Successfully reported this slideshow.
Your SlideShare is downloading. ×

Secure your AD: E05

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Secure your AD: E03
Secure your AD: E03
Loading in …3
×

Check these out next

1 of 11 Ad
Advertisement

More Related Content

Similar to Secure your AD: E05 (17)

Advertisement

Secure your AD: E05

  1. 1. Zabezpiecz swoje AD – Epizod 5 Protected Users / Authentication Policy
  2. 2. On premise: • AD (łącznie z powiązanymi serwisami), • Security (Tiering, ESAE, PAW, Auth Policy etc.), • Powershell Cloud: o Azure (AzureAD, CAF, Migracje, IaaS) o Security o EMS Kontakat: • https://www.linkedin.com/in/przybylskirobert/ • https://www.azureblog.pl/ • https://github.com/przybylskirobert Robert Przybylski Team Leader Senior Infrastructure Consultant Trochę o mnie:
  3. 3. Agenda Cyklu Styczeń 2020 - Microsoft SCT i ACLight Luty 2020 - LAPS oraz Break Glass Account Kwiecień 2020 - Tiering Maj 2020 - PAW Czerwiec 2020 - Protected Users, Authentication Policies Wakacje 
  4. 4. Czy wiesz co to jest grupa Protected Users?
  5. 5. Protected Users • Od 2012R2 / 8.1 • “Grupa wbudowana” w domenę • Zabezpieczenia grupy: • Blokuje “Cached credentials” • TGT jest uzyskiwany podczas logowania • TGT do max 4 h • Blokuje logowanie przy użyciu NTLM • Wyłączenie DES / RC4 dla kluczy Kerberos • I wiele innych… https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
  6. 6. Czy wiesz co to jest Authentication Policy?
  7. 7. Authentication Policy - wymagania azureblog.pl Domain Controllers Kerberos client support for claims KDC client support for claims Wymaga specjalnych GPO dla: • Domeny (root level) • Kontrolerów domeny (OU Domain Controllers) https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
  8. 8. Authentication Policy – co to jest? azureblog.pl Kerberos client support for claims Domain Controllers KDC client support for claims Tier1Servers Tier 1 PAW Maintenancer SRV01 TGT – minutes Tier 1 PAW Maintenancer W10 SRV01 Zbiór zasad mówiących o tym: • Kto jest uwzględniony (konto/konta) • Gdzie może się dostać (serwer/serwery) • Czas ważności TGT Posiada 2 tryby pracy: • Audit • Enforce Dotyczy także: • Kont serwisowych • Obiektów komputerów https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
  9. 9. Authentication Policy – gdzie to znaleźć?? https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
  10. 10. Authentication Policy w działaniu https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
  11. 11. Demo

Editor's Notes

  • Mroczne widmo

×