Brána firewall na doménových řadičích (Mgr. Michael Grafnetter (MVP, MCT, MCITP), Pavel Formánek)

Jako součást iniciativ vedoucích k lepšímu zabezpečení doménových řadičů (DC) se většinou doporučuje také konfigurace hostitelských firewallů. Cílem je ztížit některé typy útoků, jako je vzdálené spouštění kódu, laterální pohyb nebo útoky NTLM Relay. Motivací může také být umožnění vzdálené správy jenom ze systémů k tomu určených, například ze stanic pro privilegovaný přístup (PAW). Naneštěstí ale neexistuje komplexní zdroj informací na toto téma, což pak vede k příliš otevřeným firewallům na DC ve většině organizací. Jen málo správců má potřebné znalosti a nutnou dávku odvahy status quo změnit.

Rozhodli jsme se proto vyvinout a důkladně otestovat sadu vysoce restriktivních pravidel firewallu a filtrů vzdáleného volání procedur (RPC) pro DC, které lze aplikovat ve většině produkčních prostředí. Aby byl proces konfigurace firewallu flexibilní a opakovatelný, vytvořili jsme také sadu automatizačních PowerShell skriptů pro tvorbu a úpravu skupinových politik. Od bezplatného zvěřejnění našeho řešení si slibujeme, že při příštím auditu zabezpečení Active Directory už neuvidíme pravidla firewallu typu Any-to-Any.

Na této přednášce se podělíme o naše zkušenosti s problematikou Windows Firewallu a nebudou chybět ani praktické ukázky.

17:30 - 17:40 - Představení WUGu
17:40 - 18:45 - 1. část setkání
18:45 - 19:00 - Přestávka
19:00 - 20:00 - 2. část setkání
20:00 - Diskuze

• Aplikační a serverové služby
• Přednáška