Skip to content

Материалы встречи 21 декабря

15.01.2017

Видеозаписи заключительной встречи 2016 года, которая состоялась 21 декабря, опубликованы на YouTube. Кроме того, по приведенным ниже ссылкам можно загрузить презентации докладов.

Защита привилегированных учетных записей в Windows Server 2016
Спикер: Олег Ржевский, MVP — Windows and Devices for IT

itproug_161221_1

Смотреть: YouTube
Презентация: OneDrive

После моего выступления слово взял Иван Будылин и еще раз напомнил, что технические средства защиты привилегированных учетных записей должны находиться в неразрывной связи с организационными мероприятиями. С этой целью Иван порекомендовал ознакомиться со статьей

https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/securing-privileged-access

и ссылками в ней, в которой описана «дорожная карта» из административных и технических мер. Следует отметить, что внедрение одних только административных правил и норм, которым неукоснительно будут следовать в условиях организации, позволит повысить безопасность привилегированных учетных записей, тогда как технические средства Windows Server 2016 и PowerShell версии 5 обеспечат дальнейшую защиту.

Также в мой доклад не вошел (и благодарю Кирилла Николаева, обратившего на это внимание) рассказ о новой функциональности Privileged access management feature, доступной в Windows Server 2016, благодаря которой появился альтернативный способ задания временного членства в административных группах. Подробнее об этой возможности можно посмотреть, например, здесь:

http://support.risualblogs.com/blog/2016/03/10/grant-temporary-membership-to-ad-groups-in-windows-server-2016/

Централизованное управление паролями локальных учётных записей в доменной среде
Спикер: Кирилл Николаев, MCSE, MCITP

itproug_161221_2

Смотреть: YouTube
Презентация: OneDrive

Помимо материалов, публикую ответ на вопрос, который был задан Кириллу после доклада и который важен для понимания безопасности функционирования LAPS.

Q: Передаётся ли пароль открытым текстом по сети в момент его обновления или считывания утилитой?
A: Нет, LDAP-соединение в таких случаях защищается при помощи SASL. Однако же, если при установке соединения в собственных средствах/скриптах вы явно укажете LDAP_OPT_ENCRYPT = 0 или будете использовать ldap_simple_bind без TLS/SSL, тогда всё будет передаваться открытым текстом.

 

Реклама
Добавить комментарий

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: