интернет-кафе на 1 этаже
Чтобы

Заполните анкету: http://platforma2009.ru/Eval.aspx Терминалы - холлы конференции и интернет-кафе на 1 этаже

участвовать в розыгрыше призов
Результаты – на сайте конференции и в голосовых объявлениях после розыгрышей в 14:30, 16:00, 17:30 и 19:00

Не забывайте заполнять анкеты по докладам Ваше мнение очень важно!

Подробная информация по заполнению анкет – на сайте конференции