355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 37)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 37 (всего у книги 91 страниц)

G P O д л я п р и м е н е н и я ко в с е м к о м п ь ю т е р а м в подразделении NYC.

• У п р а ж н е н и е 4 И с п о л ь з у й т е М о д е л и р о в а н и е результирующей политики

( R S o P ) ( R e s u l t a n t S e t of Policy ( R S o P ) Modeling) и убедитесь, что группа

А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) содержит группы SYS_Clients_Admins

и S Y S _ N Y C _ A d m i n s . И н с т р у к ц и и н а х о д я т с я в у п р а ж н е н и и 3 з а н я т и я 1.

Е с л и у в а с есть т е с т о в ы й к о м п ь ю т е р D E S K T O P l O l , присоединенный к до-

мену, и с п о л ь з у й т е и н с т р у к ц и и из опционального упражнения 4 занятия 1,

ч т о б ы в о й т и на к о м п ь ю т е р и подтвердить членство группы Администра-

т о р ы ( A d m i n i s t r a t o r s ) . Н а м а ш и н е D E S K T O P l O l группа Администрато-

ры ( A d m i n i s t r a t o r s ) б о л ь ш е не с о д е р ж и т группу Администраторы домена

( D o m a i n A d m i n s ) .

Эти у п р а ж н е н и я п о х о ж и на у п р а ж н е н и я з а н я т и я 1, однако есть два важных

отличия. В о – п е р в ы х , в у п р а ж н е н и и 2 используется параметр Члены этой груп-

пы ( M e m b e r s Of T h i s G r o u p ) п о л и т и к и групп с ограниченным доступом, кото-

рый у д а л я е т г р у п п у А д м и н и с т р а т о р ы домена ( D o m a i n Admins) и локальную

группу А д м и н и с т р а т о р ы (Administrators). Эта методика является оптимальной,

поскольку группа А д м и н и с т р а т о р ы домена д о л ж н а применяться только для

а д м и н и с т р и р о в а н и я с л у ж б ы каталогов и контроллеров домена, а не для универ-

сальной с и с т е м н о й поддержки. Во-вторых, на занятии 1 вы задействовали груп-

повую политику, чтобы добавить группы Справка и Поддержка NYC непосредс-

твенно в г р у п п у А д м и н и с т р а т о р ы (Administrators) клиентских компьютеров.

На э т и х з а н я т и я х вы д о б а в и л и в группу клиентских систем Администраторы

( A d m i n i s t r a t o r s ) п р о м е ж у т о ч н ы е г р у п п ы SYS_Clients_Admins и SYS_NYC_

Admins, так что г р у п п ы С п р а в к а и Поддержка NYC все еще являются членами,

хоть и косвенно. П р е и м у щ е с т в о косвенной структуры состоит в том, что если

другие г р у п п ы д о л ж н ы быть ч л е н а м и группы Администраторы (Administra-

tors), то не п о т р е б у е т с я и з м е н я т ь п о л и т и к и и конфигурацию, – достаточно

добавить их в л о к а л ь н у ю группу в домене. Если, к примеру, вы развертываете

приложение, которому н е о б х о д и м ы локальные административные привилегии

на всех к л и е н т с к и х машинах, работать с каждой машиной и изменять объекты

G P O не п о н а д о б и т с я . В э т о м случае добавьте учетную запись приложения

в группу S Y S _ C l i e n t s _ A d m i n s . Аналогичным образом команда аудиторов, на-

значенная д л я анализа всех компьютеров в Ныо-Йорке, добавляется в группу

SYS_NYC_Admins. Н и к а к и х и з м е н е н и й в к о н ф и г у р а ц и ю безопасности или

объекты G P O вносить не требуется.

[ 362 Параметры групповой политики

Глава 7

Настройка безопасности

Необходимо реализовать к о н ф и г у р а ц и ю б е з о п а с н о с т и , а н а л о г и ч н у ю к о н ф и -

гурации в сценарии 2. Просмотрите сценарий, п р е ж д е чем п р о д о л ж и т ь . Д л я

того чтобы выполнить у п р а ж н е н и я в Active D i r e c t o r y , с о з д а й т е с л е д у ю щ и е

объекты:

• подразделение первого у р о в н я А д м и н и с т р а т о р ы с д о ч е р н и м подразделе-

нием Группы администраторов;

• группа Администраторы серверов HR в п о д р а з д е л е н и и Группы админис-

траторов;

• подразделение первого у р о в н я Группы;

• группы Кадры в подразделении Группы.

Кроме того, потребуется папка с именем Ж а л о в а н и е – с о з д а й т е ее на диске

С машины SERVER01.

• Упражнение i В оснастке Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates)

создайте новый шаблон безопасности с и м е н е м с е р в е р H R . В у з л е Локаль-

ные п о л и т и к и П о л и т и к а аудита (Local P o l i c i e s A u d i t P o l i c y ) о т к о н ф и г у -

рируйте политику Аудит д о с т у п а к о б ъ е к т а м ( A u d i t O b j e c t Access) д л я

аудита событий успеха и отказа, а т а к ж е п о л и т и к у Аудит и с п о л ь з о в а н и я

привилегий (Audit Privilege Use) д л я аудита с о б ы т и й успеха. В узле Группы

с ограниченным доступом ( R e s t r i c t e d G r o u p s ) д о б а в ь т е н о в у ю п о л и т и к у

групп с ограниченным доступом д л я г р у п п ы А д м и н и с т р а т о р ы (Adminis-

trators), которые определяют в п а р а м е т р е Ч л е н ы э т о й г р у п п ы ( M e m b e r s

Of This Group) группу А д м и н и с т р а т о р ы с е р в е р о в H R . В о с н а с т к е Active

Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And Com-

puters) запомните текущее членство г р у п п ы А д м и н и с т р а т о р ы (Administra-

tors) в подразделении Builtin, чтобы в о с с т а н о в и т ь его п о с л е в ы п о л н е н и я

упражнения. Сохраните шаблон С е р в е р H R , щ е л к н у в его п р а в о й кнопкой

мыши и выполнив команду С о х р а н и т ь ( S a v e ) .

• Упражнение 2 В сценарии 2 р е к о м е н д о в а л о с ь в р у ч н у ю к о н ф и г у р и р о в а т ь

разрешения и элементы аудита папки Ж а л о в а н и е . В W i n d o w s есть полити-

• ки файловой системы, которые п о з в о л я ю т к о н ф и г у р и р о в а т ь разрешения

и элементы аудита так, чтобы не н а с т р а и в а т ь их в р у ч н у ю и не применять

повторно конфигурацию безопасности с п о м о щ ь ю п о л и т и к и . В шаблоне

безопасности Сервер I i R щелкните п р а в о й к н о п к о й м ы ш и узел Ф а й л о в а я

система (File System) и в ы п о л н и т е к о м а н д у Д о б а в и т ь ф а й л ( A d d File).

В текстовое поле Папка ( F o l d e r ) о т к р ы в ш е г о с я д и а л о г о в о г о окна введи-

те путь С:Жалование и щ е л к н и т е О К . В д и а л о г о в о м о к н е Безопасность

базы данных (Database Security) у д а л и т е все э л е м е н т ы и добавьте разре-

шение Полный доступ (Full C o n t r o l ) д л я г р у п п ы К а д р ы . Это д о л ж н о быть

единственное примененное разрешение. Щ е л к н и т е к н о п к у Дополнительно

(Advanced) и перейдите на в к л а д к у Аудит ( A u d i t i n g ) . Добавьте элемент

аудита для группы Все (Everyone), к о т о р ы й в ы п о л н я е т аудит отказа пол-

ного доступа. Добавьте второй элемент аудита д л я группы Администраторы

(Administrators), который в ы п о л н я е т аудит успешного п о л у ч е н и я полного

Пробный экзамен 363

доступа. З а к р о й т е все д и а л о г о в ы е окна и п р и м и т е все параметры по умол-

чанию. С о х р а н и т е ш а б л о н С е р в е р H R , щ е л к н у в его правой кнопкой мыши

и в ы п о л н и в к о м а н д у С о х р а н и т ь (Save).

• У п р а ж н е н и е 3 В о с н а с т к е А н а л и з и н а с т р о й к а безопасности (Security

Configuration and Analysis) откройте новую базу данных с именем Конфигу-

р а ц и я сервера H R . И м п о р т и р у й т е ш а б л о н Сервер MR, созданный в упраж-

н е н и я х 1 и 2. щ е л к н и т е п р а в о й кнопкой м ы ш и оснастку Анализ и настройка

безопасности и в ы п о л н и т е к о м а н д у А н а л и з компьютера (Analyze Computer

Now). Щ е л к н и т е О К . П р о а н а л и з и р у й т е т р и узла параметров безопасности,

в к о т о р ы е в н е с е н ы м о д и ф и к а ц и и : П о л и т и к а аудита (Audit Policy), Группы

с о г р а н и ч е н н ы м д о с т у п о м ( R e s t r i c t e d G r o u p s ) и Ф а й л о в а я система (File

System). Л о к а л и з у й т е о т л и ч и я м е ж д у т е к у щ и м и параметрами компьютера

и п а р а м е т р а м и в ш а б л о н е .

• У п р а ж н е н и е 4 Щ е л к н и т е п р а в о й к н о п к о й м ы ш и Анализ и настройка

безопасности ( S e c u r i t y C o n f i g u r a t i o n and Analysis) и выполните команду

Н а с т р о и т ь к о м п ь ю т е р ( C o n f i g u r e C o m p u t e r Now). Щелкните ОК. Проверь-

те в н е с е н н ы е и з м е н е н и я , п р о с м о т р е в членство группы Администраторы

( A d m i n i s t r a t o r s ) в п о д р а з д е л е н и и Builtin, а также параметры аудита папки

С : Ж а л о в а н и е .

В о с с т а н о в и т е и с х о д н ы х ч л е н о в г р у п п ы Администраторы (Administrators),

которых и с п о л ь з о в а л и , когда в ы п о л н я л и упражнение 1. Если вы не записали

исходное членство группы, убедитесь, что в группу администраторов включены

группы А д м и н и с т р а т о р ы п р е д п р и я т и я (Enterprise Admins) и Администраторы

домена ( D o m a i n A d m i n s ) .

Пробный экзамен

На п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е представлено несколько вариантов

тренировочных тестов. Проверка з н а н и й выполняется или только по одной теме

с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и по всем экзаменационным темам.

Тестирование м о ж н о о р г а н и з о в а т ь т а к и м образом, чтобы оно проводилось как

экзамен, л и б о ' н а с т р о и т ь на р е ж и м обучения. В последнем случае вы сможете

•после к а ж д о г о своего о т в е т а на в о п р о с просматривать правильные ответы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А

8

Проверка ПОДЛИННОСТИ

Занятие 1. Настройка политики паролей и блокировки учетных записей 365

Занятие 2. Аудит проверки подлинности 377

Занятие 3. Настройка контроллеров RODC 384

Когда пользователь входит в домен Active Directory, он вводит свое имя и па-

роль, а клиент применяет эти учетные д а н н ы е д л я проверки подлинности поль-

зователя, то есть подтверждения и д е н т и ф и к а ц и и объекта пользователя в соот-

ветствии с его учетной записью в Active Directory. В главе 3 рассказывается, как

создавать учетные записи пользователей, как у п р а в л я т ь и м и и их свойствами,

в частности паролями. В этой главе речь пойдет о к о м п о н е н т а х д л я проверки

подлинности на стороне домена, в том числе о п о л и т и к а х , определяющих тре-

бования к паролям, об аудите операций, с в я з а н н ы х с п р о в е р к о й подлинности.

Мы также рассмотрим такие новые элементы, как объекты параметров паро-

ля PSO (Password Settings O b j e c t ) и к о н т р о л л е р ы д о м е н а т о л ь к о д л я чтения

R O D C (Read-Only Domain Controller).

Темы экзамена:

• Создание и поддержка объектов Active Directory.

• Настройка политики учетных записей.

• Конфигурирование политики аудита с п о м о щ ь ю объектов G P O .

• Настройка инфраструктуры Active Directory.

о Конфигурирование репликации Active Directory.

• Настройка дополнительных ролей сервера Active Directory,

о Конфигурирование контроллера R O D C .

Прежде всего

Для выполнения упражнений этой главы в домене contoso.com должен быть

установлен контроллер домена S E R V E R 0 1 .

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 6 5

История и з ж и з н и

Дэн Холме

Работая с клиентами, реализующими доменные службы Active Directory (AD DS),

я должен постоянно соблюдать баланс между необходимостью в высоких уров-

нях безопасности и требованиями быстрого решения бизнес-задач. В версиях

Windows до Windows Server 2008 я все время оказывался в одной из двух ситу-

аций, когда такой баланс было довольно сложно установить. Первая ситуация

относится к безопасности учетных записей пользователей с высокими уровнями

привилегий на предприятии. Такие учетные записи представляют интерес для

хакеров, поэтому их нужно хорошо защищать, в частности, задавая длинные и

сложные пароли. В предыдущих версиях Windows только политика паролей мог-

ла применяться ко всем учетным записям в домене. Поэтому мне приходилось

задействовать строгие ограничения паролей для всех пользователей в домене, что

никогда не приветствовалось, или просить администраторов реализовать более

строгую политику, но без возможности согласования. В Windows Server 2008

появились гранулированные политики паролей, с помощью которых можно

назначать пароли с различными уровнями сложности и применять их к группам

или пользователям в домене.

В филиалах также возникали проблемы: нужно было найти баланс меж-

ду быстрой и надежной проверкой подлинности пользователя и требованием

централизовать управление физической безопасностью контроллеров доменов.

Размещение контроллера домена в филиале может значительно повысить про-

изводительность для пользователей филиала, но такой контроллер физичес-

ки будет менее защищен, чем в центре данных компании. Система Windows

Server 2008 может функционировать как контроллер домена только для чтения,

выполняя проверку подлинности пользователей, но не храня все их учетные

данные; так уменьшается угроза безопасности при хищении контроллера домена

в филиале.

Если вы достаточно долго работаете с Active Directory, то наверняка по до-

стоинству оцените гранулированные политики паролей и контроллеры домена

только для чтения. Если же вы новичок в Active Directory, то оцените удобство

работы с этими новыми компонентами.

Занятие 1. Настройка политики паролей

и блокировки учетных записей

В домене Windows Server 2008 пользователям необходимо изменять свои паро-

ли каждые 42 дня, а пароль должен содержать как минимум семь символов и

соответствовать требованиям сложности, включая использование трех из четы-

рех элементов написания: верхнего регистра, нижнего регистра, цифр и особых

символов. Эти п о л и т и к и максимального срока действия, длины и сложности

паролей – первые, с которыми администраторы и пользователи сталкивают-

ся в домене Active Directory. Параметры по умолчанию редко настраиваются

точно по требованиям безопасности в организации. Ваше предприятие может

' 366

Проверка подлинности

Глава 8

требовать изменять пароли чаще и л и реже. На д а н н о м з а н я т и и мы рассмот-

рим, как реализовать п о л и т и к и п а р о л е й и б л о к и р о в к и на п р е д п р и я т и и путем

модификации объекта групповой п о л и т и к и D e f a u l t D o m a i n Controller.

Из каждого правила есть и с к л ю ч е н и я , и в в а ш е й п о л и т и к е п а р о л е й также

могут предполагаться и с к л ю ч е н и я . Ч т о б ы п о в ы с и т ь у р о в е н ь б е з о п а с н о с т и

домена, можно задать более строгие т р е б о в а н и я к п а р о л я м д л я у ч е т н ы х запи-

сей, назначаемых администраторам, з а п и с е й , и с п о л ь з у е м ы х т а к и м и службами,

как Microsoft SQL Server, или д л я у ч е т н ы х з а п и с е й , п р и м е н я е м ы х у т и л и т о й

резервного копирования. В п р е д ы д у щ и х в е р с и я х W i n d o w s эти в о з м о ж н о с т и

отсутствовали: ко всем учетным з а п и с я м в д о м е н е п р и м е н я л а с ь одна п о л и т и к а

паролей. На этом занятии мы обсудим п р и н ц и п ы н а с т р о й к и нового компонента

гранулированных политик паролей в W i n d o w s S e r v e r 2008, к о т о р ы й п о з в о л я е т

задавать различные политики п а р о л е й д л я п о л ь з о в а т е л е й и г р у п п в домене.

Изучив материал этого занятия, вы сможете:

/ Реализовать политику паролей домена.

/ Настроить и назначить гранулированные политики паролей.

Продолжительность занятия – о к о л о 45 мин.

Политики паролей

Политика паролей домена к о н ф и г у р и р у е т с я о б ъ е к т о м G P O , в о б л а с т ь дейс-

твия которого попадает домен. В узле К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и

Конфигурация WindowsnapaMeTpbi б е з о п а с н о с т и П о л и т и к и учетных записей

Политика паролей (Computer C o n f i g u r a t i o n P o l i c i e s W i n d o w s SettingsSecurity

SettingsAccount PoliciesPassword Policy) этого объекта G P O м о ж н о отконфи-

гурировать параметры политики, о п р е д е л я ю щ и е т р е б о в а н и я к п а р о л я м . Узел

Политика паролей (Password Policy) п о к а з а н на р и с . 8-1.

СЕЯ

шшяшшш

УОШ

Коьач £е*та* Вид Справка

U '

' ГЪпллл Oe'eil DoneoPoki' [SERVtR01.2*i»:.wn] »

I Параметр полтги-Qi..

рЦ Кэ^хуэаша кап-ыотерл

.; Еесги «урчал паролей

Макамлым) срок ло'стия пара-»

'/'. Коиеиг«аи«гр(f^tim

. М»««доопвя о гъня пароля

я ^ ЮХм-ypauu Vfridoni

,. г*<н>«альмы'| скх действия пароля

Пароль «оа«ен отве-4ат

Б JJJ П»р»«1рм6е»п«юои

э Tpe5oea^t»« с/

i *ра»г»ь плрогы, млолБзуя обратное и»

5 Tj (VVrVJ

1 „р Полтш блом-ровчн учетной

В Полл ика Kerberos

; Ж|«п£Л событм)

д Суп&тъ* службы

3 гдоовмсмаеяа

£ Гслгм* гооеодмеД сри СЕЙ

Браидиамэр V/odcv.t в pew*

Пымп«л д.»лет черв амол сетей

4 Пымпжи беслроводхм сегн (TFFF {

3 Пслт«М СТкртТОГО КЛОЧв

Пс/Mi «метра-»»**»*-» лаюлвил

j Nrtnort Аосе* Protection

g, Усгылм V -6екл»огти на "Qi |Г»йу|

Рис. 8-1. Политика паролей в объекте GPO

Занятие 1

Настройка политики паролей и блокировки учетных записей

367

Д е й с т в и е э т и х п о л и т и к м о ж н о понять, проследив ж и з н е н н ы й цикл поль-

з о в а т е л ь с к о г о п а р о л я . П о л ь з о в а т е л ь д о л ж е н и з м е н и т ь свой пароль в тече-

ние к о л и ч е с т в а д н е й , у к а з а н н о г о п а р а м е т р о м п о л и т и к и Максимальный срок

д е й с т в и я п а р о л я ( M a x i m u m Password Age). Когда пользователь вводит новый

пароль, его д л и н а с р а в н и в а е т с я с к о л и ч е с т в о м знаков в политике Минималь-

ная д л и н а п а р о л я ( M i n i m u m Password L e n g t h ) . Если включена политика Па-

роль д о л ж е н с о о т в е т с т в о в а т ь т р е б о в а н и я м с л о ж н о с т и (Password Must Meet

Complexity R e q u i r e m e n t s ) , н о в ы й п а р о л ь д о л ж е н содержать символы хотя бы

трех из ч е т ы р е х т и п о в :

• л а т и н с к и е з а г л а в н ы е б у к в ы ( о т А до Z);

• л а т и н с к и е с т р о ч н ы е б у к в ы ( о т а до z);

• ц и ф р ы ( о т 0 до 9);

• о т л и ч н ы е от б у к в и ц и ф р з н а к и ( н а п р и м е р , !, $, #, %).

Если н о в ы й п а р о л ь соответствует требованиям, он пропускается через мате-

матический а л г о р и т м , п р е о б р а з у ю щ и й п а р о л ь в так называемый хэш-код. Этот

код у н и к а л е н , с л е д о в а т е л ь н о два п а р о л я не могут быть преобразованы в один

хэш-код. А л г о р и т м , и с п о л ь з у е м ы й д л я создания хэш-кода, называется одно-

сторонней ф у н к ц и е й . П а р о л ь н е л ь з я и з в л е ч ь из хэш-кода с помощью функции

обратного п р е о б р а з о в а н и я . П о с к о л ь к у в Active Directory хранится хэш-код,

а не сам пароль, у р о в е н ь б е з о п а с н о с т и у ч е т н о й записи повышается.

Иногда п р и л о ж е н и я м т р е б у е т с я п р о ч и т а т ь пароль пользователя. Это не-

в о з м о ж н о сделать, п о с к о л ь к у по у м о л ч а н и ю в Active Directory хранится толь-

к о х э ш – к о д . Д л я п о д д е р ж к и т а к и х п р и л о ж е н и й можно включить политику

Х р а н и т ь п а р о л и , и с п о л ь з у я о б р а т и м о е ш и ф р о в а н и е (Store Passwords Using

Reversible E n c r y p t i o n ) . Эта п о л и т и к а по умолчанию не включена, но если вклю-

чить ее, п о л ь з о в а т е л ь с к и е п а р о л и будут х р а н и т ь с я в зашифрованной форме и

п р и л о ж е н и е с м о ж е т р а с ш и ф р о в а т ь их. О б р а т и м о е шифрование значительно

снижает у р о в е н ь б е з о п а с н о с т и д о м е н а – и м е н н о поэтому по умолчанию оно

отключено. С л е д у е т с т а р а т ь с я и с к л ю ч а т ь п р и л о ж е н и я , которым требуется

п р я м о й д о с т у п к п а р о л я м .

Кроме того, в Active D i r e c t o r y может проверяться кэш предыдущих хэш-ко-

дов пользователей, чтобы в качестве нового пароля пользователь не мог ввести

старый. Количество старых паролей, с которыми сопоставляется новый пароль,

определяется п о л и т и к о й Вести ж у р н а л паролей (Enforce Password History). По

умолчанию в W i n d o w s п о д д е р ж и в а ю т с я 24 предыдущих кэш-кода.

Если пользователь р е ш и л повторно использовать пароль после истечения

срока его д е й с т в и я , он с м о ж е т п о п р о с т у 25 раз изменять пароль на основе

ж у р н а л а п а р о л е й . Ч т о б ы п р е д о т в р а т и т ь это, п о л и т и к а Минимальный срок

действия п а р о л я ( M i n i m u m Password Age) определяет период времени между

изменением паролей. По у м о л ч а н и ю он составляет один день. Поэтому чтобы

применять пароль повторно, пользователю придется ежедневно менять его в те-

чение 25 дней. Такой метод с д е р ж и в а н и я выглядит достаточно устрашающе.

К а ж д ы й из этих п а р а м е т р о в п о л и т и к и в л и я е т на пользователя, который

меняет свой пароль. Э т и параметры не оказывают влияния на администратора,

применяющего команду И з м е н и т ь пароль (Reset Password), чтобы модифици-

ровать пароль пользователя.

' 3 6 8 Проверка подлинности

Глава 8

Политики блокировки учетной записи

Злоумышленник может получить доступ к р е с у р с а м в д о м е н е , о п р е д е л и в под-

линное и м я пользователя и пароль. И м е н а п о л ь з о в а т е л е й о т н о с и т е л ь н о лег-

ко идентифицировать, поскольку б о л ь ш и н с т в о о р г а н и з а ц и й с о з д а ю т имена

пользователей на основе адреса э л е к т р о н н о й п о ч т ы с л у ж а щ е г о , и м е н и , фами-

лии, инициалов и л и идентификаторов с о т р у д н и к о в . З н а я и м я пользователя,

злоумышленник может определить п р а в и л ь н ы й п а р о л ь , у г а д а в его и л и мно-

гократно набирая различные к о м б и н а ц и и с и м в о л о в и л и с л о в п р и входе, пока

не будет подобран правильный пароль.

Такому типу атаки легко противостоять, о г р а н и ч и в р а з р е ш е н н о е количество

некорректных попыток входа. Д л я этого с л у ж а т п о л и т и к и б л о к и р о в к и учетной

записи. Эти политики хранятся в узле П о л и т и к а б л о к и р о в к и у ч е т н о й записи

(Account Password Policy) объекта G P O , как п о к а з а н о на рис. 8-2.

Ксмял, Действие &4Л Ovae«.s

v * " a ~ ' 1 ^ J ' . I

' По

Пл

ок

лт^

к »

^ C«

C f

«ait

a Cv

C r

vjr Po

Pk

oy

k i.c

o

c n

o tu

n s

ue от

о Щ

т

Политик – | П*рли«тр ГСЛИТИгИ

В К

в

Кф

в с

фу

с р

у л

р л

л я

л кс»

к гы

» о

ыте

о р

т а

р

Бреия аэ сброса счетчика блокировки Не ог»зсаелемо

. Пороговое 1нвчен.«е блэа<роеки 0 оимбок входе е систему

• :

• J

: 'Со

С ф

о *

ф '

* УР

&

У А

Р Я

& rp

«

p -p

« a

pr»

a i

»

.'и;Г>?одоя«ителелостъбгою1ровкн учетной. Не определено

3 К

он

Ко

К ф

н и

фгу

ир

г а

у ц

р и

ця

и Wnd

W o

n w

d s

w

: i

: Cu

Ce

u*

e*

**

» (м

гу

м с

ук

с/з

ка

/ е

ае

ер

еш

р е

шт

е»

т*

»}

*

6 j|

6 l

j|

l Пар

П а

а м

р ет

мр

е ы

тр 6ею

6 п

ю»

п:н

» о

нст

о и

с

с ,Дз

Д По

П/и

о т

иа

т»

а уч

ует

ч н

е ы

н х

ы мо

мд

ое

дм

е

Ж

Ж 'Vr

V По

Пп

о ч

п.к

ч а

к пар

п о

рл

оей

л

'•

• Пол

П и

ол

о т*

и *

т »

**

* бд

бо

даф

о о

фо

ок

о»

к уч

ует

ч н

е ая

н у

• М

• fb»"

fb»" Ker

Kb

e er

bc

ee

r

Ж

Ж Лок

Л а

о л

к ь

а н

л ы

н е

ы пол

п и

ол

о ти

и ки

ик

и

(5 J.

Жур

Ж -

уа

рл

– со

6

с ы

о6

о т!«

ыт

ы '<

5

в ел

е Гр

Гу

ргы

у с

ы

с ог

орл

р ^

лч

^ с

ч-м

с »

м "

» ао

ст

о у

с п

уо

пн

о

S

S а,а

, Си

С с

ит

се

тгм

е *

м сл

у

с ж

лу

л бы

жб

ж

В -j

– ва

вй

ал

йо

лв

оа

вя

ас

яи

сс

ит

сеп

еа

п

S

S По

Пл

оо

лж

о и

ж np

n a

pe

aio

e i-

oa

i ia се

сти

е (ЕЕ

Е 80

8 1

0 .:

1

'*'* бев

б и

ваи

и ау

и зр

у Mn

Md

no

os

» в

в ре

р »

е п

» е

п по

п в

оы

в _

ы

По

Пп

ол

пд

леи

д ди

дсп

и ет

п ч

е ер

ч а

р со

с д

о к

да

к се

ст

ее

тй

е

(В Пол

П п

ол

о и

пки

ик

и беа

б р

еа

е о

рв

оо

вд

он

до

нй

о се

сти

е (ШЕ£

ШЕ

Ш £

fe По

Пл

оо

лц

ок

ц*

к отк

о р

кы

р то

ы го

о КЛ

КЮ

Л '«

Ю

По

П л

о л

л »

л *

» ур

уа

ри

а и

и ч

иа

чч

ао

чг

оо мп

мо

пп

оо

пм

о ы

м

•£

£ Netw

N or

wk

o.

r

k.k Ac

A e

c s

ce Pro

P te

o c

eto

c r

o

it; Л

;

Л По

П л

о т

лк

т и

к ^-б

^ е

бзо

е п

оа

пс

ан

со

нс

от

си

т на

н Хл

Ху

лж

у Г

ж^

Г<( 1 •)

Рис. 8-2. Политика блокировки учетной записи в объекте GPO

Для блокировки учетной записи применяют т р и параметра. Первый – Поро-

говое значение блокировки (Account Lockout T h r e s h o l d ) – определяет количес-

тво некорректных попыток входа, р а з р е ш е н н ы х в т е ч е н и е времени, указанного

политикой Продолжительность б л о к и р о в к и у ч е т н о й з а п и с и ( A c c o u n t Lockout

Duration). Если при атаке в течение этого в р е м е н и н е у д а ч н ы х п о п ы т о к входа

больше, учетная запись пользователя б л о к и р у е т с я . П р и б л о к и р о в к е учетной

записи вход для нее будет запрещен, д а ж е если у к а з а т ь п р а в и л ь н ы й пароль.

Администратор может разблокировать у ч е т н у ю з а п и с ь пользователя, вы-

полнив процедуру, описанную в главе 3. С т р у к т у р у A c t i v e D i r e c t o r y также

можно отконфигурировать для автоматической р а з б л о к и р о в к и учетной запи-

си по истечении времени, указанного п а р а м е т р о м п о л и т и к и Время до сброса

счетчика автоматической блокировки ( R e s e t A c c o u n t Lockout C o u n t e r After).

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 6 9

Настройка доменной политики паролей

и блокировки учетной записи

В Active D i r e c t o r y д л я д о м е н а п о д д е р ж и в а е т с я один набор политик паролей

и б л о к и р о в к и . Э т и п о л и т и к и о т к о н ф и г у р и р о в а н ы в объекте G P O , в область

действия к о т о р о г о п о п а д а е т домен. Н о в ы й домен содержит объект G P O с име-

нем Default D o m a i n Policy, к о т о р ы й связан с доменом и включает параметры

п о л и т и к и по у м о л ч а н и ю (см. рис. 8-1 и 8-2). Эти параметры можно изменить,

отредактировав о б ъ е к т D e f a u l t D o m a i n Policy.

ПРИМЕЧАНИЕ

Вы можете попрактиковаться в настройке доменных политик паролей и блокировки

в упражнении 1 в конце этого занятия.

П а р а м е т р ы п о л и т и к и , о т к о н ф и г у р и р о в а н н ы е в объекте Default Domain

Policy, в л и я ю т на все у ч е т н ы е з а п и с и п о л ь з о в а т е л е й в домене. Однако эти

параметры м о ж н о з а м е н и т ь с в о й с т в а м и п а р о л е й отдельных учетных записей

пользователей. На в к л а д к е Учетная з а п и с ь ( A c c o u n t ) диалогового окна Свойс-

тва ( P r o p e r t i e s ) у ч е т н о й з а п и с и п о л ь з о в а т е л я можно указать такие параметры,

как Срок д е й с т в и я п а р о л я не о г р а н и ч е н (Password Never Expires) или Хранить

пароль, и с п о л ь з у я о б р а т и м о е ш и ф р о в а н и е (Store Passwords Using Reversible

E n c r y p t i o n ) , к а к п о к а з а н о на р и с . 8 – 3 . Н а п р и м е р , если пять пользователей

работают с п р и л о ж е н и е м , к о т о р о м у н у ж е н прямой доступ к их паролям, вы

можете о т к о н ф и г у р и р о в а т ь у ч е т н ы е з а п и с и этих пользователей для хранения

их п а р о л е й с о б р а т и м ы м ш и ф р о в а н и е м .

т

сертификаты j 4n*nfp/rvi Репплкллв парог>ей

вшдяцие 5SOXO» | Объект I Безопасность | Среда

Сеемо* | Удзпегиое /rpvsntmso

Профиль сп/жС терми*»г<» I СОМ* | Редактор атрибу roe

05с.*е i Ajctc Учетная ssm-съ J Профиль j Телефоны | Qpr»*waj*s

Ика вед да подо гэ аз тела

р^ ' | Stent 09

Иияеиэде попазоагтелв irpaa-WiridowB 2СОЗ):

, JaMiTosox

Г Разблокировать. учетную мпись

Параметры уч»п-ой запуск:

Требовать смену пароля при сял/у«щем входе в систему JLj

Г" Зэпре туть смек,' пароля пользователем —J

Срок действия пасепя не ограничен

Р" >рвк<тъ паропо используя обратимое u*

j" Срж действия учетной записи' " J p '

, f* Никогда

г С Истекает– .".-•• ,ла

: ОК Отмена [ Применить [ Оградка j

Рис. 8-3. Свойства паролей учетной з а п и с и пользователя

' 370 Проверка подлинности

Глава 8

Гранулированные политики паролей и блокировки

В Windows Server 2008 политику п а р о л е й и б л о к и р о в к и в д о м е н е м о ж н о так1

же заменить новой гранулированной политикой паролей и блокировки, которую

называют просто гранулированной политикой паролей. Эту п о л и т и к у можно

применять к одной и л и нескольким г р у п п а м п о л ь з о в а т е л е й в д о м е н е . Д л я ис-

пользования гранулированной п о л и т и к и п а р о л е й д о м е н д о л ж е н р а б о т а т ь на

функциональном уровне Windows Server 2008, о п и с а н н о м в главе 12.

Этот компонент – очень ценное д о п о л н е н и е в Active Directory. Существу-

ет несколько сценариев и с п о л ь з о в а н и я г р а н у л и р о в а н н о й п о л и т и к и паролей

для повышения уровня безопасности домена. У ч е т н ы е з а п и с и , и с п о л ь з у е м ы е

администраторами, получают д е л е г и р о в а н н ы е п р и в и л е г и и д л я м о д и ф и к а ц и и

объектов в Active Directory. Поэтому если з л о у м ы ш л е н н и к в з л о м а е т учетную

запись администратора, он сможет п р и ч и н и т ь б о л ь ш е у щ е р б а домену, чем с

помощью учетной записи стандартного п о л ь з о в а т е л я . По э т о й п р и ч и н е для

учетных записей администраторов следует р е а л и з о в а т ь б о л е е с т р о г и е требо-

вания к паролям. Например, м о ж н о у в е л и ч и т ь м и н и м а л ь н у ю д л и н у пароля

и частоту его изменения.

Учетные записи, используемые т а к и м и с л у ж б а м и , к а к S Q L Server, могут

потребовать особого обращения в домене. С л у ж б а в ы п о л н я е т с в о и ф у н к ц и и с

учетными данными, подлинность которых д о л ж н а п р о в е р я т ь с я с применением

пользовательского имени и пароля, п о д о б н о у с т а н о в л е н и ю л и ч н о с т и челове-

ка. Однако большинство служб не могут и з м е н я т ь с в о й п а р о л ь , п о э т о м у для

учетных записей служб а д м и н и с т р а т о р ы в к л ю ч а ю т п а р а м е т р С р о к действия

пароля не ограничен (Password Never Expires). Е с л и п а р о л ь у ч е т н о й з а п и с и не

меняется, нужно максимально в о с п р е п я т с т в о в а т ь в о з м о ж н о с т и в з л о м а т ь его.

С помощью гранулированных п о л и т и к п а р о л е й м о ж н о з а д а т ь о ч е н ь д л и н н ы е

пароли без истечения срока действия.

Объекты параметров политики

Параметры, управляемые гранулированными п о л и т и к а м и паролей, аналогичны

параметрам в узлах Политика паролей ( P a s s w o r d Policy) и П о л и т и к а учетной

записи (Account Policy) в объекте G P O . О д н а к о г р а н у л и р о в а н н ы е политики

паролей не реализованы как часть г р у п п о в о й п о л и т и к и и не п р и м е н я ю т с я


    Ваша оценка произведения:

Популярные книги за неделю