Active Directory (AD) è stato lo standard de facto per i servizi di autenticazione per domini aziendali sin dalla sua prima apparizione alla fine del 1999 (in Windows Server 2000). Da allora sono stati apportati diversi miglioramenti e aggiornamenti per renderlo il sistema di autenticazione stabile e sicuro attualmente in uso.
Nei primi anni di vita, AD aveva dei difetti piuttosto evidenti. Se si avevano più controller di dominio (DC) nel dominio, sarebbero entrati in conflitto rispetto al DC che poteva apportare modifiche e talvolta le modifiche sarebbero rimaste, mentre in altri casi no. Per migliorare AD e impedire ai DC di entrare continuamente in conflitto, Microsoft implementò la strategia "last writer wins" (in cui prevale la versione dell'ultimo utente che ha apportato l'eventuale modifica), che può essere un espediente positivo o l'ultimo errore che infrange tutte le autorizzazioni.
Scarica l'e-book gratuito Pentesting Active
Directory Environments
Quindi, Microsoft effettuò una svolta radicale ad Albuquerque introducendo un "unico modello master" per AD. Un DC che poteva apportare modifiche al dominio, mentre il resto evadeva semplicemente le richieste di autenticazione. Tuttavia, quando l'attività dell'unico controller di dominio master si interrompe, non è possibile apportare modifiche al dominio finché non viene eseguito il backup.
Per risolvere questo problema fondamentale, Microsoft suddivise le responsabilità di un DC in più ruoli. Gli amministratori distribuiscono questi ruoli su diversi controller di dominio, quindi se uno di essi dovesse sparire, sarà un altro controller a occuparsi dei ruoli mancanti. Ciò significa che i servizi di dominio dispongono di clustering intelligente con ridondanza e resilienza integrate.
Microsoft chiama questo paradigma Flexible Single Master Operation (FSMO).
Ruoli FSMO: che cosa sono?
Microsoft suddivise le responsabilità di un DC in 5 ruoli distinti che insieme realizzano un sistema AD completo.
I 5 ruoli FSMO sono:
- Master schema: uno per foresta
- Master per la denominazione dei domini: uno per foresta
- Master ID relativo (RID): uno per dominio
- Emulatore del controller di dominio primario (PDC): uno per dominio
- Master infrastrutture: uno per dominio
Ruoli FSMO: che cosa fanno?
Master schema: il ruolo Master schema gestisce la copia in lettura e scrittura dello schema Active Directory. Lo schema AD definisce tutti gli attributi, ad esempio ID dipendente, numero di telefono, indirizzo e-mail e nome di accesso, che è possibile applicare a un oggetto nel database AD.
Master per la denominazione dei domini: il Master per la denominazione dei domini assicura che non si crei un secondo dominio nella stessa foresta con lo stesso nome di un altro. È il master dei tuoi nomi di dominio. La creazione di nuovi domini non accade spesso, quindi tra tutti i ruoli, è più probabile che questo risieda nello stesso controller di dominio con un altro ruolo.
Master RID: il master ID relativo assegna blocchi di identificatori di sicurezza (SID) a diversi controller di dominio che possono utilizzare per gli oggetti appena creati. Ogni oggetto in AD è caratterizzato da un SID le cui ultime cifre sono la parte relativa. Per impedire a più oggetti di avere lo stesso SID, il Master RID concede a ogni DC il privilegio di assegnare determinati SID.
Emulatore PDC: il DC con il ruolo di emulatore del controller di dominio primario è il controller di dominio autorevole nel dominio. L'emulatore PDC risponde alle richieste di autenticazione, modifica le password e gestisce gli oggetti Criteri di gruppo. Inoltre, l'emulatore PDC dice a tutti gli altri che ore sono. È bello essere il PDC.
Master dell'infrastruttura: il ruolo di Master dell'infrastruttura traduce identificatori univoci a livello globale (GUID), SID e nomi distinti (DN) tra i domini. Se la tua foresta dispone di diversi domini, il Master delle infrastrutture rappresenta il pesce di babele (ossia una sorta di traduttore universale) che vive tra di loro. Se il Master delle infrastrutture non fa il suo lavoro correttamente, vedrai i SID al posto dei nomi risolti negli elenchi di controllo accessi (ACL).
FSMO ti dà la certezza che il tuo dominio sarà in grado di svolgere la funzione principale di autenticazione di utenti e autorizzazioni senza interruzioni (con avvertenze standard, come la rete che rimane attiva).
È importante monitorare l'AD per prevenire attacchi di tipo brute force o tentativi di elevazione dei privilegi, due vettori di attacco comuni per il furto di dati. Vuoi vedere come funziona? Te lo spieghiamo noi. Richiedi una demo per scoprire in che modo Varonis protegge AD dalle minacce interne ed esterne.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
