Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 38 (всего у книги 91 страниц)
объектами GPO. Эти политики п р е д с т а в л я ю т о т д е л ь н ы й к л а с с объектов Ac-
tive Directory, который поддерживает п а р а м е т р ы г р а н у л и р о в а н н о й политики
паролей: объект параметров политики P S O ( P a s s w o r d S e t t i n g s O b j e c t ) .
СОВЕТ К ЭКЗАМЕНУ
Ко всем пользователям в домене можно применить один и только один автори-
тарный набор параметров политики паролей и блокировки учетной записи. Эти
параметры конфигурируются в объекте групповой политики Default Domain Policy.
Гранулированные политики паролей, которые применяются к отдельным группам
пользователей в домене, реализуются с помощью объектов PSO.
Большинством объектов Active D i r e c t o r y м о ж н о у п р а в л я т ь с помощью
инструментов с графическим пользовательским и н т е р ф е й с о м G U I (Graphical
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 7 1
User Interface), т а к и х как, н а п р и м е р , оснастка Active Directory – пользователи
и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And C o m p u t e r s ) . Управление объектами
P S O о с у щ е с т в л я е т с я с п о м о щ ь ю н и з к о у р о в н е в ы х средств, включая оснастку
Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) .
К СВЕДЕНИЮ Инструмент Password Policy Basic
Хотя на сертификационном экзамене 7 0 – 6 4 0 это может и не понадобиться, для
управления гранулированной политикой паролей настоятельно рекомендуется ис-
пользовать инструмент Password Policy Basic компании Special Operations Software.
Этот инструмент с графическим интерфейсом можно загрузить по адресу http://www.
specopssoft.com.
В д о м е н е м о ж н о создать о д и н и л и н е с к о л ь к о объектов PSO. Каждый P S O
с о д е р ж и т п о л н ы й н а б о р п а р а м е т р о в п о л и т и к и паролей и блокировки. Объект
P S O п р и м е н я е т с я п у т е м с в я з ы в а н и я P S O с одной или несколькими глобальны-
ми г р у п п а м и б е з о п а с н о с т и и л и п о л ь з о в а т е л я м и . Например, чтобы отконфигу-
рировать с т р о г у ю п о л и т и к у п а р о л е й д л я административных учетных записей,
создайте г л о б а л ь н у ю группу безопасности, введите в нее учетные записи и свя-
ж и т е с этой г р у п п о й о б ъ е к т P S O . Т а к о й способ применения гранулированных
п о л и т и к п а р о л е й к г р у п п е п р о д у к т и в н е е , чем применение политик к каждой
отдельной п о л ь з о в а т е л ь с к о й у ч е т н о й записи. Новую учетную запись можно
просто д о б а в и т ь в эту группу, где она будет управляться объектом PSO.
Приоритеты объектов PSO и результирующий PSO
О б ъ е к т P S O м о ж н о с в я з а т ь с н е с к о л ь к и м и группами или пользователями,
а с о т д е л ь н о й г р у п п о й и л и п о л ь з о в а т е л е м может быть связано несколько объ-
ектов P S O . К р о м е того, п о л ь з о в а т е л ь может принадлежать к различным груп-
пам. К а к и е п а р а м е т р ы г р а н у л и р о в а н н о й политики паролей и блокировки бу-
дут п р и м е н е н ы к п о л ь з о в а т е л ю ? Параметры политики паролей и блокировки
пользователя о п р е д е л я е т один и только один объект PSO, который называется
результирующим. К а ж д ы й объект P S O содержит атрибут, определяющий при-
оритет P S O . П р и о р и т е т п р е д с т а в л е н значением больше 0, причем значение 1
указывает н а и в ы с ш и й приоритет. Если к пользователю применяется несколько
объектов P S O , п р и о р и т е т получает объект P S O с максимальным значением.
Далее о п и с а н ы правила, о п р е д е л я ю щ и е приоритет.
• Если к группам, в которые включен пользователь, применяется несколько
объектов P S O , п р е в а л и р у е т P S O с наивысшим приоритетом.
• Если один и л и несколько объектов P S O привязаны непосредственно к поль-
зователю, то объекты P S O , связанные с группами, игнорируются независи-
мо от их приоритета. П р е в а л и р у е т связанный с пользователем объект PSO
с н а и в ы с ш и м приоритетом.
• Если у нескольких объектов P S O значение приоритета одинаково, в Active
Directory должен быть сделан выбор; Поэтому выбирается объект PSO с ми-
нимальным значением глобального уникального идентификатора ( G U I D ) .
И д е н т и ф и к а т о р ы G U I D аналогичны серийным номерам объектов Active
Directory: два объекта не могут иметь одинаковый GUID-идентификатор.
' 372 Проверка подлинности
Глава 8
Идентификаторы G U I D не имеют какого-либо скрытого смысла и л и под-
текста, так что выбор P S O с самым н и з к и м з н а ч е н и е м G U I D – это про-,
извольное решение. Чтобы избежать такого сценария, о т к о н ф и г у р и р у й т е
объекты PSO, установив неповторяющиеся з н а ч е н и я старшинства.
Эти правила определяют результирующий объект P S O . В Active Directory
он отображается в атрибуте объекта пользователя, так что выяснить, какой PSO
влияет на пользователя, не составляет труда. В п р а к т и ч е с к и х у п р а ж н е н и я х
этого занятия вы проанализируете этот атрибут. О б ъ е к т ы P S O содержат все
параметры паролей и блокировки без и с п о л ь з о в а н и я н а с л е д о в а н и я и объеди-
нения. Результирующий объект P S O представляет собой а в т о р и т а р н ы й P S O .
Объекты PSO и подразделения
Объекты PSO можно связать с глобальными группами безопасности и л и поль-
зователями, но не с подразделениями. Ч т о б ы п р и м е н и т ь п о л и т и к и паролей и
блокировки для пользователей в подразделении, н у ж н о создать глобальную
группу безопасности и включить в нее всех пользователей этого подразделения.
Группа такого типа называется теневой, поскольку ч л е н с т в о в ней покрывает
членство в подразделении.
Контрольный вопрос
• Вы хотите, чтобы администраторы поддерживали минимальную длину паро-
ля в 15 знаков и меняли пароль каждые 45 дней. Пользовательские учетные
записи администраторов находятся в подразделении Администраторы. Вы
не намерены применять строгую политику паролей для всех пользователей
в домене. Каким образом решить эту задачу?
Ответ на контрольный вопрос
• Создайте глобальную группу безопасности, содержащую всех пользователей
из подразделения Администраторы. Создайте объект PSO, конфигурирую-
щий политики паролей, и свяжите этот PSO с группой.
Теневые группы – это концептуальные, а не т е х н и ч е с к и е объекты. Вы
просто создаете группу и добавляете в нее п о л ь з о в а т е л е й , п р и н а д л е ж а щ и х
к подразделению. При изменении членства в э т о м п о д р а з д е л е н и и требуется
также изменить членство в теневой группе.
К СВЕДЕНИЮ Теневые группы
Дополнительную информацию об объектах PSO и теневых группах можно найти по
адресу http://technet2.microsoft.com/windowssei-ver2008/en/Hbrary/2199dc/7-68/d-4315-
87cc-ade35J8978ea1033.mspx?mJr=tme.
К СВЕДЕНИЮ Поддержка членства в теневых группах с помощью сценариев
Для динамической поддержки членства в теневых группах и его обновления при
изменении состава подразделений могут использоваться сценарии.
Занятие 1
Настройка политики паролей и блокировки учетных записей
373
Практические занятия. Настройка политики паролей
и блокировки
В предложенных далее у п р а ж н е н и я х вы используете групповую политику для
настройки политик паролей и блокировки учетных записей в домене contoso.com.
Затем вы настроите безопасность административных учетных записей, откон-
фигурировав более строгие п о л и т и к и паролей и блокировки.
У п р а ж н е н и е 1. Н а с т р о й к а п о л и т и к и паролей и блокировки учетных записей
в домене
В этом у п р а ж н е н и и вы м о д и ф и ц и р у е т е объект групповой политики Default
Domain Policy д л я р е а л и з а ц и и п о л и т и к и паролей и блокировки пользователей
в домене contoso.com.
1. Войдите на м а ш и н у S E R V E R 0 1 как Администратор (Administrator).
2. В группе А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) откройте консоль
Управление г р у п п о в о й п о л и т и к о й ( G r o u p Policy Management).
3. Р а з в е р н и т е у з л ы Л е с ( F o r e s t ) , Д о м е н ы (Domains), а затем узел домена
contoso.com.
4. Под узлом contoso.com щ е л к н и т е правой кнопкой мыши объект Default
Domain Policy и п р и м е н и т е команду Изменить (Edit). При этом может
появиться у в е д о м л е н и е об и з м е н е н и и параметров GPO.
5. Щ е л к н и т е О К .
Откроется Р е д а к т о р у п р а в л е н и я групповыми политиками (Group Policy
M a n a g e m e n t Editor).
6. Р а з в е р н и т е у з е л К о н ф и г у р а ц и я компьютераПолитикиКонфигурация
WindowsnapaMeTpbi безопасностиПолитики учетных записей (Computer
ConfigurationPoliciesWindows SettingsSecurity SettingsAccount Policies)
и выберите параметр П о л и т и к а паролей (Password Policy).
7. В панели сведений консоли дважды щелкните следующие параметры бе-
зопасности и у к а ж и т е такие значения:
• М а к с и м а л ь н ы й с р о к д е й с т в и я п а р о л я (Maximum Password Age):
90 дней;
• М и н и м а л ь н а я длина п а р о л я (Minimum Password Length): 10 знаков.
8. В дереве к о н с о л и в ы б е р и т е узел Политика блокировки учетной записи
(Account Lockout Policy).
9. Д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и Пороговое значение блокировки
(Account Lockout Threshold) и задайте 5 ошибок входа в систему (Invalid
Logon Attempts).
10. Откроется окно Предлагаемые изменения значений (Suggested Value Chan-
ges). Щ е л к н и т е О К .
Д л я параметров Продолжительность блокировки учетной записи (Account
Lockout Duration) и Время до сброса счетчика блокировки (Reset Account
Lockout Counter After) будут автоматически заданы значения 30 мин.
374 Проверка подлинности
Глава 8 /
11. Закройте консоль Редактор у п р а в л е н и я г р у п п о в ы м и п о л и т и к а м и (Group'
Policy Management Editor).
Упражнение 2. Создание объекта параметров п о л и т и к и
В этом упражнении вы создадите объект P S O , к о т о р ы й п р и м е н я е т строгую
гранулированную политику паролей к пользователям в группе Администрато-
ры домена (Domain Admins). Д л я в ы п о л н е н и я у п р а ж н е н и я н у ж н о поместить
группу Администраторы домена в контейнер Users.
1. В группе Администрирование ( A d m i n i s t r a t i v e Tools) о т к р о й т е оснастку
Редактирование ADSI (ADSI Edit).
2. Щелкните правой кнопкой узел Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) и при-
мените команду Подключение к ( C o n n e c t То).
3. В поле Имя (Name) введите contoso.com. Щ е л к н и т е О К .
4. Разверните узел contoso.com и выберите элемент D C = c o n t o s o , D C = c o m .
5. Разверните папку DC=contoso,DC=com и в ы б е р и т е э л е м е н т CN=System.
6. Разверните папку CN=System и выберите э л е м е н т C N = P a s s w o r d Settings
Container.
Все объекты PSO создаются и хранятся в к о н т е й н е р е параметров паролей
PSC (Password Settings Container).
7. Щелкните правой кнопкой м ы ш и к о н т е й н е р P S C , в ы б е р и т е команду Со-
здать (New) и щелкните опцию Объект ( O b j e c t ) .
Откроется диалоговое окно Создание объекта ( C r e a t e Object). В нем нужно
выбрать тип создаваемого объекта. З д е с ь п р е д с т а в л е н т о л ь к о один тип:
msDS-PasswordSettings — техническое и м я класса объекта P S O .
8. Щелкните кнопку Далее (Next).
Вам нужно указать значение д л я каждого а т р и б у т а P S O . Эти атрибуты
аналогичны атрибутам G P O в у п р а ж н е н и и 1.
9. Отконфигурируйте каждый атрибут в соответствии со следующим списком.
После назначения очередного атрибута щ е л к а й т е к н о п к у Далее (Next).
а Общее имя (Common Name): PSO Администраторы домена,
ш Параметр msDS-PasswordSettingsPrecedence: 1. Этот объект P S O получит
наивысший уровень приоритета, поскольку его значение ближе всего
к единице.
• Параметр msDS-PasswordReversibleEncryptionEnabled: False. Этот пароль
не будет храниться с использованием обратимого шифрования.
• Параметр msDS-PasswordHistoryLength: 30. Пользователь не сможет пов-
торно использовать последние 30 паролей.
• Параметр msDS-PasswordComplexityEnabled: True. Включены правила
сложности паролей.
• Параметр msDS-MinimumPasswordLength: 15. Пароли должны содержать
не менее 15 символов.
• Параметр msDS-MinimumPasswordAge: 1:00:00:00. Пользователь не может
изменить свой пароль в течение одного д н я после предыдущего изме-
Занятие 1
Настройка политики паролей и блокировки учетных записей 375
нения. В р е м е н н о й период задается в формате d:hh:mm:ss (дни, часы,
минуты, секунды).
• Параметр MaximumPasswordAge: 45:00:00:00. Пароль необходимо изме-
нять к а ж д ы е 45 дней.
• Параметр msDS-LockoutTh.resh.old: 5. После пяти ошибок входа в течение
интервала времени, указанного следующим атрибутом, учетная запись
пользователя блокируется.
я Параметр msDS-LockoutObservationWindow. 0:01:00:00. После пяти оши-
бок входа (как указано предыдущим атрибутом) в течение одного часа
учетная запись блокируется.
• Параметр msDS-LockoutDuration: 1:00:00:00. Учетная запись блокируется
в течение одного д н я или до ручного снятия блокировки. Значением
О задают б л о к и р о в к у учетных записей до тех пор, пока они не будут
р а з б л о к и р о в а н ы администратором.
В ы ш е п е р е ч и с л е н ы о б я з а т е л ь н ы е атрибуты. Щелкнув кнопку Далее
( N e x t ) на странице атрибута msDS-LockoutDuration, вы сможете откон-
ф и г у р и р о в а т ь д о п о л н и т е л ь н ы е атрибуты.
10. Щ е л к н и т е к н о п к у Д о п о л н и т е л ь н ы е атрибуты (More Attributes).
11. В поле И з м е н и т ь а т р и б у т ( E d i t Attributes) введите CN=DomainAdmins,
CN=Users,DC=contoso,DC=com и щелкните ОК.
12. Щ е л к н и т е к н о п к у Готово (Finish).
Упражнение 3. Идентификация результирующего объекта PSO для пользователя
В этом у п р а ж н е н и и вы идентифицируете объект PSO, который управляет по-
литиками паролей и б л о к и р о в к и учетной записи отдельного пользователя.
1. Откройте оснастку Active Directory – пользователи и компьютеры (Active
Directory Users And C o m p u t e r s ) .
2. Щ е л к н и т е меню Вид (View) и установите флажок Дополнительные ком-
поненты (Advanced Features).
3. Разверните домен contoso.com и в дереве консоли выберите контейнер Users.
4. Щ е л к н и т е правой кнопкой м ы ш и учетную запись Администратор (Admi-
nistrator) и примените команду Свойства (Properties).
5. Перейдите на вкладку Редактор атрибутов (Attribute Editor).
6. Щелкните кнопку Фильтр (Filter) и установите флажок Построенные (Con-
structed).
Атрибут, который вы локализуете на следующем шаге,– это построенный
атрибут, то есть результирующий объект PSO не представляет собой жес-
тко к о д и р о в а н н ы й атрибут пользователя, а вычисляется путем анализа
объектов P S O , связываемых с пользователем в реальном времени.
7. В списке Атрибуты (Attributes) найдите атрибут msDS-ResultantGPO.
8. Идентифицируйте объект PSO, влияющий на пользователя.
Объект P S O Администраторы домена, созданный в упражнении 2, является
результирующим объектом P S O учетной записи Администратор (Administrator).
' 376 Проверка подлинности
Глава 8
Упражнение 4. Удаление объекта PSO
В этом упражнении вы удалите объект PSO, созданный в у п р а ж н е н и и 2, чтобы
его параметры не влияли на конфигурацию в с л е д у ю щ и х у пра ж н е н и я х.
1. Повторите шаги 1 – 6 у п р а ж н е н и я 2 и в к о н с о л и Р е д а к т и р о в а н и е ADSI
(ADSI Edit) выберите контейнер CN=Password Settings Container.
2. В панели сведений консоли выберите объект C N = P S O Администраторы
домена.
3. Нажмите клавишу Delete.
4. Щелкните кнопку Да (Yes).
Резюме
• Параметры политики паролей определяют т р е б о в а н и я и з м е н е н и я пароля,
а также требования к новому паролю.
• Параметры блокировки учетной записи у к а з ы в а ю т Active Directory бло-
кировать учетную запись пользователя, если в т е ч е н и е указанного перио-
да времени произойдет указанное количество о ш и б о к входа. Б л о к и р о в к а
препятствует доступу к ресурсам з л о у м ы ш л е н н и к о в , многократно пытаю-
щихся войти с помощью учетной з а п и с и п о л ь з о в а т е л я , чтобы подобрать
его пароль.
• Домен может иметь только один набор параметров п о л и т и к паролей и бло-
кировки, которые влияют на всех п о л ь з о в а т е л е й в домене. Эти политики
определяются с помощью групповой политики. П а р а м е т р ы по умолчанию в
объекте групповой политики Default Domain Policy можно модифицировать
для настройки политик организации.
• В Windows Server 2008 для глобальных групп безопасности и пользователей
в домене можно назначать различные п о л и т и к и паролей и блокировки. Гра-
нулированные политики паролей развертываются не с п о м о щ ь ю групповой
политики, а посредством объектов параметров п о л и т и к и P S O .
• Если к пользователю или группам, к которым он принадлежит, применяется
несколько объектов PSO, то действующие п о л и т и к и паролей и блокировки
учетной записи пользователя определяет один, так н а з ы в а е м ы й результи-
рующий объект PSO. Им станет объект P S O с н а и в ы с ш и м приоритетом
(значение которого ближе всего к единице). Если один и л и несколько объ-
ектов PSO привязаны непосредственно к пользователю, то при определении
результирующего P S O объекты P S O , с в я з а н н ы е с группами, к которым
принадлежит пользователь, не принимаются в расчет. Превалировать будет
связанный с пользователем объект P S O с н а и в ы с ш и м приоритетом.
Закрепление материала
Следующие вопросы можно использовать д л я проверки знаний, полученных
на занятии 1. Эти вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 7 7
1. Вы работаете а д м и н и с т р а т о р о м в к о м п а н и и Tailspin Toys. Ваш домен Active
Directory и м е е т п о д р а з д е л е н и е Service Accounts с учетными записями всех
пользователей. П о с к о л ь к у вы о т к о н ф и г у р и р о в а л и пароли учетных записей
с б е с к о н е ч н ы м с р о к о м д е й с т в и я , вы хотите п р и м е н и т ь политику паролей,
согласно к о т о р о й п а р о л и д о л ж н ы состоять не менее чем из 40 символов.
Какие из с л е д у ю щ и х д е й с т в и й н у ж н о п р е д п р и н я т ь ? (Выберите все прием-
' л е м ы е ответы. К а ж д ы й п р а в и л ь н ы й ответ – л и ш ь часть полного решения.)
A. В о б ъ е к т е г р у п п о в о й п о л и т и к и Default Domain Policy задать политику
М и н и м а л ь н а я д л и н а п а р о л я ( M i n i m u m Password Length).
Б. С в я з а т ь о б ъ е к т P S O с п о д р а з д е л е н и е м Service Accounts.
B. С о з д а т ь г р у п п у Service Accounts.
Г. С в я з а т ь о б ъ е к т P S O с г р у п п о й Service Accounts.
Д. Д о б а в и т ь все у ч е т н ы е з а п и с и в группу Service Accounts.
2. В а м н у ж н о о т к о н ф и г у р и р о в а т ь п о л и т и к у б л о к и р о в к и учетных записей
и о т к л ю ч и т ь а в т о м а т и ч е с к о е с н я т и е блокировки. Вы хотите, чтобы разбло-
к и р о в а н и е м у ч е т н ы х з а п и с е й з а н и м а л с я администратор. Какое изменение
следует в н е с т и в к о н ф и г у р а ц и ю ?
A. В п а р а м е т р е п о л и т и к и П р о д о л ж и т е л ь н о с т ь блокировки учетной записи
( A c c o u n t L o c k o u t D u r a t i o n ) задать значение 100.
Б. В п а р а м е т р е п о л и т и к и П р о д о л ж и т е л ь н о с т ь блокировки учетной записи
задать з н а ч е н и е 1.
B. В п а р а м е т р е П о р о г о в о е з н а ч е н и е б л о к и р о в к и (Account Lockout
T h r e s h o l d ) з а д а т ь з н а ч е н и е 0.
Г. В п а р а м е т р е п о л и т и к и Продолжительность блокировки учетной записи
задать з н а ч е н и е 0.
3. Вы о ц е н и в а е т е о б ъ е к т ы п а р а м е т р о в паролей в домене и обнаруживаете
объект P S O с и м е н е м P S O l и приоритетом 1, связанный с группой Справка.
Еще один о б ъ е к т P S O с и м е н е м P S 0 2 и приоритетом 99 связан с группой
Поддержка. М а й к Д а н с е г л и о в х о д и т в обе эти группы – Справка и Под-
держка. Вы о б н а р у ж и л и , что д в а объекта P S O связаны непосредственно
с п о л ь з о в а т е л е м М а й к о м Д а н с е г л и о . Объект P S 0 3 имеет приоритет 50,
a P S 0 4 – п р и о р и т е т 200. К а к о й объект P S O будет результирующим для
М а й к а ?
A. P S O l .
Б . P S 0 2 .
B. P S 0 3 .
Г. P S 0 4 .
Занятие 2. Аудит проверки подлинности
В главе 7 мы рассматривали, как конфигурировать аудит для некоторых типов
операций, в к л ю ч а я доступ к п а п к а м и изменения объектов службы каталогов.
В Windows Server 2008 м о ж н о также выполнять аудит операций пользовате-
лей в домене. В ы п о л н я я аудит успешного входа в домен, можно определить
' 378 Проверка подлинности
Глава 8
ситуации, когда учетная запись и с п о л ь з о в а л а с ь в н е с о о т в е т с т в у ю щ е е время
или в ненадлежащем месте, что м о ж е т б ы т ь п р и з н а к о м п р и м е н е н и я этой за-
писи злоумышленником. Аудит н е у д а ч н о г о в х о д а м о ж е т в ы я в и т ь п о п ы т к и
злоумышленников взломать у ч е т н у ю з а п и с ь . Н а э т о м з а н я т и и м ы обсудим
настройку аудита входа в домен.
Изучив материалы этого занятия, вы сможете:
Конфигурировать аудит операций, связанных с проверкой подлинности.
S Идентифицировать вход и события входа учетной записи.
У Отыскивать в журнале Безопасность (Security) события, связанные с про-
веркой подлинности.
Продолжительность занятия – около 30 мин.
Вход и события входа учетной записи
На этом занятии описаны два к о н к р е т н ы х п а р а м е т р а п о л и т и к и : Аудит событий
входа в систему (Audit Account Logon E v e n t s ) и Аудит входа в с и с т е м у ( A u d i t
Logon Events). Важно понимать р а з н и ц у м е ж д у э т и м и п о х о ж и м и параметрами
политики.
Когда пользователь входит на л ю б о й к о м п ь ю т е р в д о м е н е с п о м о щ ь ю своей
доменной учетной записи, к о н т р о л л е р д о м е н а п р о в е р я е т п о д л и н н о с т ь вве-
денных учетных данных. На к о н т р о л л е р е д о м е н а г е н е р и р у е т с я с о б ы т и е входа
учетной записи в систему.
Компьютер, на котором пользователь в х о д и т в д о м е н ( н а п р и м е р , ноутбук
пользователя), генерирует событие входа. К о м п ь ю т е р не п р о в е р я е т подлин-
ность учетной записи пользователя, а л и ш ь передает ее к о н т р о л л е р у домена
для проверки. Тем не менее компьютер п о з в о л я е т п о л ь з о в а т е л ю и н т е р а к т и в н о
войти в систему. Поэтому данное событие н а з ы в а е т с я с о б ы т и е м входа.
Когда пользователь интерактивно п о д к л ю ч а е т с я к п а п к е на сервере в до-
мене, этот сервер выполняет а в т о р и з а ц и ю п о л ь з о в а т е л я д л я так называемого
сетевого входа. Опять-таки, сервер не п р о в е р я е т п о д л и н н о с т ь пользователя,
а полагается на «билет», в ы д а н н ы й п о л ь з о в а т е л ю к о н т р о л л е р о м домена. И все
же подключение, выполняемое п о л ь з о в а т е л е м , г е н е р и р у е т с о б ы т и е входа на
сервер.
СОВЕТ К ЭКЗАМЕНУ
Умейте отличать события входа учетной записи н события входа. Проще всего запом-
нить разницу так: событие входа учетной записи генерируется в месте размещения
учетной записи – на контроллере домена, проверяющем подлинность пользователя.
Событие входа генерируется на компьютере, на который пользователь входит ин-
терактивно. Оно также генерируется на файловом сервере, к которому пользователь
подключается через сетевой вход.
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 7 9
Настройка политик проверки подлинности
В W i n d o w s S e r v e r 2 0 0 8 м о ж н о в ы п о л н я т ь аудит событий входа учетной записи
и входа в систему. П а р а м е т р ы у п р а в л е н и я аудитом собраны в узле объекта G P O
К о н ф и г у р а ц и я к о м п ы о т е р а Г 1 о л и т и к н К о н ф и г у р а ц и я W i n d o w s J I o i ^ b H b i e
п о л и т и к и П о л и т и к а а у д и т а ( C o m p u t e r C o n f i g u r a t i o n P o l i c i e s W i n d o w s
S e t t i n g s S e c u r i t y S e t t i n g s L o c a l P o l i c i e s A u d i t Policy). Н а рис. 8-4 показан
у з е л П о л и т и к а а у д и т а ( A u d i t P o l i c y ) с д в у м я параметрами.
J f l J * !
КоиСЭЛо Д«Г»ГТбИ€ Эйд Отрежь
Политика Default Doman Pokey [SERVEROl.ccotoso com) " Политика
| Параметр поли'.<к>'
ti Конфигурация кочгъют epa
Аудит входа в систему
Успех, Отказ
3 Политики
. Аудит доступа к объектаи
Не опредепемо
!ii!
!ii ;
! Конфигурация
Конфигураци прогргп
я
и
прогргп
.;.':• Аудит доступа к служ5е каталогов
Не определено
13
1 j ...
j i
... Конфигурация
Конфигураци Window
я
s
Window
.',.'• Аудит изменения nomrrvto!
Не определено
• Сценари
•
и
Сценари (запуск/завершение
и
)
(запуск/завершение
Аудит нелользева^я привилегий
Не определено
3 Параметры
Параметр безопасност
ы
и
безопасност
. Аудит отстеживажя процессов
Не определено
21
2 Полити
1
к учетны
к
х
учетны загисей
загисе
« Локальны
«
е
Локальны поттжи
.,'•. Аудит антенных событий
Не определено
и
53
5 Попита» аудит
»
а
аудит
Аудит событий входа в систему
Успех, Отказ
Сй
С Назначение
Назначени пра
е
в
пра пользователя
пользовател
Аудит угргепениа учетные записям
Не определено
ей Параметры безопасности
S Журнал событии
3 : ^ Группы с ограниченны* доступом
S3 j а Системные службы
Э Реестр
, J J
j J
Рис. 8-4. Параметры политики проверки подлинности
Д л я н а с т р о й к и п о л и т и к и а у д и т а д в а ж д ы щелкните политику, чтобы открыть
д и а л о г о в о е о к н о с в о й с т в . На рис. 8 – 5 представлено диалоговое окно Свойства:
Аудит с о б ы т и й в х о д а в с и с т е м у ( A u d i t A c c o u n t Logon Events Properties).
Герв-втв r-orvTw* SejcwtjCTH J Ов-мсиемие |
ЩШ A»fi*T со&пмв ахова V юЦю
P Огхлаелт, спеадюшив гдавкв-гы п:<лит»«о>
Вес т* «уди– е.яеQ№« глгияс* воСутл
Р успех
I OK } QOKW* |
Рис. 8-5. Свойства аудита с о б ы т и й входа в систему
I 3 8 0 Проверка подлинности
Глава 8
Для параметров политики м о ж н о о т к о н ф и г у р и р о в а т ь о д н о из с л е д у ю щ и х .
состояний с учетом того, установлен ли ф л а ж о к О п р е д е л и т ь с л е д у ю щ и е па-
раметры политики (Define These Policy S e t t i n g s ) .
• He определено ( N o t D e f i n e d ) Если этот ф л а ж о к не установлен, параметр
политики не определен. Тогда сервер будет в ы п о л н я т ь а у д и т с о б ы т и й на
основе своих параметров по у м о л ч а н и ю и л и п а р а м е т р о в , у к а з а н н ы х в дру-
гом объекте G P O .
• Определен б е з аудита Если у к а з а н н ы й ф л а ж о к у с т а н о в л е н , но ф л а ж к и
Успех (Success) и Отказ (Failure) с б р о ш е н ы , с е р в е р не будет в ы п о л н я т ь
аудит.
• Аудит событий успеха Если д а н н ы й ф л а ж о к у с т а н о в л е н в м е с т е с ф л а ж -
ком Успех (Success), сервер будет в ы п о л н я т ь а у д и т у с п е ш н ы х с о б ы т и й
в журнале Безопасность (Security).
• Аудит событий отказа Если у к а з а н н ы й ф л а ж о к у с т а н о в л е н вместе с ф л а ж -
ком Отказ (Failure), сервер будет в ы п о л н я т ь а у д и т у с п е ш н ы х с о б ы т и й
в журнале Безопасность ( S e c u r i t y ) .
Проведение аудита сервера о п р е д е л я е т с я п а р а м е т р о м , к о т о р ы й получает
приоритет на основе п р а в и л п р и м е н е н и я п о л и т и к и , о п и с а н н ы х в г л а в е 6.
Назначение области действия политики аудита
Как и в случае с политиками безопасности, н а з н а ч а т ь о б л а с т ь д е й с т в и я пара-
метров следует точно, чтобы они в л и я л и на с о о т в е т с т в у ю щ и е системы. Напри-
мер, для аудита попыток пользователей п о д к л ю ч и т ь с я к ф а й л о в ы м серверам на
предприятии можно о т к о н ф и г у р и р о в а т ь а у д и т с о б ы т и й в х о д а в о б ъ е к т е G P O ,
связанном с подразделением, в к о т о р о е в х о д я т ф а й л о в ы е с е р в е р ы . В качестве
альтернативы, чтобы выполнять аудит входа п о л ь з о в а т е л е й в н а с т о л ь н ы е систе-
мы в отделе кадров, можно о т к о н ф и г у р и р о в а т ь а у д и т с о б ы т и й входа в объекте
GPO, связанном с подразделением, в к о т о р о е в к л ю ч е н ы о б ъ е к т ы к о м п ь ю т е р о в
отдела кадров. Помните, что п о л ь з о в а т е л и домена, в х о д я щ и е на к л и е н т с к и й
компьютер или подключающиеся к серверу, будут г е н е р и р о в а т ь в э т о й системе
событие входа, а не событие входа учетной з а п и с и .
Только контроллеры домена г е н е р и р у ю т с о б ы т и я в х о д а у ч е т н о й записи
для пользователей домена. Помните, что с о б ы т и я в х о д а у ч е т н о й з а п и с и гене-
рируются на контроллере домена, п р о в е р я ю щ е м п о д л и н н о с т ь п о л ь з о в а т е л я
независимо от компьютера, с которого п о л ь з о в а т е л ь в х о д и т в домен. Чтобы
выполнять аудит событий входа учетных з а п и с е й домена, в к л ю ч и т е в область
действия аудита событий входа только к о н т р о л л е р ы домена. И д е а л ь н ы й объект
G P O для конфигурации политик аудита входа у ч е т н ы х з а п и с е й – D e f a u l t Do-
main Controllers, создаваемый п р и установке первого к о н т р о л л е р а в домене.
В предыдущем подразделе мы говорили, что если п о л и т и к а аудита событий
не определена, система будет в ы п о л н я т ь а у д и т на основе п а р а м е т р о в в других
объектах G P O или своих параметров по у м о л ч а н и ю . В W i n d o w s Server 2008
по умолчанию выполняется аудит успешных с о б ы т и й входа учетных записей
и событий входа, то есть успех входа у ч е т н о й з а п и с и и просто входа регист-
рируется в журнале Безопасность ( S e c u r i t y ) . Ч т о б ы в ы п о л н я т ь аудит отказов
Занятие 1 Настройка политики паролей и блокировки учетных записей 3 8 1
и л и о т к л ю ч и т ь а у д и т в о о б щ е , н е о б х о д и м о указать соответствующий параметр
в п о л и т и к е аудита.
К о н т р о л ь н ы й в о п р о с
• Вас беспокоит, что злоумышленник пытается получить доступ к сети, под-
