Pokyny ke konfiguraci chráněných účtů
Prostřednictvím útoků pass-the-hash (PtH) se může útočník ověřit na vzdáleném serveru nebo službě pomocí NTLM hashe uživatelského hesla (nebo jiných derivátů přihlašovacích údajů). Microsoft dříve publikovaných doprovodných materiálů ke zmírnění útoků typu pass-the-hash. Windows Server 2012 R2 obsahuje nové funkce, které vám pomůžou tyto útoky dále zmírnit. Další informace o dalších funkcích zabezpečení, které pomáhají chránit před krádeží přihlašovacích údajů, najdete v tématu Ochrana přihlašovacích údajů a správa. Toto téma vysvětluje, jak nakonfigurovat následující nové funkce:
Existují další omezení rizik integrovaná v systémech Windows 8.1 a Windows Server 2012 R2, které pomáhají chránit před krádeží přihlašovacích údajů, které jsou popsané v následujících tématech:
režim správce s omezeným přístupem pro vzdálenou plochu
Chránění uživatelé
Chránění uživatelé je nová globální skupina zabezpečení, do které můžete přidat nové nebo existující uživatele. Zařízení s Windows 8.1 a hostitelé Windows Serveru 2012 R2 mají speciální chování se členy této skupiny, aby se zajistila lepší ochrana před krádeží přihlašovacích údajů. Zařízení s Windows 8.1 nebo hostitel Windows Serveru 2012 R2 pro člena skupiny neukládá přihlašovací údaje, které nejsou podporovány chráněnými uživateli. Členové této skupiny nemají žádnou další ochranu, pokud jsou přihlášení k zařízení, které používá verzi Windows starší než Windows 8.1.
Členové skupiny Chránění uživatelé, kteří jsou přihlášení k zařízením s Windows 8.1 a hostitelům Windows Serveru 2012 R2, se už už používat:
Výchozí delegování přihlašovacích údajů (CredSSP) – přihlašovací údaje ve formátu prostého textu se neukládají do mezipaměti, i když je povolená Povolit delegování výchozích přihlašovacích údajů zásada.
Windows Digest – přihlašovací údaje ve formátu prostého textu se neukládají do mezipaměti, i když jsou povolené
NTLM – NTOWF není uložen v mezipaměti
Dlouhodobé klíče Kerberos – Lístek pro udělování lístků Kerberos (TGT) se získává při přihlášení a nelze jej automaticky znovu získat.
Přihlášení offline – ověřovatel přihlášení v mezipaměti není vytvořen.
Pokud je funkční úroveň domény Windows Server 2012 R2, členové skupiny už nemůžou:
Ověřte pomocí ověřování NTLM
Použijte šifrovací sady DES (Data Encryption Standard) nebo RC4 v předběžném ověřování Kerberos.
Delegujte pomocí neomezeného nebo omezeného delegování
Prodloužení platnosti lístků uživatelů (TGT) nad rámec počáteční 4hodinové životnosti
Pokud chcete do skupiny přidat uživatele, můžete použít nástroje uživatelského rozhraní
Varování
Omezení ověřování nemají žádné alternativní řešení, což znamená, že členové vysoce privilegovaných skupin, jako je skupina Enterprise Admins nebo Domain Admins, podléhají stejným omezením jako ostatní členové skupiny Protected Users. Pokud jsou všichni členové těchto skupin přidáni do skupiny Chránění uživatelé, je možné, aby všechny tyto účty byly uzamčeny. Do skupiny Protected Users byste nikdy neměli přidávat všechny vysoce privilegované účty, dokud důkladně neotestujete potenciální dopad.
Členové skupiny Chránění uživatelé se musí být schopni ověřit pomocí protokolu Kerberos s pokročilými šifrovacími standardy (AES). Tato metoda vyžaduje klíče AES pro účet ve službě Active Directory. Předdefinovaný správce nemá klíč AES, pokud se heslo nezměnilo na řadiči domény se systémem Windows Server 2008 nebo novějším. Kromě toho je uzamčen jakýkoli účet se změněným heslem na řadiči domény, na kterém běží starší verze Windows Serveru. Proto postupujte podle těchto osvědčených postupů:
Netestujte v doménách, pokud všechny řadiče domény používají Windows Server 2008 nebo novější.
Změnit heslo pro všechny účty domény, které byly vytvořeny před tím, než byla doména vytvořena. Jinak se tyto účty nedají ověřit.
změnit heslo pro každého uživatele před přidáním účtu do skupiny Protected Users nebo zajistit, aby se heslo nedávno změnilo na řadiči domény se systémem Windows Server 2008 nebo novějším.
Požadavky na používání chráněných účtů
Chráněné účty mají následující požadavky na nasazení:
Chcete-li poskytnout omezení na straně klienta pro chráněné uživatele, musí hostitelé používat Systém Windows 8.1 nebo Windows Server 2012 R2 . Uživatel se musí přihlásit jenom pomocí účtu, který je členem skupiny Protected Users. V tomto případě je možné skupinu Protected Users vytvořit přenesením role emulátoru primárního řadiče domény na řadič domény, na kterém běží Windows Server 2012 R2 . Po replikaci objektu skupiny do jiných řadičů domény je možné roli emulátoru primárního řadiče domény hostovat na řadiči domény, na kterém běží starší verze Windows Serveru.
Chcete-li poskytnout omezení na straně řadiče domény pro chráněné uživatele, to znamená omezit použití ověřování NTLM a další omezení, úroveň funkčnosti domény musí být Windows Server 2012 R2 . Další informace o úrovních funkčnosti najdete v tématu Principy úrovní funkčnosti služby Active Directory Domain Services (AD DS).
Poznámka
Vestavěný správce domény (S-1-5-<domain>-500) je vždy vyňat ze zásad ověřování, i když jsou tyto zásady přiřazeny k silu zásad ověřování.
Řešení potíží s událostmi souvisejícími s chráněnými uživateli
Tato část popisuje nové protokoly, které vám pomůžou řešit problémy s událostmi souvisejícími s chráněnými uživateli a jak můžou chránění uživatelé ovlivnit změny při řešení potíží s vypršením platnosti lístků (TGT) nebo delegováním lístků.
Nové záznamy pro chráněné uživatele
K dispozici jsou dva nové provozní protokoly pro správu, které pomáhají řešit události související s chráněnými uživateli: Chráněný uživatel – Protokol klienta a Selhání chráněného uživatele – Protokol řadiče domény. Tyto nové protokoly se nacházejí v Prohlížeči událostí a ve výchozím nastavení jsou zakázané. Chcete-li povolit protokol, klikněte na Protokoly aplikací a služeb, klikněte na Microsoft, klikněte na Windows, klikněte na Ověřovánía potom klikněte na název protokolu a klikněte na Akce (nebo klikněte pravým tlačítkem myši na protokol) a klikněte na Povolit protokol.
Další informace o událostech v těchto protokolech naleznete v tématu Zásady ověřování a sila zásad ověřování.
Řešení potíží s vypršením platnosti TGT
Řadič domény za normálních okolností nastavuje dobu životnosti a obnovení TGT na základě zásad domény, jak je znázorněno v následujícím okně Editoru správy zásad skupiny.
Pro chránění uživateléjsou pevně zakódovaná následující nastavení:
Maximální životnost lístku uživatele: 240 minut
Maximální životnost pro prodloužení platnosti lístku uživatele: 240 minut
Řešení potíží s delegování
Pokud dříve došlo k selhání technologie, která používá delegování protokolu Kerberos, byl klientský účet zkontrolován a zjistil, jestli je Účet citlivý a nelze ho delegovat byl nastaven. Pokud je ale účet členem Chráněné uživatele, nemusí mít toto nastavení nakonfigurované v Centru správy služby Active Directory (ADAC). V důsledku toho při řešení potíží s delegování zkontrolujte nastavení a členství ve skupinách.
Auditování pokusů o ověření
Pokud chcete auditovat pokusy o ověření explicitně pro členy skupiny Protected Users, můžete dál shromažďovat události auditu protokolu zabezpečení nebo shromažďovat data v nových protokolech provozní správy. Další informace o těchto událostech najdete, když se podíváte na Zásady ověřování a dílčí systémy zásad ověřování
Poskytněte ochranu na straně stejnosměrného proudu pro služby a počítače
Účty služeb a počítačů nemohou být členy skupiny Protected Users. Tato část vysvětluje, které ochrany na základě řadiče domény je možné nabízet pro tyto účty:
Odmítnout ověřování NTLM: Lze konfigurovat pouze prostřednictvím zásad blokování NTLM
Zamítnout šifrovací standard dat (DES) v předběžném ověřování Kerberos: Řadiče domény s Windows Serverem 2012 R2 nepřijímají DES pro účty počítačů, pokud nejsou nakonfigurovány pouze pro DES, protože každá verze systému Windows vydaná s protokolem Kerberos podporuje také RC4.
Zamítnout RC4 v předběžném ověřování v Kerberos: nelze jej konfigurovat.
Poznámka
I když je možné změnit konfiguraci podporovaných typů šifrování, nedoporučuje se měnit tato nastavení pro účty počítačů bez testování v cílovém prostředí.
Omezit lístky uživatelů (TGT) na počáteční 4hodinovou životnost: Použijte zásady ověřování.
Zakažte delegování s neomezeným nebo omezeným delegováním: Chcete-li omezit účet, otevřete Centrum správy služby Active Directory (ADAC) a zaškrtněte políčko Účet je citlivý a nelze ho delegovat.
Zásady ověřování
Zásady ověřování je nový kontejner ve službě AD DS, který obsahuje objekty zásad ověřování. Zásady ověřování můžou určovat nastavení, která pomáhají zmírnit riziko krádeže přihlašovacích údajů, jako je omezení životnosti TGT pro účty nebo přidání dalších podmínek souvisejících s deklaracemi identity.
Ve Windows Serveru 2012 zavedlo dynamické řízení přístupu třídu objektů oboru doménové struktury služby Active Directory s názvem Zásady centrálního přístupu, která poskytuje snadný způsob konfigurace souborových serverů v rámci organizace. Ve Windows Serveru 2012 R2 je možné použít novou třídu objektů s názvem Authentication Policy (objectClass msDS-AuthNPolicies) k použití konfigurace ověřování u tříd účtů v doménách Windows Serveru 2012 R2. Třídy účtů služby Active Directory jsou:
Uživatel
Počítač
Spravovaný servisní účet a skupinový spravovaný servisní účet (GMSA)
Rychlý aktualizační panel Kerberos
Ověřovací protokol Kerberos se skládá ze tří typů výměn, označovaných také jako subprotocols:
Exchange autentizační služby (KRB_AS_*)
Exchange služby Ticket-Granting (TGS) (KRB_TGS_*)
Exchange klienta/serveru (AP) (KRB_AP_*)
Výměna AS je místo, kde klient použije heslo nebo privátní klíč účtu k vytvoření pre-autentizátoru pro vyžádání lístku pro udělení lístku (TGT). K tomu dochází při přihlášení uživatele nebo poprvé, když je potřeba tiket služby.
Výměna TGS je prostředí, kde se TGT účtu používá k vytvoření ověřovatele pro vyžádání servisního lístku. K tomu dochází v případě, že je potřeba ověřené připojení.
Výměna AP probíhá stejně běžně jako přenos dat uvnitř aplikačního protokolu a zásady ověřování na ni nemají vliv.
Podrobnější informace naleznete v tématu Jak funguje autentizační protokol Kerberos verze 5.
Přehled
Zásady ověřování doplňují chráněné uživatele tím, že poskytují způsob použití konfigurovatelných omezení pro účty a poskytnutí omezení pro účty pro služby a počítače. Zásady ověřování se vynucují během výměny AS nebo výměny TGS.
Počáteční ověřování nebo výměnu AS můžete omezit nastavením:
Životnost TGT
Podmínky řízení přístupu k omezení přihlašování uživatelů, které musí splnit zařízení, ze kterých přichází výměna AS
Žádosti o servisní lístky můžete omezit konfigurací výměny služby pro udělování lístků (TGS):
- Podmínky řízení přístupu, které musí splnit klient (uživatel, služba, počítač) nebo zařízení, ze kterého přichází výměna TGS
Požadavky na používání zásad ověřování
| Politika | Požadavky |
|---|---|
| Zadejte vlastní životnost TGT | Domény účtu na úrovni funkčnosti domény s Windows Serverem 2012 R2 |
| Omezení přihlašování uživatelů | – Domény na funkční úrovni Windows Server 2012 R2 s podporou dynamického řízení přístupu – Zařízení s Windows 8, Windows 8.1, Windows Serverem 2012 nebo Windows Serverem 2012 R2 s podporou dynamického řízení přístupu |
| Omezení vystavování lístků služby na základě uživatelského účtu a skupin zabezpečení | Domény zdrojů na úrovni funkce domény Windows Server 2012 R2 |
| Omezení vydávání servisních lístků na základě uživatelských deklarací nebo účtu zařízení, bezpečnostních skupin nebo deklarací. | Domény prostředků na úrovni funkčnosti domény s Windows Serverem 2012 R2 s podporou dynamického řízení přístupu |
Omezení uživatelského účtu na konkrétní zařízení a hostitele
Vysoce hodnotný účet s oprávněním správce by měl být členem skupiny Protected Users. Ve výchozím nastavení nejsou žádné účty členy skupiny Protected Users. Před přidáním účtů do skupiny nakonfigurujte podporu řadiče domény a vytvořte zásadu auditu, abyste zajistili, že nedochází k žádným problémům s blokováním.
Konfigurace podpory řadiče domény
Doména účtu uživatele musí být na úrovni funkčnosti domény Windows Serveru 2012 R2 (DFL). Ujistěte se, že všechny řadiče domény jsou Windows Server 2012 R2 a pak pomocí domén a vztahů důvěryhodnosti služby Active Directory zvýšit DFL na Windows Server 2012 R2 .
Konfigurace podpory dynamického řízení přístupu
V Zásadách výchozích řadičů domény klikněte na Povoleno, abyste povolili podporu pro klienty Key Distribution Center (KDC) pro nároky, kombinované ověřování a zabezpečení Kerberos v Konfiguraci počítače | Šablony pro správu | Systém | KDC.
V části Možnostiv rozevíracím seznamu vyberte Vždy poskytnout deklarace identity.
Poznámka
Podporované lze také nakonfigurovat, ale protože doména je na úrovni funkčnosti Windows Server 2012 R2, a řadiče domény vždy poskytují nároky, uživatelské kontroly přístupu založené na nárocích mohou probíhat i při použití zařízení a hostitelů, které nejsou si vědomy nároků, pro připojení ke službám pracujícím s nároky.
Varování
Konfigurace Neúspěšné žádosti o ověření způsobí selhání ověřování z jakéhokoli operačního systému, který nepodporuje obranu protokolu Kerberos, jako je Windows 7 a předchozí operační systémy nebo operační systémy začínající systémem Windows 8, které nebyly explicitně nakonfigurovány tak, aby ji podporovaly.
Vytvoření auditu účtu uživatele pro zásady ověřování pomocí nástroje ADAC
Otevřete Centrum správy služby Active Directory (ADAC).
Poznámka
Vybraný uzel Ověřování je viditelný pro domény, které jsou ve Windows Serveru 2012 R2 DFL. Pokud se uzel nezobrazí, zkuste to znovu pomocí účtu správce domény z domény, která je ve Windows Serveru 2012 R2 DFL.
Klepněte na tlačítko Zásady ověřovánía potom klepněte na tlačítko Nový pro vytvoření nové zásady.
Zásady ověřování musí mít zobrazovaný název a ve výchozím nastavení se vynucují.
Chcete-li vytvořit zásadu jen pro audit, klikněte na Pouze omezení zásad auditu.
Zásady ověřování se použijí na základě typu účtu služby Active Directory. Jedna zásada se může použít pro všechny tři typy účtů tím, že nakonfiguruje nastavení pro každý typ. Typy účtů jsou:
Uživatel
Počítač
Spravovaný účet služby a spravovaný skupinový účet služby
Pokud jste schéma rozšířili o nové principály, které může centrum distribuce klíčů (KDC) používat, je nový typ účtu klasifikován podle nejbližšího odvozeného typu účtu.
Chcete-li nakonfigurovat životnost lístku TGT pro uživatelské účty, zaškrtněte políčko Zadejte dobu života lístku Ticket-Granting pro uživatelské účty a zadejte čas v minutách.
Například pokud chcete 10hodinovou maximální životnost TGT, zadejte 600, jak je znázorněno. Pokud není nakonfigurovaná životnost TGT, pak pokud je účet členem skupiny Protected Users, doba platnosti TGT a prodloužení je 4 hodiny. V opačném případě se doba životnosti a prodloužení TGT zakládají na zásadách domény, jak je vidět v následujícím okně Editoru pro správu zásad skupiny pro doménu s výchozím nastavením.
Pokud chcete omezit uživatelský účet na výběr zařízení, klikněte na Upravit a definujte podmínky, které jsou pro zařízení potřeba.
V okně Upravit podmínky řízení přístupu klikněte na Přidat podmínku.
Přidejte podmínky účtu počítače nebo skupiny
Chcete-li konfigurovat účty nebo skupiny počítačů, v rozevíracím seznamu vyberte možnost Člen každého a změňte na Člen libovolné.
Poznámka
Toto řízení přístupu definuje podmínky zařízení nebo hostitele, ze kterého se uživatel přihlašuje. V terminologii řízení přístupu je účet počítače pro zařízení nebo hostitele považován za uživatele, a proto je uživatel jedinou možností.
Klikněte na Přidat položky.
Chcete-li změnit typy objektů, klepněte na tlačítko Typy objektů.
Chcete-li vybrat objekty počítače ve službě Active Directory, klepněte na tlačítko Počítačea potom klepněte na tlačítko OK.
Zadejte názvy počítačů, které chcete, aby uživatelé byli omezeni na, a pak klepněte na Kontrola názvů.
Klikněte na TLAČÍTKO OK a vytvořte všechny další podmínky pro účet počítače.
Po dokončení klepněte na tlačítko OK a definované podmínky se zobrazí pro účet počítače.
Přidání podmínek nároku pro počítač
Pokud chcete nakonfigurovat deklarace identity počítače, použijte rozevírací seznam Skupina k výběru deklarace.
Nároky jsou k dispozici pouze v případě, že jsou již zřízeny v doménové struktuře.
Zadejte název organizační jednotky, kde by měl být uživatelský účet omezen pro přihlášení se.
Po dokončení klepněte na tlačítko OK a v poli se zobrazí definované podmínky.
Řešení potíží s chybějícími hlášeními počítače
Pokud byl nárok nastaven, ale není k dispozici, může být nakonfigurován pouze pro počítačové třídy.
Představme si, že byste chtěli omezit ověřování na základě organizační jednotky (OU) počítače, která je již nakonfigurovaná, ale pouze pro třídy počítačů.
Pokud chcete, aby deklarace identity byla k dispozici pro omezení přihlašování uživatelů k zařízení, zaškrtněte políčko Uživatel.
Zřízení uživatelského účtu pomocí zásad ověřování v ADAC
Z účtu User klikněte na Zásady.
Zaškrtněte políčko Přiřadit zásady ověřování k tomuto účtu.
Pak vyberte zásady ověřování, které se použijí pro uživatele.
Konfigurace podpory dynamického řízení přístupu na zařízeních a hostitelích
Životnost TGT můžete nakonfigurovat bez konfigurace dynamického řízení přístupu (DAC). DAC je potřeba jenom pro kontrolu AllowedToAuthenticateFrom a AllowedToAuthenticateTo.
Pomocí zásad skupiny nebo editoru místních zásad skupiny povolte podporu klientů protokolu Kerberos pro deklarace identity, složené ověřování a obranu protokolu Kerberos v konfiguraci počítače | Šablony pro správu | Systém | Kerberos:
Řešení potíží se zásadami ověřování
Určení účtů, které mají přímo přiřazenou zásadu ověřování
V části Účty v zásadách ověřování se zobrazují účty, které zásady přímo použily.
Použití selhání zásad ověřování – protokol správy řadiče domény
Byla vytvořena nová chyba zásad ověřování
Správa zásad ověřování pomocí Windows PowerShellu
Tento příkaz vytvoří zásadu ověřování s názvem TestAuthenticationPolicy. Parametr UserAllowedToAuthenticateFrom určuje zařízení, ze kterých mohou uživatelé ověřovat pomocí řetězce SDDL v souboru s názvem someFile.txt.
PS C:\> New-ADAuthenticationPolicy testAuthenticationPolicy -UserAllowedToAuthenticateFrom (Get-Acl .\someFile.txt).sddl
Tento příkaz získá všechny zásady ověřování, které odpovídají filtru, který určuje parametr Filter.
PS C:\> Get-ADAuthenticationPolicy -Filter "Name -like 'testADAuthenticationPolicy*'" -Server Server02.Contoso.com
Tento příkaz upraví popis a UserTGTLifetimeMins vlastnosti zadané zásady ověřování.
PS C:\> Set-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1 -Description "Description" -UserTGTLifetimeMins 45
Tento příkaz odebere zásady ověřování, které určuje parametr identity.
PS C:\> Remove-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1
Tento příkaz používá rutinu Get-ADAuthenticationPolicy s parametrem Filter k získání všech zásad ověřování, které se nevynucují. Sada výsledků se přenese do rutiny Remove-ADAuthenticationPolicy.
PS C:\> Get-ADAuthenticationPolicy -Filter 'Enforce -eq $false' | Remove-ADAuthenticationPolicy
Oddělení zásad ověřování
Authentication Policy Silos je nový kontejner (objectClass msDS-AuthNPolicySilos) v AD DS pro uživatelské, počítačové a servisní účty. Pomáhají chránit účty s vysokou hodnotou. I když všechny organizace potřebují chránit členy skupin Enterprise Admins, Domain Admins a Schema Admins, protože tyto účty by mohl útočník použít k přístupu k čemukoli v doménové struktuře, můžou potřebovat ochranu i jiné účty.
Některé organizace izolují úlohy vytvořením účtů, které jsou pro ně jedinečné, a použitím nastavení zásad skupiny pro omezení místních a vzdálených interaktivních přihlašovacích a administrativních oprávnění. Izolace zásad ověřování tuto práci doplňují vytvořením způsobu, jak definovat vztah mezi uživatelskými, počítačovými a spravovanými služebními účty. Účty můžou patřit pouze do jednoho sila. Zásady ověřování můžete nakonfigurovat pro každý typ účtu, abyste mohli řídit:
Neobnovitelná životnost TGT
Podmínky řízení přístupu pro vrácení TGT (Poznámka: Nelze použít u systémů, protože je vyžadováno zabezpečení protokolu Kerberos)
Podmínky řízení přístupu pro vrácení lístku služby
Účty v silu zásad ověřování navíc mají deklaraci identity sila, kterou můžou používat prostředky pracující s deklaracemi, jako jsou souborové servery k řízení přístupu.
Nový popisovač zabezpečení lze nakonfigurovat tak, aby kontroloval vydávání lístků služby na základě:
Uživatel, skupiny zabezpečení uživatele a/nebo uživatelské deklarace identity
Zařízení, skupina zabezpečení zařízení a/nebo nároky zařízení
Pro přenos těchto informací do doménových řadičů prostředku je zapotřebí dynamické řízení přístupu.
Nároky uživatelů
Klienti s Windows 8 a novějšími podporujícími dynamické řízení přístupu
Doména účtu podporuje dynamické řízení přístupu a deklarace identity.
Skupina zabezpečení zařízení a/nebo samotné zařízení:
Klienti s Windows 8 a novějšími podporujícími dynamické řízení přístupu
Prostředek nakonfigurovaný pro složené ověřování
Deklarace identity zařízení:
Klienti s Windows 8 a novějšími podporujícími dynamické řízení přístupu
Doména zařízení podporuje dynamické řízení přístupu a deklarace identity.
Prostředek nakonfigurovaný pro složené ověřování
Zásady ověřování lze použít pro všechny členy sil zásad ověřování, namísto na jednotlivé účty, nebo lze aplikovat samostatné zásady ověřování pro různé typy účtů v rámci sil zásad ověřování. Jednu zásadu ověřování je například možné použít u vysoce privilegovaných uživatelských účtů a u účtů služeb je možné použít jinou zásadu. Před vytvořením sila zásad ověřování je nutné nejprve vytvořit alespoň jednu zásadu ověřování.
Poznámka
Zásady ověřování se dají použít u členů silo zásad ověřování nebo se dají použít nezávisle na silech pro omezení konkrétního rozsahu účtu. Například, pokud chcete chránit jeden účet nebo malou sadu účtů, můžete u těchto účtů nastavit politiku, aniž byste je přidávali do sila.
Silo zásad ověřování můžete vytvořit pomocí Správního centra služby Active Directory nebo Windows PowerShellu. Ve výchozím nastavení silo zásad ověřování audituje pouze zásady silo, což odpovídá zadání parametru WhatIf v rutinách Windows PowerShellu. V tomto případě se omezení izolace politiky nepoužijí, ale audity se vygenerují, které indikují, zda by došlo k neúspěchům, pokud by byla omezení aplikována.
Vytvoření sila zásad ověřování pomocí Centra správy služby Active Directory
Otevřete Centrum správy služby Active Directory, klikněte na Ověřování, klikněte pravým tlačítkem na Sila Zásad Ověřování, klikněte na Novýa potom klikněte na AutentizaceSilo zásad ověřování.
Do pole Zobrazovaný názevzadejte název pro silo. V Povolené účtyklepněte na tlačítko Přidat, zadejte názvy účtů a klepněte na tlačítko OK. Můžete zadat uživatele, počítače nebo účty služeb. Pak určete, jestli se má použít jedna zásada pro všechny objekty zabezpečení, nebo samostatnou zásadu pro každý typ objektu zabezpečení a název zásady nebo zásady.
Spravujte pole zásad ověřování pomocí Windows PowerShellu
Tento příkaz vytvoří objekt segmentu zásad ověřování a tyto zásady poté vynutí.
PS C:\>New-ADAuthenticationPolicySilo -Name newSilo -Enforce
Tento příkaz získá všechna sila zásad ověřování, která odpovídají filtru určenému parametrem Filter. Výstup se pak předá rutině Format-Table, která zobrazí název zásady a hodnotu Vynutit pro každou zásadu.
PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Name -like "*silo*"' | Format-Table Name, Enforce -AutoSize
Name Enforce
---- -------
silo True
silos False
Tento příkaz používá rutinu Get-ADAuthenticationPolicySilo s parametrem Filter k získání všech zásobníků zásad ověřování, které nejsou vynucovány, a předá dál výsledek filtru rutině Remove-ADAuthenticationPolicySilo.
PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Enforce -eq $False' | Remove-ADAuthenticationPolicySilo
Tento příkaz udělí přístup k zásadě ověřování s názvem Silo uživatelskému účtu pojmenovanému User01.
PS C:\>Grant-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01
Tento příkaz odvolá přístup k silu zásad ověřování s názvem Silo pro uživatelský účet s názvem User01. Vzhledem k tomu, že parametr Confirm je nastavený na $False, nezobrazí se žádná potvrzovací zpráva.
PS C:\>Revoke-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01 -Confirm:$False
Tento příklad nejprve používá rutinu Get-ADComputer k získání všech účtů počítačů, které odpovídají filtru, který určuje parametr Filter. Výstup tohoto příkazu je předán Set-ADAccountAuthenticationPolicySilo, aby přiřadil silo zásad ověřování s názvem Silo a zásadu ověřování s názvem AuthenticationPolicy02.
PS C:\>Get-ADComputer -Filter 'Name -like "newComputer*"' | Set-ADAccountAuthenticationPolicySilo -AuthenticationPolicySilo Silo -AuthenticationPolicy AuthenticationPolicy02