Cinco funções FSMO no Active Directory

Para resolver uma falha no Active Directory, a Microsoft dividiu as responsabilidades de um DC em cinco funções que, unidas formam um sistema AD completo
Emilia Bertolli
2 minuto de leitura
Ultima atualização 11 de Abril de 2022

O Active Directory (AD) é o padrão para serviços de autenticação de domínio corporativo desde seu nascimento, no final de 1999 (no Windows Server 2000). Desde então, vários aprimoramentos e atualizações foram feitos para torna-lo o sistema de autenticação estável e seguro que conhecemos hoje.

Em sua infância, o AD tinha algumas falhas gritantes. Se você tivesse vários controladores de domínio (DC) em seu domínio, eles disputariam sobre qual DC faria as alterações, causando erros. Para acabar com o problema, a Microsoft implementou o “último escritor ganha”, e isso se mostrou tanto como algo bom como ruim, afinal, se houver erro, pode quebrar todas as permissões.

Em seguida, a Microsoft implementou um Modelo de Domínio Único para o AD. Um DC que poderia fazer alterações no domínio, enquanto o restante simplesmente atendia a solicitações de autenticação. No entanto, quando o DC mestre único é desativado, nenhuma alteração pode ser feita no domínio até que ele seja ativado novamente.

Para resolver mais essa falha, a Microsoft separou as responsabilidades de um controlador de domínios em várias funções. Os administradores distribuem essas funções entre vários DCs e, caso um deles esteja desativado, outro pode assumir a tarefa.

A Microsoft chama esse paradigma de Flexible Single Master Operation (FSMO).

Quais são os papéis do FSMO?

A empresa dividiu as responsabilidades de um DC em cinco funções separadas que, quando unidas, formam um sistema AD completo.

As cinco funções do FSMO são:

Mestre de esquema – um por floresta
A função é gerenciar a cópia de leitura-gravação do seu esquema do Active Directory. O esquema do AD define todos os atributos – como o ID do funcionário, número de telefone, endereço de e-mail e nome de logon – que podem ser aplicados a um objeto no banco de dados do AD.

Domain Naming Master – um por floresta
Garante que não seja criado um segundo domínio na mesma floresta, com o mesmo nome de outro já criado. É o mestre dos seus nomes de domínio. Como a criação de novos domínios não é feito com frequência, é provável que esse domínio resida no mesmo controlador de domínio com outro papel.

Mestre de ID Relativo – um por domínio
Atribui blocos de identificadores de segurança (SID) a diferentes DCs que podem ser usados em objetos recém-criados. Cada objeto no AD tem um SID, e os últimos dígitos do SID são a parte relativa. Para impedir que vários objetos tenham o mesmo SID, o Mestre de ID Relativo concede a cada DC o privilégio de atribuir determinados SIDs.

Emulador de controlador de domínio primário (PDC) – um por domínio
É o DC autoritário no domínio. O emulador de PDC responde a solicitações de autenticação, altera senhas e gerencia objetos de diretiva de grupo. É o emulador de PDC que diz a todos que horas são.

Mestre de infraestrutura – um por domínio
Tem a função de traduzir globalmente os identificadores exclusivos (GUID), SIDs e nomes distintos (DN) entre domínios. Se houver vários domínios na floresta, o mestre de infraestrutura é o tradutor que vive entre eles. Se o mestre de infraestrutura não realizar seu trabalho corretamente, você encontrará SIDs no lugar de nomes resolvidos em suas listas de controle de acesso (ACL)

O FSM dá a certeza de que seu domínio será capaz de desempenhar sua função principal de autenticar usuários e permissões sem interrupção (com advertências padrão, como a rede ficando ativa).

É importante monitorar o AD para evitar ataques de força bruta ou tentativas de alterações de privilégios – dois vetores comuns de ataque para roubo de dados.

Quer ver como fazer isso? Nós podemos te mostrar. Solicite uma demonstração para saber como a Varonis protege o AD contra ameaças internas e externas.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

solução-datadvantage-da-varonis-facilita-a-implementação-do-controle-de-acesso-baseado-em-função-(rbac)-como-medida-de-segurança-de-dados
Solução DatAdvantage da Varonis facilita a implementação do Controle de Acesso Baseado em Função (RBAC) como medida de segurança de dados
O Controle de Acesso Baseado em Função (RBAC) é uma medida de segurança de dados importante para evitar que usuários tenho acesso à “áreas indevidas” de uma rede corporativa. Saiba como a Solução DatAdvantage da Varonis facilita a implementação do RBAC.
o-que-é-uma-floresta-do-active-directory?
O que é uma Floresta do Active Directory?
Uma floresta do Active Directory (AD) é o contêiner mais lógico superior em uma configuração do AD
varonis-threat-labs-descobre-vulnerabilidades-de-sqli-e-falhas-de-acesso-no-zendesk
Varonis Threat Labs descobre vulnerabilidades de SQLi e falhas de acesso no Zendesk
O Varonis Threat Labs encontrou uma vulnerabilidade de injeção de SQL e uma falha de acesso lógico no Zendesk Explore, o serviço de geração de relatórios e análises da popular solução de atendimento ao cliente Zendesk.
os-12-requisitos-do-pci-dss:-lista-de-verificação-de-conformidade-4.0
Os 12 requisitos do PCI DSS: lista de verificação de conformidade 4.0
O PCI DSS é uma estrutura projetada para proteger toda a cadeia de valor do cartão de pagamento