Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 37 (всего у книги 91 страниц)
G P O д л я п р и м е н е н и я ко в с е м к о м п ь ю т е р а м в подразделении NYC.
• У п р а ж н е н и е 4 И с п о л ь з у й т е М о д е л и р о в а н и е результирующей политики
( R S o P ) ( R e s u l t a n t S e t of Policy ( R S o P ) Modeling) и убедитесь, что группа
А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) содержит группы SYS_Clients_Admins
и S Y S _ N Y C _ A d m i n s . И н с т р у к ц и и н а х о д я т с я в у п р а ж н е н и и 3 з а н я т и я 1.
Е с л и у в а с есть т е с т о в ы й к о м п ь ю т е р D E S K T O P l O l , присоединенный к до-
мену, и с п о л ь з у й т е и н с т р у к ц и и из опционального упражнения 4 занятия 1,
ч т о б ы в о й т и на к о м п ь ю т е р и подтвердить членство группы Администра-
т о р ы ( A d m i n i s t r a t o r s ) . Н а м а ш и н е D E S K T O P l O l группа Администрато-
ры ( A d m i n i s t r a t o r s ) б о л ь ш е не с о д е р ж и т группу Администраторы домена
( D o m a i n A d m i n s ) .
Эти у п р а ж н е н и я п о х о ж и на у п р а ж н е н и я з а н я т и я 1, однако есть два важных
отличия. В о – п е р в ы х , в у п р а ж н е н и и 2 используется параметр Члены этой груп-
пы ( M e m b e r s Of T h i s G r o u p ) п о л и т и к и групп с ограниченным доступом, кото-
рый у д а л я е т г р у п п у А д м и н и с т р а т о р ы домена ( D o m a i n Admins) и локальную
группу А д м и н и с т р а т о р ы (Administrators). Эта методика является оптимальной,
поскольку группа А д м и н и с т р а т о р ы домена д о л ж н а применяться только для
а д м и н и с т р и р о в а н и я с л у ж б ы каталогов и контроллеров домена, а не для универ-
сальной с и с т е м н о й поддержки. Во-вторых, на занятии 1 вы задействовали груп-
повую политику, чтобы добавить группы Справка и Поддержка NYC непосредс-
твенно в г р у п п у А д м и н и с т р а т о р ы (Administrators) клиентских компьютеров.
На э т и х з а н я т и я х вы д о б а в и л и в группу клиентских систем Администраторы
( A d m i n i s t r a t o r s ) п р о м е ж у т о ч н ы е г р у п п ы SYS_Clients_Admins и SYS_NYC_
Admins, так что г р у п п ы С п р а в к а и Поддержка NYC все еще являются членами,
хоть и косвенно. П р е и м у щ е с т в о косвенной структуры состоит в том, что если
другие г р у п п ы д о л ж н ы быть ч л е н а м и группы Администраторы (Administra-
tors), то не п о т р е б у е т с я и з м е н я т ь п о л и т и к и и конфигурацию, – достаточно
добавить их в л о к а л ь н у ю группу в домене. Если, к примеру, вы развертываете
приложение, которому н е о б х о д и м ы локальные административные привилегии
на всех к л и е н т с к и х машинах, работать с каждой машиной и изменять объекты
G P O не п о н а д о б и т с я . В э т о м случае добавьте учетную запись приложения
в группу S Y S _ C l i e n t s _ A d m i n s . Аналогичным образом команда аудиторов, на-
значенная д л я анализа всех компьютеров в Ныо-Йорке, добавляется в группу
SYS_NYC_Admins. Н и к а к и х и з м е н е н и й в к о н ф и г у р а ц и ю безопасности или
объекты G P O вносить не требуется.
[ 362 Параметры групповой политики
Глава 7
Настройка безопасности
Необходимо реализовать к о н ф и г у р а ц и ю б е з о п а с н о с т и , а н а л о г и ч н у ю к о н ф и -
гурации в сценарии 2. Просмотрите сценарий, п р е ж д е чем п р о д о л ж и т ь . Д л я
того чтобы выполнить у п р а ж н е н и я в Active D i r e c t o r y , с о з д а й т е с л е д у ю щ и е
объекты:
• подразделение первого у р о в н я А д м и н и с т р а т о р ы с д о ч е р н и м подразделе-
нием Группы администраторов;
• группа Администраторы серверов HR в п о д р а з д е л е н и и Группы админис-
траторов;
• подразделение первого у р о в н я Группы;
• группы Кадры в подразделении Группы.
Кроме того, потребуется папка с именем Ж а л о в а н и е – с о з д а й т е ее на диске
С машины SERVER01.
• Упражнение i В оснастке Ш а б л о н ы б е з о п а с н о с т и ( S e c u r i t y Templates)
создайте новый шаблон безопасности с и м е н е м с е р в е р H R . В у з л е Локаль-
ные п о л и т и к и П о л и т и к а аудита (Local P o l i c i e s A u d i t P o l i c y ) о т к о н ф и г у -
рируйте политику Аудит д о с т у п а к о б ъ е к т а м ( A u d i t O b j e c t Access) д л я
аудита событий успеха и отказа, а т а к ж е п о л и т и к у Аудит и с п о л ь з о в а н и я
привилегий (Audit Privilege Use) д л я аудита с о б ы т и й успеха. В узле Группы
с ограниченным доступом ( R e s t r i c t e d G r o u p s ) д о б а в ь т е н о в у ю п о л и т и к у
групп с ограниченным доступом д л я г р у п п ы А д м и н и с т р а т о р ы (Adminis-
trators), которые определяют в п а р а м е т р е Ч л е н ы э т о й г р у п п ы ( M e m b e r s
Of This Group) группу А д м и н и с т р а т о р ы с е р в е р о в H R . В о с н а с т к е Active
Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And Com-
puters) запомните текущее членство г р у п п ы А д м и н и с т р а т о р ы (Administra-
tors) в подразделении Builtin, чтобы в о с с т а н о в и т ь его п о с л е в ы п о л н е н и я
упражнения. Сохраните шаблон С е р в е р H R , щ е л к н у в его п р а в о й кнопкой
мыши и выполнив команду С о х р а н и т ь ( S a v e ) .
• Упражнение 2 В сценарии 2 р е к о м е н д о в а л о с ь в р у ч н у ю к о н ф и г у р и р о в а т ь
разрешения и элементы аудита папки Ж а л о в а н и е . В W i n d o w s есть полити-
• ки файловой системы, которые п о з в о л я ю т к о н ф и г у р и р о в а т ь разрешения
и элементы аудита так, чтобы не н а с т р а и в а т ь их в р у ч н у ю и не применять
повторно конфигурацию безопасности с п о м о щ ь ю п о л и т и к и . В шаблоне
безопасности Сервер I i R щелкните п р а в о й к н о п к о й м ы ш и узел Ф а й л о в а я
система (File System) и в ы п о л н и т е к о м а н д у Д о б а в и т ь ф а й л ( A d d File).
В текстовое поле Папка ( F o l d e r ) о т к р ы в ш е г о с я д и а л о г о в о г о окна введи-
те путь С:Жалование и щ е л к н и т е О К . В д и а л о г о в о м о к н е Безопасность
базы данных (Database Security) у д а л и т е все э л е м е н т ы и добавьте разре-
шение Полный доступ (Full C o n t r o l ) д л я г р у п п ы К а д р ы . Это д о л ж н о быть
единственное примененное разрешение. Щ е л к н и т е к н о п к у Дополнительно
(Advanced) и перейдите на в к л а д к у Аудит ( A u d i t i n g ) . Добавьте элемент
аудита для группы Все (Everyone), к о т о р ы й в ы п о л н я е т аудит отказа пол-
ного доступа. Добавьте второй элемент аудита д л я группы Администраторы
(Administrators), который в ы п о л н я е т аудит успешного п о л у ч е н и я полного
Пробный экзамен 363
доступа. З а к р о й т е все д и а л о г о в ы е окна и п р и м и т е все параметры по умол-
чанию. С о х р а н и т е ш а б л о н С е р в е р H R , щ е л к н у в его правой кнопкой мыши
и в ы п о л н и в к о м а н д у С о х р а н и т ь (Save).
• У п р а ж н е н и е 3 В о с н а с т к е А н а л и з и н а с т р о й к а безопасности (Security
Configuration and Analysis) откройте новую базу данных с именем Конфигу-
р а ц и я сервера H R . И м п о р т и р у й т е ш а б л о н Сервер MR, созданный в упраж-
н е н и я х 1 и 2. щ е л к н и т е п р а в о й кнопкой м ы ш и оснастку Анализ и настройка
безопасности и в ы п о л н и т е к о м а н д у А н а л и з компьютера (Analyze Computer
Now). Щ е л к н и т е О К . П р о а н а л и з и р у й т е т р и узла параметров безопасности,
в к о т о р ы е в н е с е н ы м о д и ф и к а ц и и : П о л и т и к а аудита (Audit Policy), Группы
с о г р а н и ч е н н ы м д о с т у п о м ( R e s t r i c t e d G r o u p s ) и Ф а й л о в а я система (File
System). Л о к а л и з у й т е о т л и ч и я м е ж д у т е к у щ и м и параметрами компьютера
и п а р а м е т р а м и в ш а б л о н е .
• У п р а ж н е н и е 4 Щ е л к н и т е п р а в о й к н о п к о й м ы ш и Анализ и настройка
безопасности ( S e c u r i t y C o n f i g u r a t i o n and Analysis) и выполните команду
Н а с т р о и т ь к о м п ь ю т е р ( C o n f i g u r e C o m p u t e r Now). Щелкните ОК. Проверь-
те в н е с е н н ы е и з м е н е н и я , п р о с м о т р е в членство группы Администраторы
( A d m i n i s t r a t o r s ) в п о д р а з д е л е н и и Builtin, а также параметры аудита папки
С : Ж а л о в а н и е .
В о с с т а н о в и т е и с х о д н ы х ч л е н о в г р у п п ы Администраторы (Administrators),
которых и с п о л ь з о в а л и , когда в ы п о л н я л и упражнение 1. Если вы не записали
исходное членство группы, убедитесь, что в группу администраторов включены
группы А д м и н и с т р а т о р ы п р е д п р и я т и я (Enterprise Admins) и Администраторы
домена ( D o m a i n A d m i n s ) .
Пробный экзамен
На п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е представлено несколько вариантов
тренировочных тестов. Проверка з н а н и й выполняется или только по одной теме
с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и по всем экзаменационным темам.
Тестирование м о ж н о о р г а н и з о в а т ь т а к и м образом, чтобы оно проводилось как
экзамен, л и б о ' н а с т р о и т ь на р е ж и м обучения. В последнем случае вы сможете
•после к а ж д о г о своего о т в е т а на в о п р о с просматривать правильные ответы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А
8
Проверка ПОДЛИННОСТИ
Занятие 1. Настройка политики паролей и блокировки учетных записей 365
Занятие 2. Аудит проверки подлинности 377
Занятие 3. Настройка контроллеров RODC 384
Когда пользователь входит в домен Active Directory, он вводит свое имя и па-
роль, а клиент применяет эти учетные д а н н ы е д л я проверки подлинности поль-
зователя, то есть подтверждения и д е н т и ф и к а ц и и объекта пользователя в соот-
ветствии с его учетной записью в Active Directory. В главе 3 рассказывается, как
создавать учетные записи пользователей, как у п р а в л я т ь и м и и их свойствами,
в частности паролями. В этой главе речь пойдет о к о м п о н е н т а х д л я проверки
подлинности на стороне домена, в том числе о п о л и т и к а х , определяющих тре-
бования к паролям, об аудите операций, с в я з а н н ы х с п р о в е р к о й подлинности.
Мы также рассмотрим такие новые элементы, как объекты параметров паро-
ля PSO (Password Settings O b j e c t ) и к о н т р о л л е р ы д о м е н а т о л ь к о д л я чтения
R O D C (Read-Only Domain Controller).
Темы экзамена:
• Создание и поддержка объектов Active Directory.
• Настройка политики учетных записей.
• Конфигурирование политики аудита с п о м о щ ь ю объектов G P O .
• Настройка инфраструктуры Active Directory.
о Конфигурирование репликации Active Directory.
• Настройка дополнительных ролей сервера Active Directory,
о Конфигурирование контроллера R O D C .
Прежде всего
Для выполнения упражнений этой главы в домене contoso.com должен быть
установлен контроллер домена S E R V E R 0 1 .
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 6 5
История и з ж и з н и
Дэн Холме
Работая с клиентами, реализующими доменные службы Active Directory (AD DS),
я должен постоянно соблюдать баланс между необходимостью в высоких уров-
нях безопасности и требованиями быстрого решения бизнес-задач. В версиях
Windows до Windows Server 2008 я все время оказывался в одной из двух ситу-
аций, когда такой баланс было довольно сложно установить. Первая ситуация
относится к безопасности учетных записей пользователей с высокими уровнями
привилегий на предприятии. Такие учетные записи представляют интерес для
хакеров, поэтому их нужно хорошо защищать, в частности, задавая длинные и
сложные пароли. В предыдущих версиях Windows только политика паролей мог-
ла применяться ко всем учетным записям в домене. Поэтому мне приходилось
задействовать строгие ограничения паролей для всех пользователей в домене, что
никогда не приветствовалось, или просить администраторов реализовать более
строгую политику, но без возможности согласования. В Windows Server 2008
появились гранулированные политики паролей, с помощью которых можно
назначать пароли с различными уровнями сложности и применять их к группам
или пользователям в домене.
В филиалах также возникали проблемы: нужно было найти баланс меж-
ду быстрой и надежной проверкой подлинности пользователя и требованием
централизовать управление физической безопасностью контроллеров доменов.
Размещение контроллера домена в филиале может значительно повысить про-
изводительность для пользователей филиала, но такой контроллер физичес-
ки будет менее защищен, чем в центре данных компании. Система Windows
Server 2008 может функционировать как контроллер домена только для чтения,
выполняя проверку подлинности пользователей, но не храня все их учетные
данные; так уменьшается угроза безопасности при хищении контроллера домена
в филиале.
Если вы достаточно долго работаете с Active Directory, то наверняка по до-
стоинству оцените гранулированные политики паролей и контроллеры домена
только для чтения. Если же вы новичок в Active Directory, то оцените удобство
работы с этими новыми компонентами.
Занятие 1. Настройка политики паролей
и блокировки учетных записей
В домене Windows Server 2008 пользователям необходимо изменять свои паро-
ли каждые 42 дня, а пароль должен содержать как минимум семь символов и
соответствовать требованиям сложности, включая использование трех из четы-
рех элементов написания: верхнего регистра, нижнего регистра, цифр и особых
символов. Эти п о л и т и к и максимального срока действия, длины и сложности
паролей – первые, с которыми администраторы и пользователи сталкивают-
ся в домене Active Directory. Параметры по умолчанию редко настраиваются
точно по требованиям безопасности в организации. Ваше предприятие может
' 366
Проверка подлинности
Глава 8
требовать изменять пароли чаще и л и реже. На д а н н о м з а н я т и и мы рассмот-
рим, как реализовать п о л и т и к и п а р о л е й и б л о к и р о в к и на п р е д п р и я т и и путем
модификации объекта групповой п о л и т и к и D e f a u l t D o m a i n Controller.
Из каждого правила есть и с к л ю ч е н и я , и в в а ш е й п о л и т и к е п а р о л е й также
могут предполагаться и с к л ю ч е н и я . Ч т о б ы п о в ы с и т ь у р о в е н ь б е з о п а с н о с т и
домена, можно задать более строгие т р е б о в а н и я к п а р о л я м д л я у ч е т н ы х запи-
сей, назначаемых администраторам, з а п и с е й , и с п о л ь з у е м ы х т а к и м и службами,
как Microsoft SQL Server, или д л я у ч е т н ы х з а п и с е й , п р и м е н я е м ы х у т и л и т о й
резервного копирования. В п р е д ы д у щ и х в е р с и я х W i n d o w s эти в о з м о ж н о с т и
отсутствовали: ко всем учетным з а п и с я м в д о м е н е п р и м е н я л а с ь одна п о л и т и к а
паролей. На этом занятии мы обсудим п р и н ц и п ы н а с т р о й к и нового компонента
гранулированных политик паролей в W i n d o w s S e r v e r 2008, к о т о р ы й п о з в о л я е т
задавать различные политики п а р о л е й д л я п о л ь з о в а т е л е й и г р у п п в домене.
Изучив материал этого занятия, вы сможете:
/ Реализовать политику паролей домена.
/ Настроить и назначить гранулированные политики паролей.
Продолжительность занятия – о к о л о 45 мин.
Политики паролей
Политика паролей домена к о н ф и г у р и р у е т с я о б ъ е к т о м G P O , в о б л а с т ь дейс-
твия которого попадает домен. В узле К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и
Конфигурация WindowsnapaMeTpbi б е з о п а с н о с т и П о л и т и к и учетных записей
Политика паролей (Computer C o n f i g u r a t i o n P o l i c i e s W i n d o w s SettingsSecurity
SettingsAccount PoliciesPassword Policy) этого объекта G P O м о ж н о отконфи-
гурировать параметры политики, о п р е д е л я ю щ и е т р е б о в а н и я к п а р о л я м . Узел
Политика паролей (Password Policy) п о к а з а н на р и с . 8-1.
СЕЯ
шшяшшш
УОШ
Коьач £е*та* Вид Справка
U '
' ГЪпллл Oe'eil DoneoPoki' [SERVtR01.2*i»:.wn] »
I Параметр полтги-Qi..
рЦ Кэ^хуэаша кап-ыотерл
.; Еесги «урчал паролей
Макамлым) срок ло'стия пара-»
'/'. Коиеиг«аи«гр(f^tim
. М»««доопвя о гъня пароля
я ^ ЮХм-ypauu Vfridoni
,. г*<н>«альмы'| скх действия пароля
Пароль «оа«ен отве-4ат
Б JJJ П»р»«1рм6е»п«юои
э Tpe5oea^t»« с/
i *ра»г»ь плрогы, млолБзуя обратное и»
5 Tj (VVrVJ
1 „р Полтш блом-ровчн учетной
В Полл ика Kerberos
; Ж|«п£Л событм)
д Суп&тъ* службы
3 гдоовмсмаеяа
£ Гслгм* гооеодмеД сри СЕЙ
Браидиамэр V/odcv.t в pew*
Пымп«л д.»лет черв амол сетей
4 Пымпжи беслроводхм сегн (TFFF {
3 Пслт«М СТкртТОГО КЛОЧв
Пс/Mi «метра-»»**»*-» лаюлвил
j Nrtnort Аосе* Protection
g, Усгылм V -6екл»огти на "Qi |Г»йу|
Рис. 8-1. Политика паролей в объекте GPO
Занятие 1
Настройка политики паролей и блокировки учетных записей
367
Д е й с т в и е э т и х п о л и т и к м о ж н о понять, проследив ж и з н е н н ы й цикл поль-
з о в а т е л ь с к о г о п а р о л я . П о л ь з о в а т е л ь д о л ж е н и з м е н и т ь свой пароль в тече-
ние к о л и ч е с т в а д н е й , у к а з а н н о г о п а р а м е т р о м п о л и т и к и Максимальный срок
д е й с т в и я п а р о л я ( M a x i m u m Password Age). Когда пользователь вводит новый
пароль, его д л и н а с р а в н и в а е т с я с к о л и ч е с т в о м знаков в политике Минималь-
ная д л и н а п а р о л я ( M i n i m u m Password L e n g t h ) . Если включена политика Па-
роль д о л ж е н с о о т в е т с т в о в а т ь т р е б о в а н и я м с л о ж н о с т и (Password Must Meet
Complexity R e q u i r e m e n t s ) , н о в ы й п а р о л ь д о л ж е н содержать символы хотя бы
трех из ч е т ы р е х т и п о в :
• л а т и н с к и е з а г л а в н ы е б у к в ы ( о т А до Z);
• л а т и н с к и е с т р о ч н ы е б у к в ы ( о т а до z);
• ц и ф р ы ( о т 0 до 9);
• о т л и ч н ы е от б у к в и ц и ф р з н а к и ( н а п р и м е р , !, $, #, %).
Если н о в ы й п а р о л ь соответствует требованиям, он пропускается через мате-
матический а л г о р и т м , п р е о б р а з у ю щ и й п а р о л ь в так называемый хэш-код. Этот
код у н и к а л е н , с л е д о в а т е л ь н о два п а р о л я не могут быть преобразованы в один
хэш-код. А л г о р и т м , и с п о л ь з у е м ы й д л я создания хэш-кода, называется одно-
сторонней ф у н к ц и е й . П а р о л ь н е л ь з я и з в л е ч ь из хэш-кода с помощью функции
обратного п р е о б р а з о в а н и я . П о с к о л ь к у в Active Directory хранится хэш-код,
а не сам пароль, у р о в е н ь б е з о п а с н о с т и у ч е т н о й записи повышается.
Иногда п р и л о ж е н и я м т р е б у е т с я п р о ч и т а т ь пароль пользователя. Это не-
в о з м о ж н о сделать, п о с к о л ь к у по у м о л ч а н и ю в Active Directory хранится толь-
к о х э ш – к о д . Д л я п о д д е р ж к и т а к и х п р и л о ж е н и й можно включить политику
Х р а н и т ь п а р о л и , и с п о л ь з у я о б р а т и м о е ш и ф р о в а н и е (Store Passwords Using
Reversible E n c r y p t i o n ) . Эта п о л и т и к а по умолчанию не включена, но если вклю-
чить ее, п о л ь з о в а т е л ь с к и е п а р о л и будут х р а н и т ь с я в зашифрованной форме и
п р и л о ж е н и е с м о ж е т р а с ш и ф р о в а т ь их. О б р а т и м о е шифрование значительно
снижает у р о в е н ь б е з о п а с н о с т и д о м е н а – и м е н н о поэтому по умолчанию оно
отключено. С л е д у е т с т а р а т ь с я и с к л ю ч а т ь п р и л о ж е н и я , которым требуется
п р я м о й д о с т у п к п а р о л я м .
Кроме того, в Active D i r e c t o r y может проверяться кэш предыдущих хэш-ко-
дов пользователей, чтобы в качестве нового пароля пользователь не мог ввести
старый. Количество старых паролей, с которыми сопоставляется новый пароль,
определяется п о л и т и к о й Вести ж у р н а л паролей (Enforce Password History). По
умолчанию в W i n d o w s п о д д е р ж и в а ю т с я 24 предыдущих кэш-кода.
Если пользователь р е ш и л повторно использовать пароль после истечения
срока его д е й с т в и я , он с м о ж е т п о п р о с т у 25 раз изменять пароль на основе
ж у р н а л а п а р о л е й . Ч т о б ы п р е д о т в р а т и т ь это, п о л и т и к а Минимальный срок
действия п а р о л я ( M i n i m u m Password Age) определяет период времени между
изменением паролей. По у м о л ч а н и ю он составляет один день. Поэтому чтобы
применять пароль повторно, пользователю придется ежедневно менять его в те-
чение 25 дней. Такой метод с д е р ж и в а н и я выглядит достаточно устрашающе.
К а ж д ы й из этих п а р а м е т р о в п о л и т и к и в л и я е т на пользователя, который
меняет свой пароль. Э т и параметры не оказывают влияния на администратора,
применяющего команду И з м е н и т ь пароль (Reset Password), чтобы модифици-
ровать пароль пользователя.
' 3 6 8 Проверка подлинности
Глава 8
Политики блокировки учетной записи
Злоумышленник может получить доступ к р е с у р с а м в д о м е н е , о п р е д е л и в под-
линное и м я пользователя и пароль. И м е н а п о л ь з о в а т е л е й о т н о с и т е л ь н о лег-
ко идентифицировать, поскольку б о л ь ш и н с т в о о р г а н и з а ц и й с о з д а ю т имена
пользователей на основе адреса э л е к т р о н н о й п о ч т ы с л у ж а щ е г о , и м е н и , фами-
лии, инициалов и л и идентификаторов с о т р у д н и к о в . З н а я и м я пользователя,
злоумышленник может определить п р а в и л ь н ы й п а р о л ь , у г а д а в его и л и мно-
гократно набирая различные к о м б и н а ц и и с и м в о л о в и л и с л о в п р и входе, пока
не будет подобран правильный пароль.
Такому типу атаки легко противостоять, о г р а н и ч и в р а з р е ш е н н о е количество
некорректных попыток входа. Д л я этого с л у ж а т п о л и т и к и б л о к и р о в к и учетной
записи. Эти политики хранятся в узле П о л и т и к а б л о к и р о в к и у ч е т н о й записи
(Account Password Policy) объекта G P O , как п о к а з а н о на рис. 8-2.
Ксмял, Действие &4Л Ovae«.s
v * " a ~ ' 1 ^ J ' . I
' По
Пл
ок
лт^
к »
^ C«
C f
«ait
a Cv
C r
vjr Po
Pk
oy
k i.c
o
c n
o tu
n s
ue от
о Щ
т
Политик – | П*рли«тр ГСЛИТИгИ
В К
в
Кф
в с
фу
с р
у л
р л
л я
л кс»
к гы
» о
ыте
о р
т а
р
Бреия аэ сброса счетчика блокировки Не ог»зсаелемо
. Пороговое 1нвчен.«е блэа<роеки 0 оимбок входе е систему
• :
• J
: 'Со
С ф
о *
ф '
* УР
&
У А
Р Я
&А
& rp
«
p -p
« a
pr»
a i
»
.'и;Г>?одоя«ителелостъбгою1ровкн учетной. Не определено
3 К
он
Ко
К ф
н и
фгу
ир
г а
у ц
р и
ця
и Wnd
W o
n w
d s
w
: i
: Cu
Ce
u*
e*
*»
**
» (м
гу
м с
ук
с/з
ка
/ е
ае
ер
еш
р е
шт
е»
т*
»}
*
6 j|
6 l
j|
l Пар
П а
а м
р ет
мр
е ы
тр 6ею
6 п
ю»
п:н
» о
нст
о и
с
с ,Дз
Д По
П/и
о т
иа
т»
а уч
ует
ч н
е ы
н х
ы мо
мд
ое
дм
е
Ж
Ж 'Vr
V По
Пп
о ч
п.к
ч а
к пар
п о
рл
оей
л
'•
• Пол
П и
ол
о т*
и *
т »
**
* бд
бо
даф
о о
фо
ок
о»
к уч
ует
ч н
е ая
н у
• М
• fb»"
fb»" Ker
Kb
e er
bc
ee
r
Ж
Ж Лок
Л а
о л
к ь
а н
л ы
н е
ы пол
п и
ол
о ти
и ки
ик
и
(5 J.
Жур
Ж -
уа
рл
– со
6
с ы
о6
о т!«
ыт
ы '<
!«
5в
5
в ел
е Гр
Гу
ргы
у с
ы
с ог
орл
р ^
лч
^ с
ч-м
с »
м "
» ао
ст
о у
с п
уо
пн
о
S
S а,а
, Си
С с
ит
се
тгм
е *
м сл
у
с ж
лу
л бы
жб
ж
В -j
– ва
вй
ал
йо
лв
оа
вя
ас
яи
сс
ит
сеп
еа
п
S
S По
Пл
оо
лж
о и
ж np
n a
pe
aio
e i-
oa
i ia се
сти
е (ЕЕ
Е 80
8 1
0 .:
1
'*'* бев
б и
ваи
и ау
и зр
у Mn
Md
no
d»
os
» в
в ре
р »
е п
» е
п по
п в
оы
в _
ы
По
Пп
ол
пд
леи
д ди
дсп
и ет
п ч
е ер
ч а
р со
с д
о к
да
к се
ст
ее
тй
е
(В Пол
П п
ол
о и
пки
ик
и беа
б р
еа
е о
рв
оо
вд
он
до
нй
о се
сти
е (ШЕ£
ШЕ
Ш £
fe По
Пл
оо
лц
ок
ц*
к отк
о р
кы
р то
ы го
о КЛ
КЮ
Л '«
Ю
По
П л
о л
л »
л *
» ур
уа
ри
а и
и ч
иа
чч
ао
чг
оо мп
мо
пп
оо
пм
о ы
м
•£
£ Netw
N or
wk
o.
r
k.k Ac
A e
c s
ce Pro
P te
o c
eto
c r
o
it; Л
;
Л По
П л
о т
лк
т и
к ^-б
^ е
бзо
е п
оа
пс
ан
со
нс
от
си
т на
н Хл
Ху
лж
у Г
ж^
Г<( 1 •)
Рис. 8-2. Политика блокировки учетной записи в объекте GPO
Для блокировки учетной записи применяют т р и параметра. Первый – Поро-
говое значение блокировки (Account Lockout T h r e s h o l d ) – определяет количес-
тво некорректных попыток входа, р а з р е ш е н н ы х в т е ч е н и е времени, указанного
политикой Продолжительность б л о к и р о в к и у ч е т н о й з а п и с и ( A c c o u n t Lockout
Duration). Если при атаке в течение этого в р е м е н и н е у д а ч н ы х п о п ы т о к входа
больше, учетная запись пользователя б л о к и р у е т с я . П р и б л о к и р о в к е учетной
записи вход для нее будет запрещен, д а ж е если у к а з а т ь п р а в и л ь н ы й пароль.
Администратор может разблокировать у ч е т н у ю з а п и с ь пользователя, вы-
полнив процедуру, описанную в главе 3. С т р у к т у р у A c t i v e D i r e c t o r y также
можно отконфигурировать для автоматической р а з б л о к и р о в к и учетной запи-
си по истечении времени, указанного п а р а м е т р о м п о л и т и к и Время до сброса
счетчика автоматической блокировки ( R e s e t A c c o u n t Lockout C o u n t e r After).
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 6 9
Настройка доменной политики паролей
и блокировки учетной записи
В Active D i r e c t o r y д л я д о м е н а п о д д е р ж и в а е т с я один набор политик паролей
и б л о к и р о в к и . Э т и п о л и т и к и о т к о н ф и г у р и р о в а н ы в объекте G P O , в область
действия к о т о р о г о п о п а д а е т домен. Н о в ы й домен содержит объект G P O с име-
нем Default D o m a i n Policy, к о т о р ы й связан с доменом и включает параметры
п о л и т и к и по у м о л ч а н и ю (см. рис. 8-1 и 8-2). Эти параметры можно изменить,
отредактировав о б ъ е к т D e f a u l t D o m a i n Policy.
ПРИМЕЧАНИЕ
Вы можете попрактиковаться в настройке доменных политик паролей и блокировки
в упражнении 1 в конце этого занятия.
П а р а м е т р ы п о л и т и к и , о т к о н ф и г у р и р о в а н н ы е в объекте Default Domain
Policy, в л и я ю т на все у ч е т н ы е з а п и с и п о л ь з о в а т е л е й в домене. Однако эти
параметры м о ж н о з а м е н и т ь с в о й с т в а м и п а р о л е й отдельных учетных записей
пользователей. На в к л а д к е Учетная з а п и с ь ( A c c o u n t ) диалогового окна Свойс-
тва ( P r o p e r t i e s ) у ч е т н о й з а п и с и п о л ь з о в а т е л я можно указать такие параметры,
как Срок д е й с т в и я п а р о л я не о г р а н и ч е н (Password Never Expires) или Хранить
пароль, и с п о л ь з у я о б р а т и м о е ш и ф р о в а н и е (Store Passwords Using Reversible
E n c r y p t i o n ) , к а к п о к а з а н о на р и с . 8 – 3 . Н а п р и м е р , если пять пользователей
работают с п р и л о ж е н и е м , к о т о р о м у н у ж е н прямой доступ к их паролям, вы
можете о т к о н ф и г у р и р о в а т ь у ч е т н ы е з а п и с и этих пользователей для хранения
их п а р о л е й с о б р а т и м ы м ш и ф р о в а н и е м .
т
сертификаты j 4n*nfp/rvi Репплкллв парог>ей
вшдяцие 5SOXO» | Объект I Безопасность | Среда
Сеемо* | Удзпегиое /rpvsntmso
Профиль сп/жС терми*»г<» I СОМ* | Редактор атрибу roe
05с.*е i Ajctc Учетная ssm-съ J Профиль j Телефоны | Qpr»*waj*s
Ика вед да подо гэ аз тела
р^ ' | Stent 09
Иияеиэде попазоагтелв irpaa-WiridowB 2СОЗ):
, JaMiTosox
Г Разблокировать. учетную мпись
Параметры уч»п-ой запуск:
Требовать смену пароля при сял/у«щем входе в систему JLj
Г" Зэпре туть смек,' пароля пользователем —J
Срок действия пасепя не ограничен
Р" >рвк<тъ паропо используя обратимое u* j" Срж действия учетной записи' " J p ' , f* Никогда г С Истекает– .".-•• ,ла : ОК Отмена [ Применить [ Оградка j Рис. 8-3. Свойства паролей учетной з а п и с и пользователя ' 370 Проверка подлинности Глава 8 Гранулированные политики паролей и блокировки В Windows Server 2008 политику п а р о л е й и б л о к и р о в к и в д о м е н е м о ж н о так1 же заменить новой гранулированной политикой паролей и блокировки, которую называют просто гранулированной политикой паролей. Эту п о л и т и к у можно применять к одной и л и нескольким г р у п п а м п о л ь з о в а т е л е й в д о м е н е . Д л я ис- пользования гранулированной п о л и т и к и п а р о л е й д о м е н д о л ж е н р а б о т а т ь на функциональном уровне Windows Server 2008, о п и с а н н о м в главе 12. Этот компонент – очень ценное д о п о л н е н и е в Active Directory. Существу- ет несколько сценариев и с п о л ь з о в а н и я г р а н у л и р о в а н н о й п о л и т и к и паролей для повышения уровня безопасности домена. У ч е т н ы е з а п и с и , и с п о л ь з у е м ы е администраторами, получают д е л е г и р о в а н н ы е п р и в и л е г и и д л я м о д и ф и к а ц и и объектов в Active Directory. Поэтому если з л о у м ы ш л е н н и к в з л о м а е т учетную запись администратора, он сможет п р и ч и н и т ь б о л ь ш е у щ е р б а домену, чем с помощью учетной записи стандартного п о л ь з о в а т е л я . По э т о й п р и ч и н е для учетных записей администраторов следует р е а л и з о в а т ь б о л е е с т р о г и е требо- вания к паролям. Например, м о ж н о у в е л и ч и т ь м и н и м а л ь н у ю д л и н у пароля и частоту его изменения. Учетные записи, используемые т а к и м и с л у ж б а м и , к а к S Q L Server, могут потребовать особого обращения в домене. С л у ж б а в ы п о л н я е т с в о и ф у н к ц и и с учетными данными, подлинность которых д о л ж н а п р о в е р я т ь с я с применением пользовательского имени и пароля, п о д о б н о у с т а н о в л е н и ю л и ч н о с т и челове- ка. Однако большинство служб не могут и з м е н я т ь с в о й п а р о л ь , п о э т о м у для учетных записей служб а д м и н и с т р а т о р ы в к л ю ч а ю т п а р а м е т р С р о к действия пароля не ограничен (Password Never Expires). Е с л и п а р о л ь у ч е т н о й з а п и с и не меняется, нужно максимально в о с п р е п я т с т в о в а т ь в о з м о ж н о с т и в з л о м а т ь его. С помощью гранулированных п о л и т и к п а р о л е й м о ж н о з а д а т ь о ч е н ь д л и н н ы е пароли без истечения срока действия. Объекты параметров политики Параметры, управляемые гранулированными п о л и т и к а м и паролей, аналогичны параметрам в узлах Политика паролей ( P a s s w o r d Policy) и П о л и т и к а учетной записи (Account Policy) в объекте G P O . О д н а к о г р а н у л и р о в а н н ы е политики паролей не реализованы как часть г р у п п о в о й п о л и т и к и и не п р и м е н я ю т с я
