O blog da segurança de dentro para fora Blog   /  

Cinco funções FSMO no Active Directory

Cinco funções FSMO no Active Directory

Conteúdos

    O Active Directory (AD) é o padrão para serviços de autenticação de domínio corporativo desde seu nascimento, no final de 1999 (no Windows Server 2000). Desde então, vários aprimoramentos e atualizações foram feitos para torna-lo o sistema de autenticação estável e seguro que conhecemos hoje.

    Em sua infância, o AD tinha algumas falhas gritantes. Se você tivesse vários controladores de domínio (DC) em seu domínio, eles disputariam sobre qual DC faria as alterações, causando erros. Para acabar com o problema, a Microsoft implementou o “último escritor ganha”, e isso se mostrou tanto como algo bom como ruim, afinal, se houver erro, pode quebrar todas as permissões.

    Em seguida, a Microsoft implementou um Modelo de Domínio Único para o AD. Um DC que poderia fazer alterações no domínio, enquanto o restante simplesmente atendia a solicitações de autenticação. No entanto, quando o DC mestre único é desativado, nenhuma alteração pode ser feita no domínio até que ele seja ativado novamente.

    Para resolver mais essa falha, a Microsoft separou as responsabilidades de um controlador de domínios em várias funções. Os administradores distribuem essas funções entre vários DCs e, caso um deles esteja desativado, outro pode assumir a tarefa.

    A Microsoft chama esse paradigma de Flexible Single Master Operation (FSMO).

    Quais são os papéis do FSMO?

    A empresa dividiu as responsabilidades de um DC em cinco funções separadas que, quando unidas, formam um sistema AD completo.

    As cinco funções do FSMO são:

    Mestre de esquema – um por floresta
    A função é gerenciar a cópia de leitura-gravação do seu esquema do Active Directory. O esquema do AD define todos os atributos – como o ID do funcionário, número de telefone, endereço de e-mail e nome de logon – que podem ser aplicados a um objeto no banco de dados do AD.

    Domain Naming Master – um por floresta
    Garante que não seja criado um segundo domínio na mesma floresta, com o mesmo nome de outro já criado. É o mestre dos seus nomes de domínio. Como a criação de novos domínios não é feito com frequência, é provável que esse domínio resida no mesmo controlador de domínio com outro papel.

    Mestre de ID Relativo – um por domínio
    Atribui blocos de identificadores de segurança (SID) a diferentes DCs que podem ser usados em objetos recém-criados. Cada objeto no AD tem um SID, e os últimos dígitos do SID são a parte relativa. Para impedir que vários objetos tenham o mesmo SID, o Mestre de ID Relativo concede a cada DC o privilégio de atribuir determinados SIDs.

    Emulador de controlador de domínio primário (PDC) – um por domínio
    É o DC autoritário no domínio. O emulador de PDC responde a solicitações de autenticação, altera senhas e gerencia objetos de diretiva de grupo. É o emulador de PDC que diz a todos que horas são.

    Mestre de infraestrutura – um por domínio
    Tem a função de traduzir globalmente os identificadores exclusivos (GUID), SIDs e nomes distintos (DN) entre domínios. Se houver vários domínios na floresta, o mestre de infraestrutura é o tradutor que vive entre eles. Se o mestre de infraestrutura não realizar seu trabalho corretamente, você encontrará SIDs no lugar de nomes resolvidos em suas listas de controle de acesso (ACL)

    O FSM dá a certeza de que seu domínio será capaz de desempenhar sua função principal de autenticar usuários e permissões sem interrupção (com advertências padrão, como a rede ficando ativa).

    É importante monitorar o AD para evitar ataques de força bruta ou tentativas de alterações de privilégios – dois vetores comuns de ataque para roubo de dados.

    Quer ver como fazer isso? Nós podemos te mostrar. Solicite uma demonstração para saber como a Varonis protege o AD contra ameaças internas e externas.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Twitter, Reddit, or Facebook.

    We're Varonis.

    We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

    We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

    How it works