Dovreste aggiornare la vostra foresta AD esistente a Windows Server 2016 Active Directory (aka AD 2016), o lasciarla dov'è? Nonostante l'attenzione e l'attività di oggi sull'adozione dei servizi cloud, rimane il fatto che Active Directory continua a essere alla base di tutto. Oltre a dominare da tempo come fonte di identità on-premises, la stragrande maggioranza delle organizzazioni di medie e grandi dimensioni in tutto il mondo utilizza un modello di identità ibrido, basato su AD, per i propri servizi cloud. Di conseguenza, la domanda è importante.
Uno dei motivi principali per cui i reparti IT non hanno aggiornato il proprio ambiente AD a Windows Server 2016, passando da sistemi operativi con supporto intermedio come Windows Server 2012 o R2, è che non pensano che ci sia una "funzione eroica" chiara e convincente, come il cestino AD, che giustifichi l'aggiornamento. Se siete tra questi, dovreste valutare attentamente Windows Server 2016.
Utilizziamo degli scenari - esempi aziendali e tecnici di ambienti ed esigenze che potreste avere anche voi - per esaminare i principali miglioramenti della sicurezza di Active Directory e del sistema operativo di Windows Server a partire da 2008 R2. Qualcuno di questi scenari corrisponde alla vostra organizzazione?
Se si virtualizzano i DC
La virtualizzazione è ormai diffusa da molti anni, ma la virtualizzazione dei DC è spesso rimasta indietro rispetto ad altri carichi di lavoro per un paio di buoni motivi: integrità e sicurezza. Se avete virtualizzato alcuni o tutti i vostri DC, ci sono importanti miglioramenti in termini di integrità e sicurezza sia nel sistema operativo di base Windows Server 2016 che nell'AD che dovreste sfruttare immediatamente.
Un problema legato alla virtualizzazione di un'applicazione come AD che tiene traccia del suo stato è che, se viene ripristinato da un'istantanea della macchina virtuale presa in precedenza, il DC ripristinato non si rende conto di essere fuori sincrono con i suoi altri DC. Questa condizione può causare gravi errori di divergenza nel dominio o nella foresta. Windows Server 2012 ha introdotto una funzione sia in AD che in Hyper-V, il VM-GenID, che essenzialmente indica ad AD che è stato ripristinato da una snapshot e che deve prendere le misure appropriate per proteggersi.
Dopo essere stato avvisato del ripristino dell'istantanea, il DC scarta il suo pool di RID e reimposta l'ID di invocazione (il numero di versione del database AD) per evitare problemi di divergenza. (Non è comunque una buona idea ripristinare regolarmente i DC dalle istantanee). Anche VMware, Xen e altri fornitori di virtualizzazione hanno adottato questo metodo, quindi i vostri DC non devono necessariamente essere su Hyper-V.
Se i vostri DC sono aggiornati a Windows Server 2012 o 2012 R2 e non avete ancora virtualizzato i vostri DC a causa di problemi di sicurezza legati ai server host, Windows Server 2016 ha una caratteristica importante per voi. Il nuovo sistema operativo risolve un problema di sicurezza fondamentale per qualsiasi macchina virtuale: chiunque abbia i diritti di amministrazione della macchina host può semplicemente copiare i file della macchina virtuale dall'host e violarli a proprio piacimento. Un DC è un bersaglio privilegiato per questo tipo di attacco, perché ovviamente contiene gli ID utente e le password di tutti i dipendenti dell'azienda. La funzione Shielded VMs protegge le macchine virtuali da amministratori compromessi o malintenzionati, come amministratori di storage, amministratori di backup e così via, crittografando il disco e lo stato delle macchine virtuali in modo che solo gli amministratori della macchina virtuale o del tenant possano accedervi.
Assistenza ai clienti in un mondo ibrido
Un'organizzazione non esiste solo sui suoi server, ovviamente. Anche i client con cui gli utenti interagiscono sono importanti. Tradizionalmente, l'IT doveva preoccuparsi solo dei client Windows uniti al dominio, ma oggi gli utenti aziendali hanno una grande varietà tra cui scegliere. Nel corso delle varie release, AD si è adattato per gestire questa maggiore varietà.
Se la vostra organizzazione sta abbracciando la "trasformazione digitale" dei servizi cloud, in particolare Azure Active Directory con client Windows 10, c'è uno scenario in cui dovete dare un'occhiata più da vicino ad AD 2016. Innanzitutto, una breve panoramica sul supporto dei dispositivi in AD aiuterà a comprendere lo scenario.
Active Directory supporta storicamente i dispositivi Windows uniti al dominio. A partire da Windows Server 2012 R2, AD ha anche permesso a un utente di eseguire una registrazione (si può pensare a un'unione leggera) di un dispositivo mobile come uno smartphone. Questa funzionalità di Workplace Join conferisce al dispositivo una presenza in AD e lo associa a un utente. Questa associazione conferisce al dispositivo un grado di fiducia superiore a quello di un dispositivo sconosciuto, e quindi gli può essere concesso il single sign on e l'accesso a risorse di rete più sicure.
Anche il fratello minore di AD nel cloud, Azure AD, supporta entrambi questi tipi di dispositivi. È possibile unirli direttamente al servizio cloud utilizzando Azure AD join per i dispositivi Windows 10 e Intune registration per i dispositivi iOS, Android e Mac OS. Questa architettura confusa diventa ancora più confusa in un ambiente ibrido con client Windows 7 e 8 on-premises; Azure AD può essere messo a conoscenza di questi dispositivi tramite un join Azure AD ibrido, che è necessario per applicare criteri di accesso condizionato consapevoli del dispositivo.
State valutando Windows Hello for Business per ottenere un'autenticazione sicura al di là delle password? Hello offre la possibilità di sbloccare il dispositivo Windows 10 utilizzando un dato biometrico o un PIN. Hello for Business è un framework MFA più ampio che utilizza chiavi asimmetriche (memorizzate nel modulo di sicurezza del dispositivo) per autenticare l'utente. Esiste uno scenario MFA in un ambiente ibrido Active Directory on-premises / Azure AD in cui sono necessari sia AD 2016 che AD FS 2016. In un prossimo post del blog parlerò dei motivi per prendere in considerazione l'aggiornamento ad AD FS 2016.
Migliore sicurezza
A prescindere dai miglioramenti di AD, l'aggiornamento al sistema operativo Windows Server 2016 offre vantaggi in termini di sicurezza. Se per caso siete ancora su 2008 R2, con l'aggiornamento otterrete un'interfaccia utente per il cestino di AD che lo rende molto più facile da usare. Potete anche iniziare a colmare una lacuna di sicurezza di lunga data: le password antiche e immutabili degli account di servizio: gli account di servizio gestiti dal gruppo (gMSA) aggiornano automaticamente la password di questi account, anche se sono utilizzati in un cluster.
Se siete già in possesso di 2012 R2, Windows Server 2016 presenta un paio di miglioramenti della sicurezza da tenere in considerazione. Windows Defender Credential Guard e Remote Guard proteggono le credenziali NTLM e Kerberos in AD da attacchi di tipo pass-the-hash. Windows Defender Application Control protegge l'integrità del sistema operativo di base consentendo l'esecuzione solo di determinate applicazioni (note anche come whitelisting): un'ottima misura di sicurezza per un server che esegue un carico di lavoro dedicato come AD.
Gestione degli accessi privilegiati per AD
Se avete una direttiva per bloccare davvero gli account amministrativi AD, AD 2016 introduce anche la gestione degli accessi privilegiati (PAM). In combinazione con un'implementazione MIM dedicata, PAM è una foresta "rossa" speciale, altamente protetta, che si costruisce per controllare i gruppi amministrativi di una foresta AD di destinazione.
AD 2016 contiene aggiornamenti ai gruppi di sicurezza, chiamati presidi ombra, che consentono ai gruppi di amministratori nella foresta di destinazione di essere "ombreggiati" nella foresta rossa tramite una nuova forma di trust della foresta. Quando un account amministratore nella foresta rossa viene aggiunto a un gruppo di amministratori in ombra in quella foresta, ottiene lo stesso SID del gruppo di amministratori e quindi gli stessi diritti. Con questa funzionalità, gli account amministrativi vengono rimossi dalla foresta di destinazione ed esistono solo nella foresta rossa protetta.
AD 2016 ha anche aggiornato il protocollo Kerberos che consente di limitare nel tempo l'appartenenza a un gruppo (memorizzata nel campo PAC del ticket Kerberos). In combinazione con i presidi ombra e il flusso di richieste di accesso integrato in MIM, gli amministratori possono richiedere e ottenere diritti di amministrazione (tramite l'appartenenza a un gruppo) per un determinato periodo di tempo. Allo scadere del tempo, questi diritti vengono automaticamente revocati.
Motivi per rimanere dove siete
Francamente, non ci sono molte ragioni per rimanere in un AD di livello inferiore.
Se si dispone di una foresta di prova in una rete isolata, in esecuzione su DC fisici, che non supporta dispositivi client, allora forse si può ritardare un po'.
Forse il budget è un problema al momento. Il vostro management deve guardare al quadro generale: la maggior parte delle aziende ha meno di cinquanta DC. Il costo delle licenze, dell'aggiornamento e dell'implementazione di nuove funzionalità su questi server è insignificante rispetto al costo di una violazione che si verifica con l'acquisizione di credenziali di dominio da versioni precedenti di AD.
La compatibilità AD con applicazioni molto vecchie o con vecchi software client embedded che utilizzano hardware molto costoso, come le apparecchiature di produzione computerizzate, può essere un problema più spinoso. Ma la versione 2008 R2 non sarà disponibile ancora per molto: la fine del supporto (con l'SP1 applicato) è prevista per il14 gennaio 2020. Mancano solo un anno e quattro mesi. La fine del supporto significa che Microsoft non fornirà più aggiornamenti di sicurezza, un servizio essenziale nell'attuale mondo di vulnerabilità e patch. Le foreste 2012 e 2012 R2 hanno più tempo: 10 ottobre 2023. (Si noti che sia 2012 che R2 hanno la stessa data di fine supporto).
Raccomandazioni
I miei consigli sono:
- Se i vostri DC sono in esecuzione con 2008 R2, indipendentemente dagli scenari precedenti, dovreste pianificare gli aggiornamenti ed eseguire subito i test di compatibilità delle applicazioni.
- Per gli utenti di 2012 o 2012 R2, i miglioramenti della virtualizzazione e della sicurezza del sistema operativo di base giustificano un aggiornamento. Dovrete inoltre collaborare con i team di ingegneria e sicurezza dei server come stakeholder per promuovere l'implementazione dei miglioramenti di sicurezza del 2016 nell'immagine di build standardizzata della piattaforma. I problemi di compatibilità delle applicazioni dovrebbero essere minori.
- A meno che non si rientri nello speciale scenario ibrido di Hello for Business, i miglioramenti nella gestione dei dispositivi non saranno un forte driver di AD 2016.
Se si considera attentamente l'aggiornamento ad AD 2016 rispetto al mantenimento della situazione attuale, a parte la compatibilità delle applicazioni, non ci sono motivi validi per non effettuare l'aggiornamento. Probabilmente la ragione principale per non effettuare l'aggiornamento è l'autocompiacimento: funziona bene così com'è. Ma i miglioramenti della sicurezza, sia nel sistema operativo di base che nell'AD, miglioreranno in modo significativo la protezione della vostra organizzazione contro gli aggressori. Questo significa che dovreste iniziare a pianificare gli aggiornamenti oggi stesso.
