Share via


Windows Server "Longhorn"- Controladores de Domínio Read-Only

O Active Directory (AD) é normalmente o coração de uma rede Windows. No AD estão armazenadas todas as contas de usuário, senhas e políticas de grupo utilizadas pelos servidores e estações, e a segurança de todos estes sistemas dependem fundamentalmente da segurança do AD. Se Active Directory for eventualmente comprometido em um ataque então todos os sistemas que fazem parte da floresta em princípio também estarão comprometidos.

O Active Directory é operado e armazenado em sistemas chamados de Controladores de Domínio, ou DCs. O AD funciona como uma base de dados que é replicada entre os diversos Controladores de Domínio de forma multimaster , onde qualquer alteração em um servidor é transmitida para todos os demais. Mas ao mesmo tempo em que este modelo de replicação torna o Active Directory muito mais confiável, ele faz com que o risco de segurança seja maior - basta apenas um Controlador de Domínio ser comprometido para todos os demais (e toda a rede) também ser.

Isto em algumas situações torna a segurança do Active Directory um desafio. Uma delas são ambientes de Internet ou Extranet, que normalmente estão mais expostos a ataques remotos. Para mitigar este risco a Microsoft recomenda a instalação de uma floresta separada nestes ambientes, com uma relação de confiança com o AD interno que impeça que este seja afetado caso o AD externo seja comprometido.

Outra situação mais grave são empresas que possuem Controladores de Domínio em filiais/agências, para permitir que os sistemas continuem funcionando em caso de queda no link de rede. Nesta arquitetura a filial/agência passa a ter um servidor cujo comprometimento afetaria toda a organização, e que portanto precisa ter forte proteção física e lógica. Mas como garantir segurança física em um escritório remoto? Como mitigar o risco do servidor ser comprometido ou mesmo roubado? Como delegar tarefas como configuração de rede e aplicação de patches para uma equipe local sem afetar a segurança de toda a empresa? Nos meus projetos de Active Directory de longe a decisão mais difícil a ser tomada era a de colocar ou não Controladores de Domínio nas filiais da organização.

No Windows Server "Longhorn" passa a existir a figura do Controlador de Domínio Read-Only (RODC). O RODC funciona como uma réplica somente para a leitura dos objetos do Active Directory, parecido com os antigos BDCs da época do Windows NT 4.0. Os objetos e atributos do Active Directory (menos as senhas) são somente replicados no sentido DC -> RODC, e ficam disponíveis somente para leitura. Caso alguma aplicação queira fazer alguma operação de escrita em um RODC, ela é redirecionada para um Controlador de Domínio "regular" onde a operação poderá ser feita.

O comportamente é diferente para as senhas dos usuários, que não são replicadas. O RODC funciona como um proxy, recebendo as requisições de autenticação e encaminhando para serem atendidas por um Controlador de Domínio regular. Ao receber a resposta o RODC faz um cache local das credenciais, de forma que um próximo pedido de autenticação para o mesmo usuário é atendido localmente, sem precisar contactar novamente um Controlador de Domínio. Isto resolve o problema das agências/filiais manterem a autenticação funcionando mesmo em caso de queda de link, e também mitiga o problema de um RODC ser roubado restringindo o número de senhas que potencialmente seriam comprometidas. É possível também restringir quais credencias são colocadas em cache, impedindo por exemplo que membros do grupo de Administradores tenham suas senhas replicadas.

O RODC permite também que permissões de administração do servidor sejam atribuídas a administradores locais sem que todo o Active Directory sejam comprometidos. O serviço do AD no RODC roda ele mesmo com privilégios baixos, e o sistema foi arquitetado de forma que mesmo um RODC mal-intencionado ou comprometido não conseguiria danificar ou extrair informação sensível do Active Directory. Com isso um RODC pode ser colocado em uma DMZ ou mesmo diretamente na Internet, sem que um eventual comprometimento afete o resto da rede corporativa.

Promoção de um RODC

O RODC funciona perfeitamente em ambientes mistos, com o Active Directory funcionando ainda em modo Windows 2003 ou mesmo Windows 2000. Mais informações sobre o Windows Server "Longhorn" estão disponíveis no nosso site, e uma nova versão pública de testes deverá estar disponível muito em breve.

Comments

  • Anonymous
    January 01, 2003
    O guru Marcus Ranum começou a fazer os seus próprios podcasts , e no primeiro ( slides , transcrição

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    "O perímetro de rede não funciona mais como modelo de segurança". "O firewall está morto". Você provavelmente

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    "O perímetro de rede não funciona mais como modelo de segurança". "O firewall está morto". Você provavelmente

  • Anonymous
    April 05, 2007
    Cima, certamente o Longhorn vai adotar algum protocolo de criptografia para realizar a comunicação entre um AD Read Only e um normal, já que ele vai servir de proxy de senhas. Consegue esclarecer mais isso? Mesmo só os hashs das senhas enviados e provavelmente o longhorn já irá adotar salt na geração desses hashs, não pode ser um risco? Abs.

  • Anonymous
    April 09, 2007
    Cima, Como ficará a recomendação de ter pelo menos um Global Catalog por site, em topologias distribuídas como Hub & Spoke, sendo que as funções de Read-Only e GC não são compatíveis? A ideía é ter maior controle na segurança de uma filial sem os níveis de controle normalmente exigidos (CPD, rack, pessoal qualificado, etc...)