Active Directory och Katalogtjänster

Questions and Answers

Vad är syftet med en global katalogserver i ett Active Directory-nätverk?

En global katalogserver påskyndar sökningar efter objekt i ett nätverk med flera domäner genom att innehålla ett partiellt, skrivskyddat index av objekt.

Beskriv en situation där det är lämpligt att installera en skrivskyddad domänkontrollant (RODC).

I situationer med begränsad fysisk säkerhet, mindre avancerad IT-support eller behov av att köra verksamhetsspecifika program på en domänkontrollant kan en RODC vara lämplig.

Vilka tre typer av partitioner förekommer i AD DS-databasen?

De tre typerna av partitioner i AD DS-databasen är schemapartition, konfigurationspartition och domänpartition.

Vad är skillnaden mellan en domän och en organisationsenhet (OU) i Active Directory?

En domän är en logisk administrativ container för användare och datorer, medan en OU är en container inom en domän för organisering och förvaltning av objekt.

Vad definierar schemat i AD DS?

Schemat i AD DS definierar de objekttyper och attribut som används för att skapa objekt inom Active Directory.

Vilka är två huvudfunktioner för en domänkontrollant i ett Windows-baserat nätverk?

En domänkontrollant autentiserar och auktoriserar användare och datorer, samt underhåller en kopia av Active Directory-databasen.

Nämn tre funktioner som Active Directory tillhandahåller i ett nätverk.

Active Directory tillhandahåller centraliserad hantering av användare och resurser, autentisering och auktorisering samt implementering av gruppolicyer.

Vad är fördelen med att använda ett Active Directory-baserat system för att hantera användare och resurser?

Active Directory ger centraliserad hantering av användare och resurser, vilket förenklar administrationen och säkerhetskonfigurationen.

Beskriv kortfattat vad en Gruppolicyobjekt (GPO) är och vad den används till.

En Gruppolicyobjekt (GPO) är en funktion i Active Directory som används för att konfigurera inställningar för operativsystem, applikationer och användarmiljöer över ett nätverk.

Vilka är de två huvudtyperna av inställningar som kan hanteras med GPO:er?

Användarkonfiguration och datorinställning.

Vad är hashing och vad är dess viktigaste användningsändamål?

Hashing är en process som omvandlar data av valfri storlek till en fast storlek av tecken, vanligtvis en hashkod. Hashing används för att säkerställa dataintegritet och autentisering.

Vad är den stora skillnaden mellan NTLM och Kerberos när det gäller säkerhet?

Kerberos är säkrare än NTLM.

Vad är syftet med "Windows-härdning" och varför är det viktigt?

Windows-härdning syftar till att stärka säkerheten i Windows-operativsystemet genom att minska sårbarheter och skydda mot potentiella hot. Det är viktigt för att skydda både användardata och systemresurser.

Vad är huvudsyftet med "Patch management" och hur bidrar det till IT-säkerheten?

Patch management är processen att identifiera, skaffa, installera och verifiera patchar för programvara och system. Det skyddar mot sårbarheter, säkerställer efterlevnad och förbättrar systemprestanda.

Beskriv kortfattat skillnaden mellan "Lokalt systemkonto" och "Lokalt tjänstekonto".

Lokalt systemkonto har omfattande behörigheter och tillgång till alla systemresurser, medan lokalt tjänstekonto har begränsade behörigheter och används för tjänster som inte kräver fullständig systemåtkomst.

Vad är en "Managed Service Account" (MSA) och vilka fördelar erbjuder den?

En Managed Service Account (MSA) är ett användarkonto designat för att förenkla hanteringen av tjänstekonton. Det ger automatiserad lösenordshantering och förenklad SPN-administration.

Förklara principen om "minsta privilegium" i samband med åtkomstkontroll.

Principen om "minsta privilegium" innebär att användare och enheter endast får de behörigheter som är nödvändiga för att utföra sina uppgifter. Detta minskar risken för obehörig åtkomst och dataintrång.

Hur fungerar Data Loss Prevention (DLP) för att skydda känslig data?

DLP-system identifierar känslig data genom mönsterigenkänning och klassificering. De övervakar dataflöden och tillämpar policyer för att förhindra att känslig data lämnar organisationen på ett otillåtet sätt. Vid policyöverträdelser kan systemet blockera överföringar eller varna administratörer.

Vad är skillnaden mellan LDAPv2 och LDAPv3?

LDAPv2 är en äldre version med begränsat stöd för säkerhet och autentisering. LDAPv3 är den nuvarande versionen som erbjuder förbättrad säkerhet genom stöd för SASL och TLS, utökningar och kontroller, internationell teckenstöd och schema upptäckt.

Beskriv hur Endpoint Detection and Response (EDR) fungerar för att skydda slutpunkter.

EDR-system övervakar och svarar på hot mot slutpunkter i realtid. De samlar in och analyserar data från slutpunkter för att upptäcka misstänkta aktiviteter och hot. Genom avancerade analysmetoder och maskininlärning identifierar och klassificerar de hot, och automatiserar svar genom att isolera infekterade enheter, ta bort skadlig programvara och återställa system till ett säkert tillstånd.

Vad är syftet med "Anta att nätverket är komprometterat"-principen?

Denna princip förutsätter att skadlig kod kan vara närvarande i nätverket och uppmuntrar till att behandla alla nätverksförfrågningar som potentiellt skadliga. Genom noggrann inspektion av dessa förfrågningar kan man identifiera och blockera potentiella hot.

Vad är en Distinguished Name (DN) i LDAP och vad används den till?

En DN är en sträng som beskriver en postens plats i katalogens hierarki. Den består av en serie attributvärden som specificerar postens exakta position i Directory Information Tree (DIT). DN används för att identifiera och lokalisera poster i LDAP-katalogen.

Vad är "Verifiera explicita"-principen när det gäller åtkomstkontroll?

Principen "verifiera explicita" innebär att all åtkomst till resurser kräver autentisering och auktorisering. Det innebär att användarna måste identifiera sig och bevisa sin identitet innan de får tillgång till resurser.

Förklara kortfattat vad en Key Distribution Center (KDC) gör i Kerberos-protokollet.

KDC är en central komponent i Kerberos som hanterar autentisering och utfärdar biljetter. Den består av en autentiseringsserver (AS) och en biljettbeviljande server (TGS).

Beskriv funktionen hos Directory Information Tree (DIT) i LDAP.

DIT är en hierarkisk struktur som används av LDAP för att organisera och lagra information. Den representerar relationerna mellan olika objekt i katalogen, vilket möjliggör en strukturerad och flexibel organisation av data.

Vad är syftet med en servicebiljett i Kerberos-protokollet?

En servicebiljett används för att få tillgång till specifika tjänster. Den utfärdas av TGS och är krypterad med en nyckel som endast den specifika tjänsten kan dekryptera.

Vad är syftet med CIS Benchmarks och hur bidrar de till säkerheten i en organisation?

CIS Benchmarks är säkerhetskonfigurationsrekommendationer som tillhandahåller detaljerade guider för att säkra system. De hjälper organisationer att identifiera och åtgärda potentiella sårbarheter och risker, vilket ökar säkerhetsnivån.

Beskriv kortfattat vad en Access Control List (ACL) i LDAP används för.

En ACL i LDAP definierar vilka användare eller grupper som har behörighet att utföra specifika operationer på katalogposter. De tillåter detaljerad kontroll över åtkomst till information.

Beskriv de fem stegen i riskhanteringsprocessen.

Stegen i riskhanteringsprocessen är: 1. Identifiera risker, 2. Värdera risker, 3. Planera åtgärder, 4. Förebygga risker och 5. Hantera skador.

Vad är bind-operationen i LDAP och vilka typer finns det?

En bind-operation används för att autentisera en klient mot LDAP-servern. Det finns tre typer: Simple Bind, SASL Bind och Anonymous Bind. Simple Bind skickar användaruppgifter i klartext, SASL Bind använder SASL för autentisering, och Anonymous Bind används när ingen autentisering krävs.

Vilken typ av bind-operation är mest lämplig för att skydda användarinformation i en LDAP-miljö?

SASL Bind är den mest lämpliga vid hantering av känslig information, eftersom den använder SASL-protokollet för att säkerställa autentiseringen.

Vad är en Ticket Granting Ticket (TGT) i Kerberos och vilken roll spelar den i autentiseringsprocessen?

En TGT är en biljett utfärdad av Authentication Server (AS) som används för att begära servicebiljetter från Ticket Granting Server (TGS). Den fungerar som ett bevis på användarens identitet och ger tillgång till ytterligare tjänster.

Förklara de tre stegen för att erhålla en servicebiljett i Kerberos.

För att erhålla en servicebiljett i Kerberos krävs tre steg: 1. Användaren skickar TGT till TGS, 2. TGS verifierar TGT och utfärdar en servicebiljett, 3. Användaren skickar servicebiljetten till den specifika tjänsten.

Vad är en Distinguished Name (DN) i LDAP och vad representerar den?

En DN är en sträng som beskriver postens plats i katalogens hierarki i LDAP. Den indikerar hur posten är organiserad och relaterad till andra poster i katalogen.

Vilken är den främsta skillnaden mellan LDAPv2 och LDAPv3 när det gäller säkerhet?

LDAPv3 erbjuder ökad säkerhet jämfört med LDAPv2. Den stöder SASL, TLS, utökningar och kontroller för att förbättra autentisering och dataskydd.

Förklara rollen av Key Distribution Center (KDC) i Kerberos och dess komponenter.

KDC är en central del av Kerberos som hanterar autentisering och biljetter. Den består av Authentication Server (AS) och Ticket Granting Server (TGS) som båda är avgörande för att hantera autentisering och biljettutfärdande i Kerberos-systemet.

Vad är skillnaden mellan en Ticket Granting Ticket (TGT) och en servicebiljett i Kerberos?

En TGT utfärdas av AS och används för att begära servicebiljetter från TGS. En servicebiljett utfärdas av TGS och används för att få tillgång till specifika tjänster.

Study Notes

Global katalogserver

• En global katalogserver är en domänkontrollant som ansvarar för den globala katalogen.
• Den är en partiell och skrivskyddad kopia av alla objekt i en skog med flera domäner.
• Den optimerar sökningar efter objekt som kan finnas på domänkontrollanter i andra domäner i skogen.

Skrivskyddad domänkontrollant (RODC)

• En RODC är en speciell, skrivskyddad installation av Active Directory Domain Services (AD DS).
• Denna typ av installation används ofta på avdelningskontor, om IT-supporten är begränsad eller om verksamhetsspecifika program måste köras på en domänkontrollant.
• Den är lämplig där säkerhetssituationen är mindre optimal.

Partition i AD DS-databasen

• En partition, eller namngivningskontext, är en del av AD DS-databasen.
• Schemapartition: Innehåller en kopia av Active Directory-schemat.
• Konfigurationspartition: Innehåller konfigurationsobjekt för hela skogen.
• Domänpartition: I denna partition finns användare, datorer, grupper och andra objekt specifika för en viss domän.

Skillnad mellan en domän och en organisationsenhet (OU)

• En domän är en logisk administrativ container för användare och datorer.
• Den är kopplad till en specifik partition.
• Domäner kan ha överordnade och underordnade relationer till andra domäner.
• Organisationsenheter (OU) är containerobjekt för användare, grupper och datorer, som är användbara för att delegera administrativa rättigheter.
• OU används också för att implementera grupprincipobjekt (GPO).

Schema i AD DS

• Ett schema är en samling definitioner och instruktioner om objekttyper och attribut i AD DS.
• Schemat definierar de objekt som kan finnas i systemet och de attribut som dessa objekt kan ha.

Domänkontrollant i ett Windows-baserat nätverk

• Domänkontrollanter autentiserar och auktoriserar användare och datorer i ett Windows-baserat nätverk.
• De håller en kopia av Active Directory-databasen och svarar på förfrågningar om användar- och resursinformation.

Active Directory (AD)

• AD är en katalogtjänst och identitetshanteringssystem utvecklad av Microsoft.
• Den erbjuder centraliserad hantering av användare och resurser, autentisering och auktorisering samt implementering av gruppolicyer.

Gruppolicyobjekt (GPO)

• GPO är en funktion i Active Directory som används för att hantera konfiguration av operativsystem, applikationer och användarmiljöer över nätverket.
• Nyckelkomponenter: Omfattning (tillämpning på webbplatser, domäner eller organisationsenheter), inställningar (användare och datorer), ärftlighet (hierarkisk struktur) och prioritet (ordning mellan olika inställningar).

Hashing

• Hashing omvandlar data av valfri storlek till en fast storlek (hashkod) för att säkerställa dataintegritet och autentisering.

Skillnad mellan NTLM och Kerberos

• NTLM används för autentisering i Windows-system men har kända sårbarheter.
• Kerberos är den primära autentiseringsmetoden i Windows-domäner, mer säker och används för krypterad kommunikation mellan klienter och servrar.

Windows-härdning

• Processen för att förbättra säkerheten i Windows-operativsystemet genom att minska sårbarheter och skydda mot hot.

Patch management

• Processen för att identifiera, installera och verifiera programuppdateringar och systemuppdateringar för att skydda mot sårbarheter och förbättra systemprestanda.

Lokalt systemkonto

• Ett inbyggt konto i Windows som har fullständig åtkomst till systemresurser. Detta konto får användas som ett alternativ till ett användar-konto.

Lokalt tjänstekonto

• Ett inbyggt konto, i Windows, med begränsade behörigheter på den lokala datorn.
• Det används för tjänster som inte kräver omfattande systembehörigheter.

Nätverkstjänstekonto

• Ett fördefinierat lokalt konto i Windows med begränsade nätverksbehörigheter.
• Det passar för tjänster som behöver åtkomst till nätverket utan att ha full behörighet.

Managed Service Accounts (MSA)

• Användarkonton som automatiserar konfiguration och hantering av tjänstekonti.
• Enklare att hantera tjänstekonti i nätverket.

PowerShell

• Ett ramverk för hantering av Active Directory och konfiguration av operativsystem.
• PowerShell kan användas för avancerad administratur av datorer och nätverk.

CIS Benchmarks

• Säkerhetskonfigurationsrekommendationer utvecklade av Center for Internet Security.
• Viktig hjälp för att säkra operativsystem genom att tillhandahålla detaljerad konfiguration.

Riskhantering

• Processen för att identifiera, bedöma och hantera risker. Steg: identifiera, värdera, planera åtgärder, förebygga och hantera skador.

Ticket Granting Ticket (TGT) i Kerberos

• En biljett som utfärdas av Authentication Server (AS) för att begära servicebiljetter från Ticket Granting Server (TGS).

Processen för att få en servicebiljett i Kerberos

• Användaren får en TGT från AS.
• Användaren får en servicebiljett från TGS med TGT.
• Servicebiljetten används sedan för att få åtkomst till specifika tjänster.

Distinguished Name (DN) i LDAP

• En sträng som representerar en katalogpost i hierarkin. DN beskriver exakt placering av en post i katalogträdstrukturen.

Skillnad mellan LDAPv2 och LDAPv3

• LDAPv2: Tidigare version med begränsat stöd för säkerhet. Kan inte använda teknik som SASL, TLS, utökningar eller kontroller.
• LDAPv3: Nuvarande version med förbättrad säkerhet och fler funktioner, som SASL, TLS, utökningar och kontroller.

Directory Information Tree (DIT) i LDAP

• LDAP använder en hierarkisk struktur för att organisera och lagra information.

Key Distribution Center (KDC) i Kerberos

• En central komponent som hanterar autentisering och biljetter (AS och TGS) i Kerberos.
• KDC använder Active Directory som sin kontodatabas.

Servicebiljett i Kerberos

• En biljett som utfärdas av TGS för att erhålla tillgång till en specifik tjänst.

Access Control List (ACL) i LDAP

• En lista som definierar vilka användare eller grupper har behörighet att utföra specifika operationer på katalogposter.

Bind-operation i LDAP

• Processen för att logga in på en LDAP-server. Enkel variant: Skickar användarnamn och lösenord i klartext (också ett säkerhetsproblem). SASL Bind: Använder SASL och kryptering. Anonymous Bind: Används om ingen autentisering krävs.

Ticket Granting Server (TGS) i Kerberos

• Utfärdar servicebiljetter för åtkomst till specifika tjänster. TGS verifierar att den som begär giltig tillgång.

Zero Trust Security (ZTS)

• Säkerhetsmodell där ingen enhet eller användare är automatiskt betrodd. Alla åtkomster måste verifieras och auktoriseras kontinuerligt. Exempel på principer: Verifiera explicita och minimativa privilegier.

Data Loss Prevention (DLP)

• Verktyg och processer för att hindra utlämnande av känslig data från organisationen. Funktioner: Identifiering av känslig data, övervakning, policyer och incidenthantering.

Endpoint Detection and Response (EDR)

• Säkerhetslösning för att övervaka och svara på attacker mot slutpunkter. Funktioner: kontinuerlig övervakning, hotdetektering, incidentrespons.

Distinguished Name (DN) i LDAP

• Identifierar en post/objekt i katalogträdet (DIT) med en sträng.

Skillnad mellan LDAPv2 & LDAPv3

• LDAPv2: Begränsad säkerhet och funktioner.
• LDAPv3: Utvidgad funktionalitet inklusive säkerhet via SASL och TLS.

Directory Information Tree (DIT) i LDAP

• Hierarkisk struktur i LDAP-katalogen.

Description

Detta quiz testar din kunskap om Active Directory och dess olika komponenter, inklusive globala katalogservrar och skrivskyddade domänkontrollanter. Du får även lära dig om partitioner i AD DS-databasen och deras funktioner. Utmana dig själv och se hur väl du förstår dessa grundläggande koncept!