התקנת AD - ביצוע DCPROMO << קורס אונליין חינם
Menu
עברית Русский
מכללת פרקטיקיו
- מתחילים ללמוד חינם -
קורסי תכנות / סייבר / ניהול רשת

התקנת AD - ביצוע DCPROMO

קורסים למנהלי רשת מסלול מנהלי רשת
עם התמחות בשרתי מיקרוסופט סייבר והאקינג - Hacking
מבדקי חדירה - סייבר התקפי תקשורת ואבטחת מידע
Cisco CCNA & FortiGate & Checkpoint התמחות בווירטואליזציה
VMware & Hyper-V מומחה לינוקס ו-DevOps מומחה ענן של אמזון - AWS מומחה ענן של מיקרוסופט - Azure מומחה ענן של גוגל - GCP שרתי מיקרוסופט לארגונים גדולים
Exchange - SCCM - SQL התמחות ב-Storage קורסים נוספים למנהלי רשת
קורסי תכנות מסלול Full Stack דוט-נט
יסודות התכנות מסלול Full Stack דוט-נט
צד לקוח - Frontend מסלול Full Stack דוט-נט
צד שרת - Backend מסלול Full Stack Node.JS מסלול Full Stack Java מסלול Full Stack Python מסלול Full Stack PHP מפתח אפליקציות - אנדרואיד - אייפון מפתח משחקי מחשב - Unity מפתח תוכנות לוונדוס - WinForms מסלול DBA
התמחות במסדי נתונים – SQL בדיקות תוכנה - QA - אוטומציה בדיקות תוכנה - QA - בדיקות ידניות בדיקות תוכנה - QA - קורסים נוספים המלצות תלמידים על PracticU
סקר שוק נכון לתאריך – 01/09/2011

הסבר קצר על שיטת הלימוד אונליין

צילמנו בסרטונים את כל ההרצאות של הקורס, כי ללמוד בכיתה לא נוח וגם יקר.
קורס בכיתה עולה מעל מ-17 אלף ₪ ואצלנו בסרטונים רק 350 ש"ח לחודש.
אם משהו לא ברור בסרטון תמיד אפשר להתקשר למרצה ולדבר איתו ישירות בטלפון.
המרצה זמין גם בווטסאפ וגם בצ'אט באתר המכללה.


חשוב לציין שבסוף כל התלמידים, מכל המכללות, כולם ביחד ניגשים לאותה בחינה חיצונית של סיסקו / מיקרוסופט / לינוקס ומקבלים בדיוק אותה תעודה.
את החברות הגדולות האלו בכלל לא מעניין איפה ואיך למדת וכמה שילמת על הלימודים.
יש מבחן אחיד לכולם, המתבצע במרכז בחינות מורשה של חברת Pearson VUE. הם עושים את הבחינות בפועל עבור החברות הגדולות בשוק.
כל שבוע יש מבחן ומי שעובר אותו מקבל תעודת הסמכה בינלאומית.

לסיכום: יש מרכז בחינות מורשה בתל-אביב, שכולם מגיעים אליו מכל הארץ ועושים שם מבחני הסמכה הבינלאומיים ומי שעובר את המבחן מקבל את התעודה ולא חשוב להם איפה ואיך למדת.


מה לעשות אם לא מבינים משהו בסרט?

פשוט מאוד, מתקשרים למכללה ומדברים ישירות עם המרצה. אפשר גם להתכתב עם המרצה במייל או בווטסאפ או בצ'אט באתר.


האם יש לכם כיתות לימוד רגילות?

להשכיר כיתה + לשלם משכורת למרצה = 17 אלף ש"ח עלות הקורס לתלמיד.
אצלנו בסרטונים מקבלים אותו חומר לימוד
ואפילו יותר, כי אין מגבלה של זמן למרצה (כמו שיש בכיתה),
בנוסף מקבלים בדיוק אותה תעודה בינלאומית,
כי מבחן הוא מבחן אחיד לכולם המתבצע במרכז בחינות מורשה
והכי חשוב שמקבלים את אותם המרצים, שמלמדים בכיתה רגילה,
רק שצילמנו אותם בסרטונים
והמחיר בסרטונים רק 350 ש"ח ולא 17 אלף כמו בכיתה רגילה.



קיימים במכללה שני מסלולי לימוד:
  1. מסלול לימוד חופשי, בלי תעודה, להעשרת ידע כללי.
    מסלול לימוד חופשי, מתאים בעיקר למי שעובד בתחום וכבר יש לו תעודות והוא לא רוצה עוד מבחנים ותעודות.

  2. מסלול עם תעודה - מתאים בעיקר לתלמידים חדשים המעוניינים בקורס מסודר,
    הכולל הגשת עבודות ופרוייקט גמר. מסלול זה מעניק בסיומו תעודת מקצוע בינלאומית.
    למעשה ההבדל היחיד בין שני המסלולים זה פרויקט גמר בסוף.
    אם מגישים את פרויקט גמר - מקבלים תעודה.
    בדיקת פרויקט גמר והנפקת תעודה כרוכים בתשלום נוסף, כפי שכתוב בדף ההרשמה.

בסיום קורס ניתן לקבל תעודות הבאות:
1. תעודה של המכללה - מותנה בהגשת פרוייקט גמר בסוף הקורס
2. תעודת הסמכה בינלאומית של מיקרוסופט העולמית - מותנה במעבר מוצלח של מבחן הסמכה חיצוני של מיקרוסופט (מבחן זה מתבצע כל שבוע במרכז בחינות מורשה בתל-אביב)


מידע כללי:
1. חומר הלימוד מורכב ממאגר עצום ומסודר מאוד של סרטים מקצועיים, הניתנים לצפיה מהבית. מאגר זה כולל הרצאות מוקלטות בעברית בצורה מסודרת ע"י המרצים הטובים ביותר. רשימת הסרטים המלאה נמצאת בתפריט בצד ימין.
2. כל סטודנט במכללה מקבל שם וסיסמה לצורך גישה לשרת הקבצים שלנו.
השרת מכיל את כל התוכנות הדרושות ללימוד וכן חומר עזר
3. הקורסים מועברים בהתאם לסילבוסים של החברות המובילות: Microsoft, Cisco

מאמר מקצועי בנושא הקמת – Domain חלק ראשון
בס"ד

מאמר זה הינו מאמר העוסק בליבו הפועם של הניהול המרכזי "בקר הדומיין" – DC כאשר אנחנו חושבים ניהול מרכזי אנחנו חושבים Domain כלומר מתחם שכל הנמצא בו מנוהל וכפוף בצורה ישירה לחוקי המתחם הנקבעים על ידי שליט המתחם הלא הוא "בקר הדומיין" – DC כמו כן כל אימות בעת התחברות למערכת מבוצע אל מול רשות עליונה ולא אל מול תחנות הקצה.

ולמי מכם שכרגע עלתה המחשבה של ממלכה קטנה אכן אתם לא רחוקים מהאמת...

אז למה בכלל צריך ניהול מרכזי?

חישבו על התרחיש הפשוט הבא:

התבקשתם להגדיר שומר מסך מוגן בסיסמה שיופעל לאחר 2 דקות של חוסר פעילות ולבצע התקנה של תוכנה מסויימת ל-200 תחנות קצה (מחשבים). אומנם נכון שיכולים אתם לעבור ממחשב למחשב ולבצע זאת בצורה ידנית אך עדיין הדבר היה לוקח זמן רב כשמדובר בניהול מרכזי תחת "Domain" הדבר היה יכול להעשות תוך שניות מנקודת שליטה מרכזית אחת. לא רק זאת אלא שהמגבלה של עבודה שיתופית של עד 10 תחנות הקיימת בקבוצת עבודה אינה תקפה לגבי "Domain" ואכיפה של הגדרות אבטחה מנקודת ניהול מרכזית מבטיחה אחידות והגנה על המידע.

כמובן שקצרה היריעה מלמנות את כל היתרונות האדירים שעבודה תחת "Domain" מציעה לנו אבל רק לסיכום ההקדמה אציין כמה מהן:

• החלה של הגדרות אבטחה תוך שניות על קבוצות עצומות של מחשבים ומשתמשים.
• אימות התחברות אל מול מקום מרכזי אחד ולא אל מול תחנות הקצה, יתרון זה מעניק לנו את היכולת ליצור משתמש במיקום המרכזי ולאפשר לו עבודה אל מול כל תחנת קצה שירצה.
• הגנה על מידע ותוכן רגיש.
• ניהול מסודר ומרכזי של כלל התחנות בארגון ואפשרות הענקת שירותים מתקדמים.
• עבודה שיתופית בין משתמשים ללא הגבלה.

חשוב להבין שכשאר מחשב מצטרף למתחם – Domain מחשב זה מנקודה זו והלאה יהיה כפוף בצורה מוחלטת לחוקי הדומיין ויתרה מכך, כל פעולה ברמה ניהולית שמשתמש ירצה לבצע תדרוש אישור אדמיניסטרטיבי מצד צוות ה- Domain ו"בקר הדומיין" - DC .

ועכשיו לאחר שדנו בקצרה ביתרונות הדומיין הבה נראה כיצד מקימים אחד.

שלב הכנות הקדם להקמת דומיין:
ראשית חשוב שנבין ששרת המשמש כ"בקר דומיין" מספק שירותי אימות ושירותים נוספים וכמו כל ספק שירות מחייב שתהיה לו כתובת קבועה. במקרה שלנו כתובת IP אליה יוכלו לפנות כלל תחנות הקצה בכדי לקבל שירות בין אם מדובר באימות – אוטנטיקציה או בין אם מדובר בשירותי DNS, תארו לעצמכם מצב שבו הינכם זקוקים לשירות מסויים מהמדינה ומספר הטלפון של אותו המוקד משתנה בכל רגע נתון. במידה והמצב היה כזה לעולם לא הייתי מצליחים לקבל את השירות שלו נזקקתם וזו בדיוק הנקודה שצריכה להוביל אתכם בעת הקמת – Domain.

על מנת להעניק כתובת IP ייחודית לשרת שישמש כבקר דומיין נבצע את הפעולות הבאות:
• ניגש לתפריט ההתחל .
• נקיש בשורת החיפוש – NCPA.CPL .
• נבחר את כרטיס הרשת וניגש למאפיינים.
• נסמן את פרוטוקל TCP/IPV4 נבחר שוב מאפיינים.
• נבצע בחירה של כפתור האופציה "use the following ip address"
• נזין כתובת פנימית לדוגמה 10.0.0.1.
• תחת מקטע הרשת – subnet mask נזין 255.0.0.0.
• תחת שער ברירת מחדל – D/G נזין את כתובת הנתב (לא מחייב אלא אם כן נרצה תקשורת חיצונית אל מחוץ למקטע הרשת).
• תחת כתובת שרת ה-DNS נזין שוב את הכתובת 10.0.0.1 או לחלופין 127.0.0.1 (כתובת (LOOP BACK.

באם נרצה נוכל להזין כתובת IPV6 לדוגמה:
Fec0::1
תחת הגדרת הdns- נוכל לבצע הזנה של אותה הכתובת או לחלופין ::1 (כתובת LOOP BACK).

*במידה והחברה שבה אתם עובדים לא עושה שימוש ב- IPV6 ניתן לנקות את תיבת הסימון.

השלב הבא יהיה להגדיר שם מחשב בעל משמעות הגיונית לטובת ניהול נכון לדוגמה:
Server2008-DC-1 כלומר, שרת שעליו מותקנת גרסת 2008 המשמש כבקר דומיין ראשי.

• בכדי לשנות את שם המחשב נגיש לתפריט ההתחל ונקיש על הלחצן הימני על – computer ומשם מאפיינים.
• נבחר – Change settings.
• שוב פעם נבחר Change.
• תחת – Computer name נזין את השם הרצוי.
ובזה תמו שלבי ההכנה.

כל שנותר לעשות הוא להתחיל בתהליך, ניגש לשורת החיפוש שבתפריט ההתחלה ונקיש את הפקודה הבאה:
Dcpromo – שמשמעותה קידום שרת זה לתפקיד "בקר דומיין" - Domain controller promotion .

לאחר ההקשה יעלה לפנינו אשף הגדרת הדומיין, מכיוון שמאמר זה הינו מאמר בסיסי לא אפרט על פעילות האשף במצב מתקדם המאפשר יצירת עצים חדשים אך אם ברצונכם לחקור קצת סמנו את תיבת הסימון המאפשרת עבודה במצב מתקדם.
*בשרתי 2003 יש להקיש dcpromo /adv בכדי להגיע למצב זה.

• לאחר שהעפנו מבט חטוף בחלון קבלת הפנים נקיש הבא.
• נעבור בקצרה על האזהרה לגבי שרתי NT (שרתי 2008 יכולים לעבוד אך ורק עם שרתי 2000 ומעלה כבקרי דומיין) נקיש הבא.
• ולפנינו יופיע החלון הכי חשוב בכל התהליך – חלון יצירת הדומיין.
נוכל לראות כשתי אופציות לפנינו ושתי תתי אופציות וחשוב מאוד שנבין את ההבדל בין כל אחת ואחת מהן. לשם הסדר הטוב אני אתחיל במכוון מהאופציה התחתונה – Create a new domain in a new forst:
כאשר אנו מקימים חברה חדשה לגמרי נבחר באופציה זו, משמעות הבחירה הינה פשוט מאוד – הקמת גבול אבטחה - forest ובתוכו מתחם חדש לגמרי שישמש כרשות עליונה – root domain, המתחם הראשון ביער.
ניתן לחשוב על כך כהקמת מדינה ובתוכה עיר חדשה (העיר הראשונה במדינה) באותה המידה שלכל עיר ישנו את המתחם שלה והצוות המנהל אותה כך גם דומיינים ויערות, מכוון שאותה העיר היא הראשונה והינה עיר הבירה, עיר זו תשמש כסמכות עליונה, אומנם כאשר מדובר בדומיינים ויערות יהיה יותר נכון להשוות זאת לארה"ב, מדינות תחת רשות עליונה אחת ולכל מדינה ניהול עצמאי.

האופציה העליונה לעומת זאת היא הצטרפות למערך קיים על כל המשתמש מכך – Existing forest:
נוכל לבחור מבין שתי תתי אופציות – האחת הצטרפות כבקר דומיין נוסף בדומיין השייך ליער קיים, נפוץ מאוד במקרה ובו נרצה לספק עמידות מפני מצב אסון במידה ובקר הדומיין הראשון קורס יהיה מי שיוכל לתת מענה ושירות לעמדות הקצה ויחזיק את כל המידע הדרוש לטובת ניהול המערך ואם כבר התחלתי עם האלגוריה של מדינות אני אמשיך עם קו זה – חישבו על כך כנשיא וסגן נשיא.

תת האופציה השניה היא בעצם הקמה של דומיין נוסף ביער קיים ממש כאילו מדינה חדשה הצטרפה לארצות הברית ומפה והלאה תנהל את עצמה תוך יחסי כפיפות לרשות העליונה.

מכוון שמדובר בהקמה של חברה חדש לגמרי נבחר באופציית:
Create a new domain in a new forest

• בחלון ה- name the forest root domain נוכל לראות את השלב הבא שכל מטרתו היא להעניק שם דומיין תקין ורשמי למתחם החדש שלנו המשקף את שם החברה לדוגמה: Idosoft.local
• הסיבה לכתיבת local היא כדי לבצע הפרדה בין השם האנטרנטי של החברה לשם הפנימי וליצירת היררכיה שמית (מונע המון בעיות). כמו שכולם ודאי מכירים שמות חיצוניים – אינטרנטים בדרך כלל יסתיימו ב- com,net,IL וכיוצא בזה.
• לאחר מכן נבחר את רמת התפקוד ברמה תאגידית – forest, נוכל לבחור בין הרמות הבאות:
• 2000,2003,2008, ככל שרמת התפקוד יותר גבוהה יכולות המערכת ותמיכתה באופציות שונות תגדלנה אך בד בבד נוגבל מלצרף או לעבוד עם שרתים שגרסתם נמוכה יותר מרמת התפקוד שבחרנו כבקרי דומיין, ברוב החברות עדיין קיימים שרתי 2003 המתפקדים כבקרי דומיין ולכן ההמלצה היא לבחור את רמת תפקוד זו.
*ניתן לבחור רמת תפקוד תאגידית 2003 ורמת תפקוד במתחם מסויים בתוך התאגיד 2008 באם באותו המתחם הספציפי כלל בקרי הדומיין הינם שרתי 2008.
• החלון הבא שיופיע לפניכם הינו בחירת רמת התפקוד ברמת מתחם ספציפי בתוך התאגיד חשוב לציין שהיכולות של היער והדומיין הינן שונות בכל מה שקשור ברמות תפקוד ישנן יכולת יחודיות ברמה תאגידית וישנן יכולות יחודיות ברמת מתחם-דומיין.
ושוב הדגש החשוב ביותר הוא לבצע בחירת רמת תפקוד בהתאם לבקר הדומיין המיושן ביותר במערך וכמו כן דעו לכם שרמת תפקוד תמיד ניתן להעלות אך לא להוריד ממש כמו במספרה אם תשאלו אותי, אחרי שהשער נקצץ כבר אין מה לעשות... אז למה לא ללכת על בטוח ולקצץ לאט לאט בכל מה שקשור לבקרי דומיינים ישנים...

• בחלון הבא נוכל לבחור האם בקר זה ישמש גם כשרת DNS (מומלץ) נאשר זאת ונמשיך הלאה ונאשר את בקשת השרת.
• בחלון אחסון נתוני בקר הדומיין שלנו נעיף מבט היכן יאוחסנו הקבצים השונים וקובץ הליבה של מסד הנתונים NTDS.DIT ונאשר (ברוב התאגידים מיקום ברירת מחדל זה הוא ההמלצה הרווחת ולכן אין לשנותו).
• בחלון הסיסמה לשיקום ממצב אסון נזין סיסמה ארוכה ומאובטחת ובשום פנים ואופן לא את ססמת ההתחברות שלכם, סיסמה זו תשמש אותנו לשחזור השרת במידה והתרחשה קריסה ואובדן מידע.
*יש להגן על סיסמה זו מפאת כוחה הרב.
למצב שיחזור זה ניתן לגשת על ידי הקשת F8 בעת תהליך האתחול – BOOTING של השרת ובחירה באופציית restore mode .
• לאחר סיום התהליך יפתח לפנינו חלון ה-SUMMARY המציג לפנינו את כל ההגדרות שביצענו לפני שנורה למערכת ליישמן, עיברו על ההגדרות ובצעו בדיקה שהכל אכן הוגדר כמו שצריך במידה ולא זהו השלב ללחוץ על- back ולתקן זאת.
• לאחר שראינו שהכל אכן תקין נוכל לבצע שמירה של כלל ההגדרות לקובץ תשובות על-ידי לחיצה על – Export settings כך שפעם הבאה שנקים מערך מסוג זה נוכל פשוט להורות למערכת לעשות שימוש בתשובות מוכנות מראש מתוך קובץ זה ללא התערבות אנושית, בהחלט זמן טוב להפסקת קפה הייתי אומר.
• קובץ התשובות לא שומר ססמאות מטעמי אבטחה.
• נקיש הבא ונסמן את תיבת הסימון המורה למערכת לבצע הפעלה מחדש לאחר סיום התהליך.
• מיד לאחר שהמערכת תעלה נוכל לגשת לכלי ה- SERVER MANAGER ולהעיף מבט בדומיין שלנו דרך כלי ה- Active directory users and computers כמו כן נוכל לצרף תחנות קצה לדומיין ולנהלן בצורה מרכזית.

במאמרים הבאים נדון בצירוף תחנות לדומיין ואסטרטגיות ארגון וניהול מרכזי בצורה נכונה ונוחה, כי מחשבה אחת בהווה חוסכת המון כאב ראש בעתיד...

מאמר זה נכתב על ידי מר. עידו שדדי מרצה במכללת PRACTICU.
IDA - מנגון הזהות והגישה

בס"ד



מאמר בנושא IDA - מנגון הזהות והגישה




במאמר זה נדבר על מנגנון ה- IDA , מנגנון זה הוא מנגון הזהות והגישה הנועד בעיקרו לצורך אבטחת משאבי הארגון, כגון קבצים, דואר אלקטרוני, יישומים ומסדי נתונים.



מבנהו של ה- IDA נועד לבצע את הפעולות הבאות:

לאחסן מידע אודות המשתמשים, קבוצות, מחשבים, וזהויות אחרות זהות, בארגון שלנו ונתינת הרשאות לביצוע פעולות על אובייקטים אלו. לדוגמה, משתמש יפתח מסמכים מתיקיה משותפת בשרת ובד בבד המסמך יהיה מאובטח עם הרשאות ברשימת בקרת הגישה (ACL) כך שפעולות מסיומות שיפעיל המשתמש על אותו הקובץ יידחו באם הוגדר כך ב-ACL . חשוב לציין שאם השרת לא יכול לאמת את זהות המשתמש לא תוענק לאותו המשתמש הרשאת גישה למשאב או לקובץ שאליו רצה לפנות. עוד תכונה מאוד חשובה הינה תכונת התיעוד, בדרך כלל כל חברה תרצה לפקח ולתעד כל דבר אשר מתרחש ולכן ישנו מנגנון התיעוד " auditing" המובנה בתוך מנגון ה-IDA.

אז לפני שנקפוץ למים העמוקים בואו ונעשה הכרות כללית עם ניהול הגישה למשאבים בכלל:

גישה למסמך או לכל משאב אחר מנוהלת על ידי מערכת האבטחה המשנית של השרת, אשר משווה את זהותו של המשתמש לזהויות הרשומות ב- ACL בכדי לקבוע אם בקשתו של המשתמש לגישה או לכל פעולה אחרת (שינוי, קריאה, מחיקה) תאושר או תדחה. מחשבים, קבוצות, שירותים, ואובייקטים אחרים גם הם מבצעים פעולות ברשת, והם חייבים להיות מיוצגים על ידי זהויות. בין כלל המידע המאוחסן על כל זהות וזהות קיימים גם מאפיינים יחודיים הנועדו לזהות את האובייקט, כגון שם משתמש או מזהה האבטחה (SID) וכמובן הסיסמה עבור הזהות.

ישנן חמש טכנולוגיות עיקריות המספקות פתרונות ברמת IDA, חלקן אף מקלות על יכולת הניהול בצורה משמעותית מאוד:

ACTIVE DIRECTORY DS

טכנולוגיה זו מאפשרת ניהול מרכזי של כל האובייקטים ברשת שלנו, בין אם מדובר במחשבים, משתמשים, קבוצות, יחידות אירגוניות, מדפסות וכל מה שתוכלו להעלות על דעתכם ובמילה אחת ניהולן של כל הזהויות ממקום אחד טכנולוגיה זו גם מרכזת בתוכה את כל סיסמאות האבטחה של הארגון שלנו ולכן יש לנהוג במשנה זהירות, לא אגזים אם אומר שזהו בעצם ליבה הפועם של החברה, מנגנון זה כאשר מותקן על שרת בתצורת (FULL) מגיע עם ממשק גרפי נוח ואפשרויות מתקדמות שפשוט עושות למנהלי הרשת את החיים הרבה יותר קלים, כמו כן תוכלו לצפות בניהול שיתופים והרשאות גישה לכל אובייקט ואובייקט, אחת התכונות הנוספות לכלי זה הוא ניהול אובייקטים לפי "מדיניות" (POLICY) כך שתוכלו להכתיב ולכפות מדיניות אבטחה מסויימת מרמת אובייקט בודד ועד לקבוצות גדולות של אלפי משתמשים בהגדרה אחת בלבד.

Active Directory L D S

מנגון זה הוא בעצם אחיו הקטן והלא מפותח של מנגון ה-DS וכשאני אומר לא מפותח אין הכוונה שמנגנון זה לוקה בחסר מבחינת בנייה, מנגון זה תוכנן למטרה מסויימת ומבצע אותה בצורה מושלמת. אז מהו ולמה הוא נועד – ישנן מצבים שתוכנות מסויימת הנחוצות לארגון שבו אתם עובדים ידרשו מנוע של ACTIVE DIRECTORY על מנת לפעול, כמו תוכנות צד שלישי למינהן (נפוץ ביותר) אך אבוי לא תמיד נרצה לסכן את כל המידע הרגיש של הארגון שלנו בכך שניתן הרשאה לתוכנת צד שלישי לגשת אליו. אכן בעיה... אז זהו שלא, בדיוק למטרה זו פותח המנגנון של AD DS בגירסת ה"לייט" שלו מה שאומר מנוע של AD DS אבל ללא כל המידע הרגיש שלנו, כך שהתוכנות יעבדו בצורה חלקה ללא כל סיכון למידע הרגיש שלנו והדבר היחיד שמאוחסן ועובר רפליקציה הוא מידע הקשור לאותן התוכנות.

Active Directory CS

אירגונים רבים עושים שימוש בכלי זה בכדי ליצור רשות מאובטחת שביכולתה לבצע הנפקה של תעודות דיגיטליות שיעזרו לנו בביצוע אימות זהותם של משתמשים, ניתן לחשוב על זה בצורה דיי פשוטה ובסיסית כמו "חוגר צבאי" כך שרק מי שמחזיק בחוגר עם רמת הסיווג המתאימה יוכל לקבל הרשאת גישה למקום כזה או אחר, כמובן שבמציאות ישנם הרבה רבדים ושימושים רבים ונרחבים ביותר אך רק לטובת ההבנה של הרעיון נתתי דוגמה פשוטה יחסית. כחלק ממסגרת העבודה על תשתית מבוססת מפתחות ציבוריים (PKI) שתפקידה הוא לבצע חיבור בין זהותו של האדם, המכשיר, או אפילו השירות להגיב למפתח הפרטי המתאים לו והייחודי לו נוכל להיות בטוחים שאכן לא מדובר בנסיון זיוף של זהות. בתעודות ניתן להשתמש בכדי לאמת משתמשים מחשבים, לספק אימות מבוסס אינטרנט (כמו כן כרטיס חכם תומך גם הוא באימות), תמיכה ביישומים, כולל רשתות אלחוטית מאובטחת, רשתות וירטואליות פרטיות(VPNs) פרוטוקול אבטחת אינטרנט (IPSEC) ,ביצוע הצפנת קבצים EFS- וכמובן חתימות דיגיטליות. מנגון זה מעניק לנו את היכולות להנפיק ולנהל בצורה מאובטחת תעודות דיגטליות כמו כן ניתן להשתמש ב- AD CS בכדי לספק שירותים אלה לארגונים חיצוניים כמובן שאם נרצה לבצע זאת יחוייב שהשרת שלנו יחובר ל- CA חיצוני, בסופו של דבר שם המשחק הוא להוכיח בצורה חד משמעית ובלתי ניתנת לערעור שאכן אתה מי שאת טוען שאתה (אימות) וכאן נכנסות התעודות הדיגיטליות לתמונה.

Active Directory Federation Services

מנגון זה מאפשר לנו ליצור ולעבוד עם מנגון ה-IDA בקנה מידה רחב בהרבה בין ארגונים שונים ואף עם מערכות הפעלה שונות בין אם מדובר בסביבת "חלונות" ובין אם מדובר במערכת הפעלה אחרת, הרעיון מאחורי מנגון זה הוא בעצם היכולת ליצור שיתוף עבודה בין חברות שנות מבלי לפגוע ברמת האבטחה של אף אחת מהן, כלומר, משתמשים מחברה X יוכלו לעבור אימות על מערכת בחברה Y מבלי שהחברות יצטרכו לחלוק את זהויות העובדים הרשומות במערכותיהן אחת עם השניה לא רק זאת אלא משתמשים שעברו אימות תחת מערכת אחת יוכלו בצורה מיידית לגשת למערכת האחרת מבלי לעבור אימות נוסף, למרות שהדבר נשמע טריוואלי דעו לכם שכשמדובר בקנה מידה רחב הדבר חוסך המון פעילות אדמיניסטרטיבית.

Active Directory RMS

עד כה דיברנו על אימות אימות ואימות אבל מה קורה כשאובייקט מסויים כבר עבר את שלב האימות והגיע לשלב הגישה?! אז בטח ובטח שתחשבו לעצמכם אין שום בעיה, הרי אין סיבה לדאגה המשתמש (לדוגמה) הוא אדם שאנו סומכים עליו הלא כן?! אז איך אומרים ברוב המקרים זה ממש לא נכון, עצם העובדה שהמשתמש אומת לא בהכרח אומרת שאתם רוצים להעניק לו גישה מלאה והרשאות מלאות, תארו לכם מצב שבו פקיד/ה יוכלו לגשת לקבצים המסווגים ביותר בחברה ולעשות בהם ככל העולה על רוחם... אני מניח שהבנתם את התמונה הכללית, אז נכון ישנם שיבואו ויגידו בשביל זה קיימת מערכת ה- ACL שכל תפקידה הוא בעצם לקבוע לאיזה משתמש תהיה זכות גישה לקובץ כזה או אחר והאם יוכל רק לקרוא אותו או לבצע פעולות נוספות, אבל מה אם תרצו לבצע הגדרות הרבה יותר נקודתיות... כמו לדוגמה משתמש יוכל לקורא קובץ מסויים אך לא יוכל להדפיסו וכאן בדיוק נכנסת לתמונה מערכת ה- RMS שלנו מערכת ניהול ההרשאות, המאפשרת לנו בצורה פשוטה לאשר רק את מה שאנו רוצים לאשר ולא לתת הרשאות גורפות העלולות לפגוע בבטחון המידע היקר שלנו.

אז כמו שראיתם ה- IDA הינו מנגון חכם ובעצם מעורב כמעט בכל אספקט של עבודה עם שרתי מיקרוסופט ובכלל.

כמובן שקצרה היריעה מלהסביר ולפרט לעומקם של דברים אך את המושג הכללי בהחלט קיבלתם והכל בסופו של דבר מתחיל מהבנת הרעיון הבסיסי .

מאמר זה נכתב על ידי מר. עידו שדדי, מרצה בכללת PRACTICU.