355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 38)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 38 (всего у книги 91 страниц)

объектами GPO. Эти политики п р е д с т а в л я ю т о т д е л ь н ы й к л а с с объектов Ac-

tive Directory, который поддерживает п а р а м е т р ы г р а н у л и р о в а н н о й политики

паролей: объект параметров политики P S O ( P a s s w o r d S e t t i n g s O b j e c t ) .

СОВЕТ К ЭКЗАМЕНУ

Ко всем пользователям в домене можно применить один и только один автори-

тарный набор параметров политики паролей и блокировки учетной записи. Эти

параметры конфигурируются в объекте групповой политики Default Domain Policy.

Гранулированные политики паролей, которые применяются к отдельным группам

пользователей в домене, реализуются с помощью объектов PSO.

Большинством объектов Active D i r e c t o r y м о ж н о у п р а в л я т ь с помощью

инструментов с графическим пользовательским и н т е р ф е й с о м G U I (Graphical

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 7 1

User Interface), т а к и х как, н а п р и м е р , оснастка Active Directory – пользователи

и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And C o m p u t e r s ) . Управление объектами

P S O о с у щ е с т в л я е т с я с п о м о щ ь ю н и з к о у р о в н е в ы х средств, включая оснастку

Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) .

К СВЕДЕНИЮ Инструмент Password Policy Basic

Хотя на сертификационном экзамене 7 0 – 6 4 0 это может и не понадобиться, для

управления гранулированной политикой паролей настоятельно рекомендуется ис-

пользовать инструмент Password Policy Basic компании Special Operations Software.

Этот инструмент с графическим интерфейсом можно загрузить по адресу http://www.

specopssoft.com.

В д о м е н е м о ж н о создать о д и н и л и н е с к о л ь к о объектов PSO. Каждый P S O

с о д е р ж и т п о л н ы й н а б о р п а р а м е т р о в п о л и т и к и паролей и блокировки. Объект

P S O п р и м е н я е т с я п у т е м с в я з ы в а н и я P S O с одной или несколькими глобальны-

ми г р у п п а м и б е з о п а с н о с т и и л и п о л ь з о в а т е л я м и . Например, чтобы отконфигу-

рировать с т р о г у ю п о л и т и к у п а р о л е й д л я административных учетных записей,

создайте г л о б а л ь н у ю группу безопасности, введите в нее учетные записи и свя-

ж и т е с этой г р у п п о й о б ъ е к т P S O . Т а к о й способ применения гранулированных

п о л и т и к п а р о л е й к г р у п п е п р о д у к т и в н е е , чем применение политик к каждой

отдельной п о л ь з о в а т е л ь с к о й у ч е т н о й записи. Новую учетную запись можно

просто д о б а в и т ь в эту группу, где она будет управляться объектом PSO.

Приоритеты объектов PSO и результирующий PSO

О б ъ е к т P S O м о ж н о с в я з а т ь с н е с к о л ь к и м и группами или пользователями,

а с о т д е л ь н о й г р у п п о й и л и п о л ь з о в а т е л е м может быть связано несколько объ-

ектов P S O . К р о м е того, п о л ь з о в а т е л ь может принадлежать к различным груп-

пам. К а к и е п а р а м е т р ы г р а н у л и р о в а н н о й политики паролей и блокировки бу-

дут п р и м е н е н ы к п о л ь з о в а т е л ю ? Параметры политики паролей и блокировки

пользователя о п р е д е л я е т один и только один объект PSO, который называется

результирующим. К а ж д ы й объект P S O содержит атрибут, определяющий при-

оритет P S O . П р и о р и т е т п р е д с т а в л е н значением больше 0, причем значение 1

указывает н а и в ы с ш и й приоритет. Если к пользователю применяется несколько

объектов P S O , п р и о р и т е т получает объект P S O с максимальным значением.

Далее о п и с а н ы правила, о п р е д е л я ю щ и е приоритет.

• Если к группам, в которые включен пользователь, применяется несколько

объектов P S O , п р е в а л и р у е т P S O с наивысшим приоритетом.

• Если один и л и несколько объектов P S O привязаны непосредственно к поль-

зователю, то объекты P S O , связанные с группами, игнорируются независи-

мо от их приоритета. П р е в а л и р у е т связанный с пользователем объект PSO

с н а и в ы с ш и м приоритетом.

• Если у нескольких объектов P S O значение приоритета одинаково, в Active

Directory должен быть сделан выбор; Поэтому выбирается объект PSO с ми-

нимальным значением глобального уникального идентификатора ( G U I D ) .

И д е н т и ф и к а т о р ы G U I D аналогичны серийным номерам объектов Active

Directory: два объекта не могут иметь одинаковый GUID-идентификатор.

' 372 Проверка подлинности

Глава 8

Идентификаторы G U I D не имеют какого-либо скрытого смысла и л и под-

текста, так что выбор P S O с самым н и з к и м з н а ч е н и е м G U I D – это про-,

извольное решение. Чтобы избежать такого сценария, о т к о н ф и г у р и р у й т е

объекты PSO, установив неповторяющиеся з н а ч е н и я старшинства.

Эти правила определяют результирующий объект P S O . В Active Directory

он отображается в атрибуте объекта пользователя, так что выяснить, какой PSO

влияет на пользователя, не составляет труда. В п р а к т и ч е с к и х у п р а ж н е н и я х

этого занятия вы проанализируете этот атрибут. О б ъ е к т ы P S O содержат все

параметры паролей и блокировки без и с п о л ь з о в а н и я н а с л е д о в а н и я и объеди-

нения. Результирующий объект P S O представляет собой а в т о р и т а р н ы й P S O .

Объекты PSO и подразделения

Объекты PSO можно связать с глобальными группами безопасности и л и поль-

зователями, но не с подразделениями. Ч т о б ы п р и м е н и т ь п о л и т и к и паролей и

блокировки для пользователей в подразделении, н у ж н о создать глобальную

группу безопасности и включить в нее всех пользователей этого подразделения.

Группа такого типа называется теневой, поскольку ч л е н с т в о в ней покрывает

членство в подразделении.

Контрольный вопрос

• Вы хотите, чтобы администраторы поддерживали минимальную длину паро-

ля в 15 знаков и меняли пароль каждые 45 дней. Пользовательские учетные

записи администраторов находятся в подразделении Администраторы. Вы

не намерены применять строгую политику паролей для всех пользователей

в домене. Каким образом решить эту задачу?

Ответ на контрольный вопрос

• Создайте глобальную группу безопасности, содержащую всех пользователей

из подразделения Администраторы. Создайте объект PSO, конфигурирую-

щий политики паролей, и свяжите этот PSO с группой.

Теневые группы – это концептуальные, а не т е х н и ч е с к и е объекты. Вы

просто создаете группу и добавляете в нее п о л ь з о в а т е л е й , п р и н а д л е ж а щ и х

к подразделению. При изменении членства в э т о м п о д р а з д е л е н и и требуется

также изменить членство в теневой группе.

К СВЕДЕНИЮ Теневые группы

Дополнительную информацию об объектах PSO и теневых группах можно найти по

адресу http://technet2.microsoft.com/windowssei-ver2008/en/Hbrary/2199dc/7-68/d-4315-

87cc-ade35J8978ea1033.mspx?mJr=tme.

К СВЕДЕНИЮ Поддержка членства в теневых группах с помощью сценариев

Для динамической поддержки членства в теневых группах и его обновления при

изменении состава подразделений могут использоваться сценарии.

Занятие 1

Настройка политики паролей и блокировки учетных записей

373

Практические занятия. Настройка политики паролей

и блокировки

В предложенных далее у п р а ж н е н и я х вы используете групповую политику для

настройки политик паролей и блокировки учетных записей в домене contoso.com.

Затем вы настроите безопасность административных учетных записей, откон-

фигурировав более строгие п о л и т и к и паролей и блокировки.

У п р а ж н е н и е 1. Н а с т р о й к а п о л и т и к и паролей и блокировки учетных записей

в домене

В этом у п р а ж н е н и и вы м о д и ф и ц и р у е т е объект групповой политики Default

Domain Policy д л я р е а л и з а ц и и п о л и т и к и паролей и блокировки пользователей

в домене contoso.com.

1. Войдите на м а ш и н у S E R V E R 0 1 как Администратор (Administrator).

2. В группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) откройте консоль

Управление г р у п п о в о й п о л и т и к о й ( G r o u p Policy Management).

3. Р а з в е р н и т е у з л ы Л е с ( F o r e s t ) , Д о м е н ы (Domains), а затем узел домена

contoso.com.

4. Под узлом contoso.com щ е л к н и т е правой кнопкой мыши объект Default

Domain Policy и п р и м е н и т е команду Изменить (Edit). При этом может

появиться у в е д о м л е н и е об и з м е н е н и и параметров GPO.

5. Щ е л к н и т е О К .

Откроется Р е д а к т о р у п р а в л е н и я групповыми политиками (Group Policy

M a n a g e m e n t Editor).

6. Р а з в е р н и т е у з е л К о н ф и г у р а ц и я компьютераПолитикиКонфигурация

WindowsnapaMeTpbi безопасностиПолитики учетных записей (Computer

ConfigurationPoliciesWindows SettingsSecurity SettingsAccount Policies)

и выберите параметр П о л и т и к а паролей (Password Policy).

7. В панели сведений консоли дважды щелкните следующие параметры бе-

зопасности и у к а ж и т е такие значения:

• М а к с и м а л ь н ы й с р о к д е й с т в и я п а р о л я (Maximum Password Age):

90 дней;

• М и н и м а л ь н а я длина п а р о л я (Minimum Password Length): 10 знаков.

8. В дереве к о н с о л и в ы б е р и т е узел Политика блокировки учетной записи

(Account Lockout Policy).

9. Д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и Пороговое значение блокировки

(Account Lockout Threshold) и задайте 5 ошибок входа в систему (Invalid

Logon Attempts).

10. Откроется окно Предлагаемые изменения значений (Suggested Value Chan-

ges). Щ е л к н и т е О К .

Д л я параметров Продолжительность блокировки учетной записи (Account

Lockout Duration) и Время до сброса счетчика блокировки (Reset Account

Lockout Counter After) будут автоматически заданы значения 30 мин.

374 Проверка подлинности

Глава 8 /

11. Закройте консоль Редактор у п р а в л е н и я г р у п п о в ы м и п о л и т и к а м и (Group'

Policy Management Editor).

Упражнение 2. Создание объекта параметров п о л и т и к и

В этом упражнении вы создадите объект P S O , к о т о р ы й п р и м е н я е т строгую

гранулированную политику паролей к пользователям в группе Администрато-

ры домена (Domain Admins). Д л я в ы п о л н е н и я у п р а ж н е н и я н у ж н о поместить

группу Администраторы домена в контейнер Users.

1. В группе Администрирование ( A d m i n i s t r a t i v e Tools) о т к р о й т е оснастку

Редактирование ADSI (ADSI Edit).

2. Щелкните правой кнопкой узел Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) и при-

мените команду Подключение к ( C o n n e c t То).

3. В поле Имя (Name) введите contoso.com. Щ е л к н и т е О К .

4. Разверните узел contoso.com и выберите элемент D C = c o n t o s o , D C = c o m .

5. Разверните папку DC=contoso,DC=com и в ы б е р и т е э л е м е н т CN=System.

6. Разверните папку CN=System и выберите э л е м е н т C N = P a s s w o r d Settings

Container.

Все объекты PSO создаются и хранятся в к о н т е й н е р е параметров паролей

PSC (Password Settings Container).

7. Щелкните правой кнопкой м ы ш и к о н т е й н е р P S C , в ы б е р и т е команду Со-

здать (New) и щелкните опцию Объект ( O b j e c t ) .

Откроется диалоговое окно Создание объекта ( C r e a t e Object). В нем нужно

выбрать тип создаваемого объекта. З д е с ь п р е д с т а в л е н т о л ь к о один тип:

msDS-PasswordSettings — техническое и м я класса объекта P S O .

8. Щелкните кнопку Далее (Next).

Вам нужно указать значение д л я каждого а т р и б у т а P S O . Эти атрибуты

аналогичны атрибутам G P O в у п р а ж н е н и и 1.

9. Отконфигурируйте каждый атрибут в соответствии со следующим списком.

После назначения очередного атрибута щ е л к а й т е к н о п к у Далее (Next).

а Общее имя (Common Name): PSO Администраторы домена,

ш Параметр msDS-PasswordSettingsPrecedence: 1. Этот объект P S O получит

наивысший уровень приоритета, поскольку его значение ближе всего

к единице.

• Параметр msDS-PasswordReversibleEncryptionEnabled: False. Этот пароль

не будет храниться с использованием обратимого шифрования.

• Параметр msDS-PasswordHistoryLength: 30. Пользователь не сможет пов-

торно использовать последние 30 паролей.

• Параметр msDS-PasswordComplexityEnabled: True. Включены правила

сложности паролей.

• Параметр msDS-MinimumPasswordLength: 15. Пароли должны содержать

не менее 15 символов.

• Параметр msDS-MinimumPasswordAge: 1:00:00:00. Пользователь не может

изменить свой пароль в течение одного д н я после предыдущего изме-

Занятие 1

Настройка политики паролей и блокировки учетных записей 375

нения. В р е м е н н о й период задается в формате d:hh:mm:ss (дни, часы,

минуты, секунды).

• Параметр MaximumPasswordAge: 45:00:00:00. Пароль необходимо изме-

нять к а ж д ы е 45 дней.

• Параметр msDS-LockoutTh.resh.old: 5. После пяти ошибок входа в течение

интервала времени, указанного следующим атрибутом, учетная запись

пользователя блокируется.

я Параметр msDS-LockoutObservationWindow. 0:01:00:00. После пяти оши-

бок входа (как указано предыдущим атрибутом) в течение одного часа

учетная запись блокируется.

• Параметр msDS-LockoutDuration: 1:00:00:00. Учетная запись блокируется

в течение одного д н я или до ручного снятия блокировки. Значением

О задают б л о к и р о в к у учетных записей до тех пор, пока они не будут

р а з б л о к и р о в а н ы администратором.

В ы ш е п е р е ч и с л е н ы о б я з а т е л ь н ы е атрибуты. Щелкнув кнопку Далее

( N e x t ) на странице атрибута msDS-LockoutDuration, вы сможете откон-

ф и г у р и р о в а т ь д о п о л н и т е л ь н ы е атрибуты.

10. Щ е л к н и т е к н о п к у Д о п о л н и т е л ь н ы е атрибуты (More Attributes).

11. В поле И з м е н и т ь а т р и б у т ( E d i t Attributes) введите CN=DomainAdmins,

CN=Users,DC=contoso,DC=com и щелкните ОК.

12. Щ е л к н и т е к н о п к у Готово (Finish).

Упражнение 3. Идентификация результирующего объекта PSO для пользователя

В этом у п р а ж н е н и и вы идентифицируете объект PSO, который управляет по-

литиками паролей и б л о к и р о в к и учетной записи отдельного пользователя.

1. Откройте оснастку Active Directory – пользователи и компьютеры (Active

Directory Users And C o m p u t e r s ) .

2. Щ е л к н и т е меню Вид (View) и установите флажок Дополнительные ком-

поненты (Advanced Features).

3. Разверните домен contoso.com и в дереве консоли выберите контейнер Users.

4. Щ е л к н и т е правой кнопкой м ы ш и учетную запись Администратор (Admi-

nistrator) и примените команду Свойства (Properties).

5. Перейдите на вкладку Редактор атрибутов (Attribute Editor).

6. Щелкните кнопку Фильтр (Filter) и установите флажок Построенные (Con-

structed).

Атрибут, который вы локализуете на следующем шаге,– это построенный

атрибут, то есть результирующий объект PSO не представляет собой жес-

тко к о д и р о в а н н ы й атрибут пользователя, а вычисляется путем анализа

объектов P S O , связываемых с пользователем в реальном времени.

7. В списке Атрибуты (Attributes) найдите атрибут msDS-ResultantGPO.

8. Идентифицируйте объект PSO, влияющий на пользователя.

Объект P S O Администраторы домена, созданный в упражнении 2, является

результирующим объектом P S O учетной записи Администратор (Administrator).

' 376 Проверка подлинности

Глава 8

Упражнение 4. Удаление объекта PSO

В этом упражнении вы удалите объект PSO, созданный в у п р а ж н е н и и 2, чтобы

его параметры не влияли на конфигурацию в с л е д у ю щ и х у пра ж н е н и я х.

1. Повторите шаги 1 – 6 у п р а ж н е н и я 2 и в к о н с о л и Р е д а к т и р о в а н и е ADSI

(ADSI Edit) выберите контейнер CN=Password Settings Container.

2. В панели сведений консоли выберите объект C N = P S O Администраторы

домена.

3. Нажмите клавишу Delete.

4. Щелкните кнопку Да (Yes).

Резюме

• Параметры политики паролей определяют т р е б о в а н и я и з м е н е н и я пароля,

а также требования к новому паролю.

• Параметры блокировки учетной записи у к а з ы в а ю т Active Directory бло-

кировать учетную запись пользователя, если в т е ч е н и е указанного перио-

да времени произойдет указанное количество о ш и б о к входа. Б л о к и р о в к а

препятствует доступу к ресурсам з л о у м ы ш л е н н и к о в , многократно пытаю-

щихся войти с помощью учетной з а п и с и п о л ь з о в а т е л я , чтобы подобрать

его пароль.

• Домен может иметь только один набор параметров п о л и т и к паролей и бло-

кировки, которые влияют на всех п о л ь з о в а т е л е й в домене. Эти политики

определяются с помощью групповой политики. П а р а м е т р ы по умолчанию в

объекте групповой политики Default Domain Policy можно модифицировать

для настройки политик организации.

• В Windows Server 2008 для глобальных групп безопасности и пользователей

в домене можно назначать различные п о л и т и к и паролей и блокировки. Гра-

нулированные политики паролей развертываются не с п о м о щ ь ю групповой

политики, а посредством объектов параметров п о л и т и к и P S O .

• Если к пользователю или группам, к которым он принадлежит, применяется

несколько объектов PSO, то действующие п о л и т и к и паролей и блокировки

учетной записи пользователя определяет один, так н а з ы в а е м ы й результи-

рующий объект PSO. Им станет объект P S O с н а и в ы с ш и м приоритетом

(значение которого ближе всего к единице). Если один и л и несколько объ-

ектов PSO привязаны непосредственно к пользователю, то при определении

результирующего P S O объекты P S O , с в я з а н н ы е с группами, к которым

принадлежит пользователь, не принимаются в расчет. Превалировать будет

связанный с пользователем объект P S O с н а и в ы с ш и м приоритетом.

Закрепление материала

Следующие вопросы можно использовать д л я проверки знаний, полученных

на занятии 1. Эти вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 7 7

1. Вы работаете а д м и н и с т р а т о р о м в к о м п а н и и Tailspin Toys. Ваш домен Active

Directory и м е е т п о д р а з д е л е н и е Service Accounts с учетными записями всех

пользователей. П о с к о л ь к у вы о т к о н ф и г у р и р о в а л и пароли учетных записей

с б е с к о н е ч н ы м с р о к о м д е й с т в и я , вы хотите п р и м е н и т ь политику паролей,

согласно к о т о р о й п а р о л и д о л ж н ы состоять не менее чем из 40 символов.

Какие из с л е д у ю щ и х д е й с т в и й н у ж н о п р е д п р и н я т ь ? (Выберите все прием-

' л е м ы е ответы. К а ж д ы й п р а в и л ь н ы й ответ – л и ш ь часть полного решения.)

A. В о б ъ е к т е г р у п п о в о й п о л и т и к и Default Domain Policy задать политику

М и н и м а л ь н а я д л и н а п а р о л я ( M i n i m u m Password Length).

Б. С в я з а т ь о б ъ е к т P S O с п о д р а з д е л е н и е м Service Accounts.

B. С о з д а т ь г р у п п у Service Accounts.

Г. С в я з а т ь о б ъ е к т P S O с г р у п п о й Service Accounts.

Д. Д о б а в и т ь все у ч е т н ы е з а п и с и в группу Service Accounts.

2. В а м н у ж н о о т к о н ф и г у р и р о в а т ь п о л и т и к у б л о к и р о в к и учетных записей

и о т к л ю ч и т ь а в т о м а т и ч е с к о е с н я т и е блокировки. Вы хотите, чтобы разбло-

к и р о в а н и е м у ч е т н ы х з а п и с е й з а н и м а л с я администратор. Какое изменение

следует в н е с т и в к о н ф и г у р а ц и ю ?

A. В п а р а м е т р е п о л и т и к и П р о д о л ж и т е л ь н о с т ь блокировки учетной записи

( A c c o u n t L o c k o u t D u r a t i o n ) задать значение 100.

Б. В п а р а м е т р е п о л и т и к и П р о д о л ж и т е л ь н о с т ь блокировки учетной записи

задать з н а ч е н и е 1.

B. В п а р а м е т р е П о р о г о в о е з н а ч е н и е б л о к и р о в к и (Account Lockout

T h r e s h o l d ) з а д а т ь з н а ч е н и е 0.

Г. В п а р а м е т р е п о л и т и к и Продолжительность блокировки учетной записи

задать з н а ч е н и е 0.

3. Вы о ц е н и в а е т е о б ъ е к т ы п а р а м е т р о в паролей в домене и обнаруживаете

объект P S O с и м е н е м P S O l и приоритетом 1, связанный с группой Справка.

Еще один о б ъ е к т P S O с и м е н е м P S 0 2 и приоритетом 99 связан с группой

Поддержка. М а й к Д а н с е г л и о в х о д и т в обе эти группы – Справка и Под-

держка. Вы о б н а р у ж и л и , что д в а объекта P S O связаны непосредственно

с п о л ь з о в а т е л е м М а й к о м Д а н с е г л и о . Объект P S 0 3 имеет приоритет 50,

a P S 0 4 – п р и о р и т е т 200. К а к о й объект P S O будет результирующим для

М а й к а ?

A. P S O l .

Б . P S 0 2 .

B. P S 0 3 .

Г. P S 0 4 .

Занятие 2. Аудит проверки подлинности

В главе 7 мы рассматривали, как конфигурировать аудит для некоторых типов

операций, в к л ю ч а я доступ к п а п к а м и изменения объектов службы каталогов.

В Windows Server 2008 м о ж н о также выполнять аудит операций пользовате-

лей в домене. В ы п о л н я я аудит успешного входа в домен, можно определить

' 378 Проверка подлинности

Глава 8

ситуации, когда учетная запись и с п о л ь з о в а л а с ь в н е с о о т в е т с т в у ю щ е е время

или в ненадлежащем месте, что м о ж е т б ы т ь п р и з н а к о м п р и м е н е н и я этой за-

писи злоумышленником. Аудит н е у д а ч н о г о в х о д а м о ж е т в ы я в и т ь п о п ы т к и

злоумышленников взломать у ч е т н у ю з а п и с ь . Н а э т о м з а н я т и и м ы обсудим

настройку аудита входа в домен.

Изучив материалы этого занятия, вы сможете:

Конфигурировать аудит операций, связанных с проверкой подлинности.

S Идентифицировать вход и события входа учетной записи.

У Отыскивать в журнале Безопасность (Security) события, связанные с про-

веркой подлинности.

Продолжительность занятия – около 30 мин.

Вход и события входа учетной записи

На этом занятии описаны два к о н к р е т н ы х п а р а м е т р а п о л и т и к и : Аудит событий

входа в систему (Audit Account Logon E v e n t s ) и Аудит входа в с и с т е м у ( A u d i t

Logon Events). Важно понимать р а з н и ц у м е ж д у э т и м и п о х о ж и м и параметрами

политики.

Когда пользователь входит на л ю б о й к о м п ь ю т е р в д о м е н е с п о м о щ ь ю своей

доменной учетной записи, к о н т р о л л е р д о м е н а п р о в е р я е т п о д л и н н о с т ь вве-

денных учетных данных. На к о н т р о л л е р е д о м е н а г е н е р и р у е т с я с о б ы т и е входа

учетной записи в систему.

Компьютер, на котором пользователь в х о д и т в д о м е н ( н а п р и м е р , ноутбук

пользователя), генерирует событие входа. К о м п ь ю т е р не п р о в е р я е т подлин-

ность учетной записи пользователя, а л и ш ь передает ее к о н т р о л л е р у домена

для проверки. Тем не менее компьютер п о з в о л я е т п о л ь з о в а т е л ю и н т е р а к т и в н о

войти в систему. Поэтому данное событие н а з ы в а е т с я с о б ы т и е м входа.

Когда пользователь интерактивно п о д к л ю ч а е т с я к п а п к е на сервере в до-

мене, этот сервер выполняет а в т о р и з а ц и ю п о л ь з о в а т е л я д л я так называемого

сетевого входа. Опять-таки, сервер не п р о в е р я е т п о д л и н н о с т ь пользователя,

а полагается на «билет», в ы д а н н ы й п о л ь з о в а т е л ю к о н т р о л л е р о м домена. И все

же подключение, выполняемое п о л ь з о в а т е л е м , г е н е р и р у е т с о б ы т и е входа на

сервер.

СОВЕТ К ЭКЗАМЕНУ

Умейте отличать события входа учетной записи н события входа. Проще всего запом-

нить разницу так: событие входа учетной записи генерируется в месте размещения

учетной записи – на контроллере домена, проверяющем подлинность пользователя.

Событие входа генерируется на компьютере, на который пользователь входит ин-

терактивно. Оно также генерируется на файловом сервере, к которому пользователь

подключается через сетевой вход.

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 7 9

Настройка политик проверки подлинности

В W i n d o w s S e r v e r 2 0 0 8 м о ж н о в ы п о л н я т ь аудит событий входа учетной записи

и входа в систему. П а р а м е т р ы у п р а в л е н и я аудитом собраны в узле объекта G P O

К о н ф и г у р а ц и я к о м п ы о т е р а Г 1 о л и т и к н К о н ф и г у р а ц и я W i n d o w s J I o i ^ b H b i e

п о л и т и к и П о л и т и к а а у д и т а ( C o m p u t e r C o n f i g u r a t i o n P o l i c i e s W i n d o w s

S e t t i n g s S e c u r i t y S e t t i n g s L o c a l P o l i c i e s A u d i t Policy). Н а рис. 8-4 показан

у з е л П о л и т и к а а у д и т а ( A u d i t P o l i c y ) с д в у м я параметрами.

J f l J * !

КоиСЭЛо Д«Г»ГТбИ€ Эйд Отрежь

Политика Default Doman Pokey [SERVEROl.ccotoso com) " Политика

| Параметр поли'.<к>'

ti Конфигурация кочгъют epa

Аудит входа в систему

Успех, Отказ

3 Политики

. Аудит доступа к объектаи

Не опредепемо

!ii!

!ii ;

! Конфигурация

Конфигураци прогргп

я

и

прогргп

.;.':• Аудит доступа к служ5е каталогов

Не определено

13

1 j ...

j i

... Конфигурация

Конфигураци Window

я

s

Window

.',.'• Аудит изменения nomrrvto!

Не определено

• Сценари

и

Сценари (запуск/завершение

и

)

(запуск/завершение

Аудит нелользева^я привилегий

Не определено

3 Параметры

Параметр безопасност

ы

и

безопасност

. Аудит отстеживажя процессов

Не определено

21

2 Полити

1

к учетны

к

х

учетны загисей

загисе

« Локальны

«

е

Локальны поттжи

.,'•. Аудит антенных событий

Не определено

и

53

5 Попита» аудит

»

а

аудит

Аудит событий входа в систему

Успех, Отказ

Сй

С Назначение

Назначени пра

е

в

пра пользователя

пользовател

Аудит угргепениа учетные записям

Не определено

ей Параметры безопасности

S Журнал событии

3 : ^ Группы с ограниченны* доступом

S3 j а Системные службы

Э Реестр

, J J

j J

Рис. 8-4. Параметры политики проверки подлинности

Д л я н а с т р о й к и п о л и т и к и а у д и т а д в а ж д ы щелкните политику, чтобы открыть

д и а л о г о в о е о к н о с в о й с т в . На рис. 8 – 5 представлено диалоговое окно Свойства:

Аудит с о б ы т и й в х о д а в с и с т е м у ( A u d i t A c c o u n t Logon Events Properties).

Герв-втв r-orvTw* SejcwtjCTH J Ов-мсиемие |

ЩШ A»fi*T со&пмв ахова V юЦю

P Огхлаелт, спеадюшив гдавкв-гы п:<лит»«о>

Вес т* «уди– е.яеQ№« глгияс* воСутл

Р успех

I OK } QOKW* |

Рис. 8-5. Свойства аудита с о б ы т и й входа в систему

I 3 8 0 Проверка подлинности

Глава 8

Для параметров политики м о ж н о о т к о н ф и г у р и р о в а т ь о д н о из с л е д у ю щ и х .

состояний с учетом того, установлен ли ф л а ж о к О п р е д е л и т ь с л е д у ю щ и е па-

раметры политики (Define These Policy S e t t i n g s ) .

• He определено ( N o t D e f i n e d ) Если этот ф л а ж о к не установлен, параметр

политики не определен. Тогда сервер будет в ы п о л н я т ь а у д и т с о б ы т и й на

основе своих параметров по у м о л ч а н и ю и л и п а р а м е т р о в , у к а з а н н ы х в дру-

гом объекте G P O .

• Определен б е з аудита Если у к а з а н н ы й ф л а ж о к у с т а н о в л е н , но ф л а ж к и

Успех (Success) и Отказ (Failure) с б р о ш е н ы , с е р в е р не будет в ы п о л н я т ь

аудит.

• Аудит событий успеха Если д а н н ы й ф л а ж о к у с т а н о в л е н в м е с т е с ф л а ж -

ком Успех (Success), сервер будет в ы п о л н я т ь а у д и т у с п е ш н ы х с о б ы т и й

в журнале Безопасность (Security).

• Аудит событий отказа Если у к а з а н н ы й ф л а ж о к у с т а н о в л е н вместе с ф л а ж -

ком Отказ (Failure), сервер будет в ы п о л н я т ь а у д и т у с п е ш н ы х с о б ы т и й

в журнале Безопасность ( S e c u r i t y ) .

Проведение аудита сервера о п р е д е л я е т с я п а р а м е т р о м , к о т о р ы й получает

приоритет на основе п р а в и л п р и м е н е н и я п о л и т и к и , о п и с а н н ы х в г л а в е 6.

Назначение области действия политики аудита

Как и в случае с политиками безопасности, н а з н а ч а т ь о б л а с т ь д е й с т в и я пара-

метров следует точно, чтобы они в л и я л и на с о о т в е т с т в у ю щ и е системы. Напри-

мер, для аудита попыток пользователей п о д к л ю ч и т ь с я к ф а й л о в ы м серверам на

предприятии можно о т к о н ф и г у р и р о в а т ь а у д и т с о б ы т и й в х о д а в о б ъ е к т е G P O ,

связанном с подразделением, в к о т о р о е в х о д я т ф а й л о в ы е с е р в е р ы . В качестве

альтернативы, чтобы выполнять аудит входа п о л ь з о в а т е л е й в н а с т о л ь н ы е систе-

мы в отделе кадров, можно о т к о н ф и г у р и р о в а т ь а у д и т с о б ы т и й входа в объекте

GPO, связанном с подразделением, в к о т о р о е в к л ю ч е н ы о б ъ е к т ы к о м п ь ю т е р о в

отдела кадров. Помните, что п о л ь з о в а т е л и домена, в х о д я щ и е на к л и е н т с к и й

компьютер или подключающиеся к серверу, будут г е н е р и р о в а т ь в э т о й системе

событие входа, а не событие входа учетной з а п и с и .

Только контроллеры домена г е н е р и р у ю т с о б ы т и я в х о д а у ч е т н о й записи

для пользователей домена. Помните, что с о б ы т и я в х о д а у ч е т н о й з а п и с и гене-

рируются на контроллере домена, п р о в е р я ю щ е м п о д л и н н о с т ь п о л ь з о в а т е л я

независимо от компьютера, с которого п о л ь з о в а т е л ь в х о д и т в домен. Чтобы

выполнять аудит событий входа учетных з а п и с е й домена, в к л ю ч и т е в область

действия аудита событий входа только к о н т р о л л е р ы домена. И д е а л ь н ы й объект

G P O для конфигурации политик аудита входа у ч е т н ы х з а п и с е й – D e f a u l t Do-

main Controllers, создаваемый п р и установке первого к о н т р о л л е р а в домене.

В предыдущем подразделе мы говорили, что если п о л и т и к а аудита событий

не определена, система будет в ы п о л н я т ь а у д и т на основе п а р а м е т р о в в других

объектах G P O или своих параметров по у м о л ч а н и ю . В W i n d o w s Server 2008

по умолчанию выполняется аудит успешных с о б ы т и й входа учетных записей

и событий входа, то есть успех входа у ч е т н о й з а п и с и и просто входа регист-

рируется в журнале Безопасность ( S e c u r i t y ) . Ч т о б ы в ы п о л н я т ь аудит отказов

Занятие 1 Настройка политики паролей и блокировки учетных записей 3 8 1

и л и о т к л ю ч и т ь а у д и т в о о б щ е , н е о б х о д и м о указать соответствующий параметр

в п о л и т и к е аудита.

К о н т р о л ь н ы й в о п р о с

• Вас беспокоит, что злоумышленник пытается получить доступ к сети, под-


    Ваша оценка произведения:

Популярные книги за неделю