Що нового в Active Directory в Windows Server 2016

Останнім часом дуже багато говориться про нововведення Windows Server 2016 пов'язаних з віртуалізацією, сховищами даних і служб віддаленого робочого столу. Проте це не єдині компоненти серверної ОС Microsoft, отримали масштабні оновлення. Найбільш незаслужено, на мій погляд, обійдена увагою служба Active Directory. Тому нижче вашій увазі буде представлений переклад статті Джозефа Муді (Joseph Moody) присвячена саме цій службі.

З виходом Windows Server 2016, служба Active Directory отримала три нових важливих функції. У цій статті ми обговоримо Access Management, Azure AD Join і Microsoft Passport.

Лейтмотив більшої частини нововведень в Windows Server 2016 — безпека. Ви можете побачити це у всіх ролях і службах. Shielded VM в Hyper-V, integrity code в сервері додатків і Privileged Access Management в Active Directory Domain Services.

Однак, не все нове в Active Directory пов'язано з безпекою. Особливо виділяються дві нові функції. Ви ще почуєте багато про першу з них — Microsoft Active Directory Join в найближчі місяці (особливо якщо ви підтримуєте невеликі/середні організації). Друга важлива функція, яку ми згадаємо — Microsoft Passport. Хоча ще рано стверджувати це, Microsoft Passport, потенційно, може позбавити користувачів від їх головного болю (і IT фахівців від їх проблем) пов'язаної з паролями. Досить введень. Перейдемо до справи!

Privileged Access Management
Privileged Access Management (PAM) — це Active Directory еквівалент для Privileged Access Workstation (PAW). У той час як PAW використовується для робочих станцій і серверів, PAM призначений для управління лісом, групами безпеки і членством в групах.

В якості ядра, PAM використовує Microsoft Identity Manager (MIM) і вимагає, щоб функціональний рівень вашого лісу був не нижче Windows Server 2012 R2. Microsoft вважає, що якщо організації знадобився PAM, то її Active Directory ліс вже скомпрометований. Тому при налаштування PAM створюється новий AD ліс. Він ізольований для роботи з привілейованими обліковими записами і, так як MIM його тільки що створив, чиста від будь-яких сторонніх дій.


Налаштування AD DS з нотатками про Microsoft Active Directory

За допомогою цього захищеного лісу, MIM може керувати запитами на права доступу. Подібно до інших програм для керування дозволами, таким як, наприклад, AGPM, MIM реалізує процес управління адміністративними правами доступу на основі схвалення запитів. Коли користувач отримує додаткові адміністративні права, він або вона стає членом тіньових груп безпеки в новому довіреному лісі.

З допомогою використання посилань з терміном дії, членство в значущих групах обмежується у часі. Якщо користувачеві надається запит на отримання додаткових прав доступу на одну годину, годину тому ці права автоматично в нього знімаються.

Все це відбувається абсолютно непомітно для користувача. За рахунок використання довірчих відносин між лісами і додаткових безпечних облікових записів в новому лісі, користувачі можуть отримувати підвищені права доступу без необхідності перелогиниваться. Key Distribution Center (KDC) враховує ці множинні тимчасові групи і користувач входить в кілька тіньових груп, отримує Kerberos ticket на термін, відповідний мінімального обмеження по часу.

Що таке Microsoft Active Directory Join?
Azure AD Join виконує ОГОЛОШЕННЯ Domain Services ту ж роль, що і Intune для SCCM — Azure AD Join, в основному, призначений для невеликих організацій, у яких ще немає інфраструктури Active Directory. Microsoft називає ці організації cloud-first/cloud-only.

Основна мета Azure AD Join — надати переваги локальної служби Active Directory середовища без супутньої складності володіння і управління. Пристрої поставляються з Windows 10 можуть бути включені в Microsoft AD і це дозволяє компаніям без повноцінного IT відділу управляти своїми корпоративними ресурсами.


Портал адміністрування Microsoft Azure

Найбільшу вигоду від Microsoft AD Join зможуть отримати компанії, які вже використовують Office 365. Зі свого пристрою, з встановленою Windows 10, користувач може логинится, перевіряти пошту, синхронізувати налаштування Windows і т. д. з однієї і тієї ж облікової записом. При необхідності, персонал IT підтримки може налаштовувати MDM політики і Windows Store для своєї компанії. І все це без локально розгорнутого AD домену.

Одним з важливих потенційних ринків для Microsoft AD Join є сфера освіти. Сьогодні домінуючим продуктом на цьому ринку є google's Chromebook. Незважаючи на те, що мобільний пристрій включене в AD домен надає більше можливостей для кастомізації ніж Chromebook, ціна і продуктивність Windows пристроїв грали проти них. Тепер же дуже дешевий пристрій, включене в Azure AD c доступом до власного магазину додатків Office 365 може істотно посилити позиції Microsoft і дозволити їй наздогнати конкурентів.

Microsoft Passport може допомогти вирішити проблеми з паролями
Оновлення паролів одна з основних проблем безпеки, яка виникає при роботі з користувачами. Я думаю, що кожен адміністратор знає тих, хто використовують один і той же пароль для безлічі сервісів. Коли вони використовують ще і одне і тим же ім'я користувача, наприклад свою email адресу, експлуатування цієї проблеми стає зовсім простим. Як тільки зловмисник отримав дані одного облікового запису, він отримав їх все.

Microsoft Passport має усе змінити. З допомогою двофакторної аутентифікації, Passport може запропонувати підвищену безпеку, порівняно зі звичайними паролями, без складнощів таких традиційних рішень, як смарт карти. Він спроектований для використання спільно з Windows Hello (вбудована біометрична система авторизації в Windows 10 Pro/Enterprise).


Налаштування авторизації

Двофакторна аутентифікація Microsoft Passport складається з облікового запису користувача і спеціальних облікових даних використовуваного пристрою (яке асоційоване з користувачем). Кожен користувач пристрою має спеціальний аутентификатор (званий hello) або PIN. Це дозволяє упевнитися, що людина, що вводить облікові дані, це і є їх власник.

Ця технологія може працювати як в традиційній локальної служби Active Directory середовищі, так і в Azure AD. В деяких варіантах установки, вам потрібно домен контролер з встановленим Windows Server 2016. При використанні Microsoft Passport, IT адміністратор може більше не турбуватися про зміну паролів користувачів, так як все одно потрібен другий метод аутентифікації. Можна буде пом'якшити жорсткі політики паролів (вимагають довгих паролів або встановлюють короткий строк дії), так як Microsoft Passport тепер забезпечить додатковий захист. Більш простий процес аутентифікації може значно підвищити задоволеність користувачів корпоративних IT.

Кожне з цих нововведень Active Directory орієнтоване на постійно зростаючу аудиторію Windows Server. PAM дозволяє захистити облікові записи користувачів. Azure AD Join дає можливість скористатися перевагами AD невеликим компаніям, у яких немає грошей або інфраструктури для повноцінного локального рішення. Нарешті, Microsoft Passport повинен змінити те, як відбувається аутентифікація. За рахунок роботи з альянсом FIDO, Microsoft Passport може бути використаний на безлічі різних пристроїв і платформ (і, можливо, отримає більш широке поширення).
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.