Главная > Active Directory > Microsoft University Online 2011 – Active Directory (Групповые политики. Часть 2)

Microsoft University Online 2011 – Active Directory (Групповые политики. Часть 2)

Доброго времени суток коллеги. Это моя очередная статья, которая посвящена Microsoft University Online. В прошлой статье мы начали говорить о групповых политиках, о том, как их создавать, как они применяются, как устанавливать программного обеспечения с помощью групповых политик, а также рассмотрели способы фильтрации групповых политик, для задания области их применения. Сегодняшняя статья будет продолжением темы групповых политик. В ней мы рассмотрим, какие существуют политики безопасность. Как менять политику паролей, как использовать гранулярные политики паролей.

Когда мы говорим о политиках безопасности, мы подразумеваем настройку операционной системы и раздачу прав пользователям на те или иные действия на определённом компьютере. Разумеется, с точки зрения групповых политик, политики безопасности существуют как для компьютера, так и для пользователя. Политики безопасности для пользователя весьма скудны по сравнению с политиками безопасности компьютера. В политиках безопасности пользователя существует только две настройки, а именно, Public Key Policies и Software Restriction Policies.

Раздел Public Key Policies предназначен для управления сертификатами. С помощью этого раздела мы можем настраивать политики сертификатов, также задавать политики авто выдачи сертификатов и распространения доверительных сертификатов. Раздел Software Restriction Policies предназначен для задания политик, которые определяют, какое программное обеспечение можно запускать на компьютер, а какое нет.

В случае с настройкой безопасности для компьютера ситуация более интересная, так как основная часть политик предназначена для компьютера. В политиках безопасности для компьютера находятся следующие разделы: Restricted Groups, Account Policies, Local Policies, Event Log, System Services, Registry, File System, Wired Network Policies, Windows Firewall with Advanced Security, Network List Manager Policies, Wireless Network Policies, Public Key Policies, Software Restriction Policies, Network Access Protection, Application Control Policies, IP Security Policies, Advanced Audit Policy Configuration. Давайте разберемся для чего существует каждый из этих разделов.

Restricted Groups. Данный раздел используется для определения участников безопасности к группе, проще говоря, задаёт список участников группы, или для определения членства этой группы, проще говоря, задания списка в каких группах состоит определенная группа.

Account Policies. Данный раздел предназначен для описания политик паролей, политик блокировки аккаунта, а также описывает политики протокола Kerberos. О политике паролей пойдет речь чуть дальше, и этот вопрос будет рассмотрен более детально.

Local Policies. Данный раздел является одним из самых важных при настройке локальной безопасности компьютера. С помощью этого раздела включается поддержка аудита тех или иных событий. Начиная с Windows 7/2008 R2 можно настраивать данную политику более детально используя раздел Advanced Audit Policy Configuration. В разделе дочернем разделе, раздела Local Policies, существует еще два, не менее важных раздела, которые напрямую связаны с безопасностью компьютера, это User Rights Assignment и Security Options. В разделе User Rights Assignment мы задаем права для пользователей на те, или иные действия. Хочу обратить ваше внимание, что лучше всего связывать права не с конкретным пользователем, а с группой, чтобы в дальнейшем было проще управлять инфраструктурой, и уменьшить риски в случае человеческих ошибок. Примером такой человеческой ошибки может быть ситуация когда человека переводят в другой отдел, изменили его членство в группе но, из-за того что какие-то права были заданы ему напрямую права за ним остались. В раздел Security Options находятся политики связанные с безопасность в сети, настройки UAC, и прочие настройки которые связаны с безопасностью компьютера.

Event Log. Данные раздел говорит сам за себя, в нем описаны политики связанные с размером логов, с доступа к нему, сколько дней сохранять лог и т.д.

System Services. В этом разделе мы можем управлять основными сервисами операционной системы. В нем мы можем выбирать режим включения сервиса и назначать управления им.

Registry. Этот раздел предназначен для управления правами доступа к веткам реестра.

File System. Идентичен разделу «Registry», он также предназначен для определения прав, но не на реестр, а на файловую систему.

Wired Network Policies. Данные раздел предназначен для настройки проводной сети. Если у вас в сети используется IEEE 802.1X то данный раздел вам будет интересен. Данная политика применима к компьютерам под управлением Windows Vista и новее.

Wireless Network Policies. Этот раздел, как и Wired Network Policies, предназначен для настройки сети, но не проводной, а беспроводной. Также политики этого раздела могут распространяться на компьютеры под управлением Windows XP. При создании политики в данном разделе вы можете выбрать два типа политик. Одна для Windows Vista и более новых версий Windows, вторая для Windows XP. Разумеется, что политика для Windows Vista и более новых версий Windows, более функциональна, она позволяет запретить пользователям подключаться к тем или иным беспроводным сетям, или вообще запретить подключаться ко всем кроме списка разрешенных, это может быть полезно для настройки корпоративных ноутбуков.

Network List Manager Policies. Тут мы можем настроить отображение нашей доменной сети, а также как какие сети будут определяться другие сети. Опять же данный параметр очень полезен при настройке корпоративных ноутбуков. Данный параметр применим только для компьютеров с установленной Windows Vista и более новой версией Windows.

Windows Firewall with Advanced Security. С помощью этого раздела мы настраиваем и распространяем расширенные настройки нашего брандмауэра Windows.

Public Key Policies. Задача данного раздела управлять сертификатами. С помощью этого раздела мы можем настраивать политики сертификатов, также задавать политики авто выдачи сертификатов и распространения доверительных сертификатов.

Software Restriction Policies. Данный раздел предназначен для задания политик, которые определяют, какое программное обеспечение можно запускать на компьютер, а какое нет.

Network Access Protection. Данный раздел предназначен для настройки клиента Network Access Protection. Более детально вы можете прочитать перейдя по следующей ссылке http://technet.microsoft.com/en-us/library/dd197544(WS.10).aspx

Application Control Policies. Данный раздел предназначен для настройки политик AppLocker. Задача AppLockerа идентична задаче которая лежит на «Software Restriction Policies», но по с равнению с ним, AppLocker более функциональный. AppLocker доступен только в Windows 7, и только в двух её редакциях, а именно в Ultimate и Enterprise.

Advanced Audit Policy Configuration. В этом разделе мы можем более детально настроить политики аудита, аудит чего именно необходимо вести. Хотя расширенная политика аудита была сделана еще для Windows Vista, но возможность настраивать политики аудита используя групповые политики появилась только в Windows 7.

Password Policy. Данный раздел предназначен для создания политики пароля для пользователей домена. В данном разделе есть 6 разных политик, а именно – «Минимальная длина пароля», «Максимальный срок действия пароля», «Минимальны срок действия пароля», «Пароль должен отвечать требованиям сложности», «Хранить пароли, используя обратимое шифрование» и «Вести журнал паролей». Значение каждого из этих параметров очень важно для нас, как для администратора, который занимается проблемами безопасности.

Вести журнал паролей. Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля. Число паролей должно составлять от 0 до 24. Эта политика позволяет администраторам улучшать безопасность, гарантируя, что старые пароли не будут повторно использоваться постоянно.

Максимальный срок действия пароля. Этот параметр безопасности определяет период времени (в днях), в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Срок действия пароля может составлять от 1 до 999 дней; значение 0 соответствует неограниченному сроку действия пароля. Если значение максимального срока действия пароля составляет от 1 до 999 дней, то значение минимального срока действия пароля должно быть меньше максимального. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней. Рекомендуется устанавливать для срока действия паролей значение от 30 до 90 дней, в зависимости от рабочей среды. В этом случае у злоумышленника ограничено время, в течение которого он может взломать пароль пользователя и получить доступ к сетевым ресурсам.

Минимальная длина пароля. Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Можно установить значение от 1 до 14 знаков, либо 0 знаков, если пароль не требуется.

Минимальный срок действия пароля. Этот параметр безопасности определяет период времени (в днях), в течение которого пользователь должен использовать пароль, прежде чем его можно будет изменить. Можно установить значение от 1 до 998 дней либо разрешить изменять пароль сразу, установив значение 0 дней. Значение минимального срока действия пароля должно быть меньше значения максимального срока действия пароля, за исключением значения максимального срока, равного 0 дней, означающего, что срок действия пароля никогда не истечет. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать любые значения в диапазоне от 0 до 998 дней. Установите значение минимального срока действия пароля больше 0, чтобы включить ведение журнала паролей. Без установки минимального срока действия пароля пользователь может изменять пароли повторно, пока не получит свой старый предпочитаемый пароль. Значение по умолчанию установлено вопреки этой рекомендации, поэтому администратор может назначить пользователю пароль, а затем потребовать сменить его при входе пользователя в систему. Если для журнала паролей установлено значение 0, пользователю не нужно выбирать новый пароль. По этой причине значение для журнала паролей по умолчанию равно 1.

Пароль должен отвечать требованиям сложности. Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям. Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков. Иметь длину не менее 6 знаков. Содержать знаки трех из четырех перечисленных ниже категорий:

Латинские заглавные буквы (от A до Z)

Латинские строчные буквы (от a до z)Цифры (от 0 до 9)

Отличающиеся от букв и цифр знаки (например, !, $, #, %)

Требования сложности применяются при создании или изменении пароля.

Хранить пароли, используя обратимое шифрование. Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Хранение паролей с помощью обратимого шифрования – по существу то же самое, что и хранение паролей открытым текстом. По этой причине данная политика не должна применяться, пока требования приложения не станут более весомыми, чем требования по защите паролей. Эта политика необходима при использовании проверки подлинности протокола CHAP через удаленный доступ или службу проверки подлинности в Интернете (IAS). Она также необходима при использовании краткой проверки подлинности в IIS.

Хочу обратить ваше внимание, что политика паролей в домене задаётся в одном месте, и вы не можете для разных подразделений ставить разные политики пароля. Политика паролей задаётся в политике по умолчанию (“Default Domain Policy”). И тут сразу же возникает вопрос, а что же делать если у меня есть пользователи, которым надо завысить требования к паролю, допустим пользователям которые имеют доступ к важной информации. Неужели необходимо ставить всем пользователям завышенную политику, если политика паролей назначается в одном месте? Нет не обязательно. Главное в этой ситуации найти золотую середину. Как правило, выставлением требований к безопасности должен занимать отдел безопасности. После того как политика по умолчанию сформирована нам необходимо создать гранулярные политики. Они создаются не классическим методом привязки политики с помощью Group Policy Management Console, а с помощью ADSIEdit. Хоть это и выглядит очень страшно, ничего страшного в этом нет. Для начала нам необходимо подключиться к нашему серверу используя оснастку ADSIEdit и подключиться к «Default naming context». И перейти в CN=Password Setting Container, CN= System, DC=<DOMAIN>. Если переходить, используя древовидную иерархию, мы перейдем в начале в DC=<DOMAIN>, потом CN= System , и в конце в интересующий нас контейнер в котором и будут находиться наши гранулярные политики, его имя CN=Password Setting Container. Для того чтоб создать новую политику необходимо выбрать создание нового объекта, после чего откроется визард, с помощью которого мы и будем создавать нашу политику. В ходе визрда у вас будут спрашиваться переменные, описание которых находиться ниже.

msDS-PasswordSettingsPrecedence. Этот параметр задает приоритет данной политики. Значение должно быть больше чем 0

msDS-PasswordReversibleEncryptionEnabled. Этот параметр безопасности определяет, используется ли операционной системой для хранения паролей обратимое шифрование. Эта политика обеспечивает поддержку приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности. Значение может быть FALSE / TRUE

msDS-PasswordHistoryLength. Этот параметр безопасности определяет число новых уникальных паролей, которые должны быть назначены учетной записи пользователя до повторного использования старого пароля.

msDS-PasswordComplexityEnabled. Этот параметр безопасности определяет, должен ли пароль отвечать требованиям сложности. Если эта политика включена, пароли должны удовлетворять следующим минимальным требованиям. Значение может быть FALSE / TRUE

msDS-MinimumPasswordLength. Этот параметр безопасности определяет минимальное количество знаков, которое должно содержаться в пароле пользователя. Значение может быть от 0 до 255

msDS-MinimumPasswordAge. Этот параметр безопасности определяет период времени, в течение которого пользователь должен использовать пароль, прежде чем его можно будет изменить. Заполняется в виде Дни:Часы:минуты:секунды

msDS-MaximumPasswordAge. Этот параметр безопасности определяет период времени, в течение которого можно использовать пароль, пока система не потребует от пользователя сменить его. Заполняется в виде Дни:Часы:минуты:секунды

msDS-LockoutThreshold. Этот парамент безопасности определяет порог неудачных попыток входа до блокировки учетных записей пользователей. Значение может быть от 0 до 65535

msDS-LockoutObservationWindow. Этот парамент безопасности определяет, через какой промежуток времени счетчик неудачных попыток будет сброшен. Заполняется в виде Дни:Часы:минуты:секунды

msDS-LockoutDuration. Этот параметр безопасности определяет, через какой период времени будет разблокирована учетная запись пользователя, в случае её автоматической блокировки. Заполняется в виде Дни:Часы:минуты:секунды

После того как политика готова необходимо изменить её атрибут msDS-PSOAppliesTo который указывает к кому будет применяться данная политика.

  1. Комментариев нет.
  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: