Las siguientes nuevas características de Servicios de dominio de Active Directory (AD DS) mejoran la capacidad de las organizaciones para proteger entornos de Active Directory y ayudarles a migrar a despliegues e implementaciones híbridas en nube únicamente, donde algunas aplicaciones y servicios están alojados en la nube y otros están alojados En las instalaciones. Las mejoras incluyen:
La gestión de acceso privilegiado (PAM) ayuda a mitigar los problemas de seguridad de los entornos de Active Directory causados por técnicas de robo de credenciales, tales como el paso del hash, el phishing de lanza y otros tipos de ataques similares. Proporciona una nueva solución de acceso administrativo que se configura mediante Microsoft Identity Manager (MIM). PAM presenta:
-
Un nuevo Bosque Active Directory bastion, que es provisto por MIM. El bosque del bastión tiene una confianza especial de PAM con un bosque existente. Proporciona un nuevo entorno de Active Directory que se sabe que está libre de cualquier actividad maliciosa y aislamiento de un bosque existente para el uso de cuentas privilegiadas.
-
Nuevos procesos en MIM para solicitar privilegios administrativos, junto con nuevos flujos de trabajo basados en la aprobación de solicitudes.
-
Nuevos principios de seguridad de sombra (grupos) que se proveen en el bosque de bastidores por parte de MIM en respuesta a solicitudes de privilegios administrativos. Los elementos de seguridad de sombra tienen un atributo que hace referencia al SID de un grupo administrativo en un bosque existente. Esto permite que el grupo de sombra tenga acceso a recursos en un bosque existente sin cambiar ninguna lista de control de acceso (ACL).
-
Una función de vínculos que expira, que permite la pertenencia temporizada en un grupo de sombras. Se puede agregar un usuario al grupo por el tiempo suficiente necesario para realizar una tarea administrativa. La pertenencia temporizada se expresa mediante un valor de tiempo de vida (TTL) que se propaga a una vida de boleto Kerberos.
-
Las mejoras de KDC se incorporan en los controladores de dominio de Active Directory para restringir la duración de la entrada de Kerberos al valor de TTL (time-to-live) más bajo posible en los casos en que un usuario tenga varias asociaciones temporales en grupos administrativos. Por ejemplo, si se agrega a un grupo vinculado a un tiempo A, entonces al iniciar sesión, la duración del ticket de concesión de tickets (TGT) de Kerberos es igual al tiempo que queda en el grupo A. Si también es miembro de Otro grupo enlazado al tiempo B, que tiene un TTL inferior al grupo A, entonces el tiempo de vida del TGT es igual al tiempo que queda en el grupo B.
-
Nuevas capacidades de monitoreo para ayudarle a identificar fácilmente quién solicitó el acceso, qué acceso se concedió y qué actividades se realizaron.
Los requisitos son:
-
Microsoft Identity Manager
-
Nivel funcional del bosque de Active Directory de Windows Server 2012 R2 o superior.
Espero les sea de interes. Saludos. Roberto Di Lello