Cos'è Active Directory Forest Recovery?

Prima di parlare di Active Directory Forest Recovery, proviamo a dare un'occhiata a quali sono i diversi scenari di ripristino e quando è necessario?

(Nota: se siete qui solo per il titolo, scorrete fino in fondo al post).

Il primo e il più semplice è il recupero degli oggetti.

Il recupero degli oggetti è il processo di recupero di un oggetto (o di oggetti) che è stato eliminato. Questo può essere il risultato di un errore umano, di un errore di macchina (la soluzione di gestione delle identità ha erroneamente de-provisionato un utente) o di una violazione della sicurezza, per la quale è prevista una sezione separata.

Il recupero degli oggetti è relativamente facile, in particolare con la funzione Cestino introdotta da Windows 2008 R2 (per saperne di più: https://technet.microsoft.com/en-us/library/dd379542(v=ws.10).aspx).

Il secondo, anch'esso non molto difficile, è il recupero del server.

Supponiamo di avere un Controller di Dominio, su 2 (almeno, se non è il caso, promuovere immediatamente il secondo), e che questo server soffra di un guasto hardware. Qual è la cosa più semplice da fare per ripristinare un DC? Beh, semplicemente promuoverlo! Poiché non c'è differenza tra un DC e l'altro, il ripristino di un server è semplice come promuovere da zero quello specifico controller di dominio. Ovviamente si potrebbe voler mantenere lo stesso nome e lo stesso indirizzo IP, ma si spera di aver ottenuto una guida alla costruzione, quindi si dovrebbe sapere come costruire un DC da zero.

Il terzo è il recupero del dominio.

Con un ripristino di dominio si sta ripristinando un singolo dominio in un'intera foresta. Quale potrebbe essere la causa? A partire da un errore umano, ma di solito sono causati da guasti hardware multipli (tutti i DC in DomainX sono andati, o se ce n'è solo uno), da cancellazioni di massa nel database o da problemi di configurazione. Il ripristino del dominio è un po' difficile da spiegare in un singolo post del blog, ma sicuramente toccherò l'argomento del ripristino di un singolo dominio in un ambiente Forest in un post successivo.

E qui le cose si complicano.

Recupero degli attributi

Immaginiamo di aver eseguito per sbaglio uno script che ha modificato il contenuto dell'attributo del nome di tutti. Come si fa a recuperare? Si può ricorrere al ripristino degli oggetti per tutti gli utenti, ma in questo caso si potrebbero perdere delle modifiche, a seconda di quando è stato eseguito il backup.

Immaginiamo che questo sia stato fatto da qualcun altro, come un bug in un software o una falla nella sicurezza dell'organizzazione che ha permesso a un aggressore di manomettere i vostri contenuti?

Al momento non esiste una soluzione perfetta al problema. Si potrebbero usare le istantanee e utilizzarle come riferimento, ma il passaggio del contenuto corretto dall'istantanea al database live potrebbe facilmente trasformarsi in un incubo per ldifde (inoltre, anche trovare la differenza tra snapshot e live non è un compito facile).

E il mio preferito: Active Directory Forest Recovery

Per questo, mi rivolgerò al white paper di Microsoft sul recupero delle foreste: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide.

E citare la sezione intitolata "Decidere quando eseguire il ripristino delle foreste":

Tutti i controller di dominio sono stati danneggiati logicamente o fisicamente al punto da rendere impossibile la continuità aziendale; ad esempio, tutte le applicazioni aziendali che dipendono da AD DS non funzionano.

Un amministratore disonesto ha compromesso l'ambiente Active Directory.

Un attaccante esegue intenzionalmente o un amministratore esegue accidentalmente uno script che diffonde la corruzione dei dati nella foresta.

Un utente malintenzionato o un amministratore estende accidentalmente lo schema di Active Directory con modifiche dannose o in conflitto.

Nessuno dei controller di dominio può replicare con i propri partner di replica.

Non è possibile apportare modifiche ad AD DS in qualsiasi controller di dominio.

I nuovi controller di dominio non possono essere installati in nessun dominio.

Come si fa? Le pagine 29-54 del white paper illustrano in dettaglio i passaggi necessari.

Semperis nella Deloitte Tech Fast 500 per il terzo anno consecutivo

Semperis è nella classifica delle cinque aziende di sicurezza informatica a più rapida crescita in America

Semperis si aggiudica per il secondo anno consecutivo la prestigiosa Guida ai programmi per i partner di CRN

Il punto di vista del CISO sulla sicurezza basata sull'identità con Simon Hodgkinson

Semperis è stata nominata dalla rivista Fortune nella lista dei "Cyber 60" del 2023.

Cos'è Active Directory Forest Recovery?

Semperis nella Deloitte Tech Fast 500 per il terzo anno consecutivo

Semperis è nella classifica delle cinque aziende di sicurezza informatica a più rapida crescita in America

Semperis si aggiudica per il secondo anno consecutivo la prestigiosa Guida ai programmi per i partner di CRN

Il punto di vista del CISO sulla sicurezza basata sull'identità con Simon Hodgkinson

Semperis è stata nominata dalla rivista Fortune nella lista dei "Cyber 60" del 2023.

Cos'è Active Directory Forest Recovery?

Iscriviti per ricevere le ultime notizie su Semperis