More Related Content
Similar to Secure your AD: E05
Similar to Secure your AD: E05 (18)
Secure your AD: E05
- 1. Zabezpiecz swoje AD – Epizod 5 Protected Users / Authentication Policy
- 2. On premise: • AD (łącznie z powiązanymi serwisami), • Security (Tiering, ESAE, PAW, Auth Policy etc.), • Powershell Cloud: o Azure (AzureAD, CAF, Migracje, IaaS) o Security o EMS Kontakat: • https://www.linkedin.com/in/przybylskirobert/ • https://www.azureblog.pl/ • https://github.com/przybylskirobert Robert Przybylski Team Leader Senior Infrastructure Consultant Trochę o mnie:
- 3. Agenda Cyklu Styczeń 2020 - Microsoft SCT i ACLight Luty 2020 - LAPS oraz Break Glass Account Kwiecień 2020 - Tiering Maj 2020 - PAW Czerwiec 2020 - Protected Users, Authentication Policies Wakacje
- 4. Czy wiesz co to jest grupa Protected Users?
- 5. Protected Users • Od 2012R2 / 8.1 • “Grupa wbudowana” w domenę • Zabezpieczenia grupy: • Blokuje “Cached credentials” • TGT jest uzyskiwany podczas logowania • TGT do max 4 h • Blokuje logowanie przy użyciu NTLM • Wyłączenie DES / RC4 dla kluczy Kerberos • I wiele innych… https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group
- 6. Czy wiesz co to jest Authentication Policy?
- 7. Authentication Policy - wymagania azureblog.pl Domain Controllers Kerberos client support for claims KDC client support for claims Wymaga specjalnych GPO dla: • Domeny (root level) • Kontrolerów domeny (OU Domain Controllers) https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
- 8. Authentication Policy – co to jest? azureblog.pl Kerberos client support for claims Domain Controllers KDC client support for claims Tier1Servers Tier 1 PAW Maintenancer SRV01 TGT – minutes Tier 1 PAW Maintenancer W10 SRV01 Zbiór zasad mówiących o tym: • Kto jest uwzględniony (konto/konta) • Gdzie może się dostać (serwer/serwery) • Czas ważności TGT Posiada 2 tryby pracy: • Audit • Enforce Dotyczy także: • Kont serwisowych • Obiektów komputerów https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
- 9. Authentication Policy – gdzie to znaleźć?? https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
- 10. Authentication Policy w działaniu https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/authentication-policies-and-authentication-policy-silos
- 11. Demo
Editor's Notes
- Mroczne widmo