Учетные записи Active Directory
Операционные системы Windows Server устанавливаются с локальными учетными записями по умолчанию. Кроме того, вы можете создавать учетные записи пользователей в соответствии с требованиями вашей организации.
В этой справочной статье описываются локальные учетные записи Windows Server по умолчанию, хранящиеся локально на контроллере домена и используемые в Active Directory. Он не описывает учетные записи локальных пользователей по умолчанию для члена, автономного сервера или клиента Windows. Дополнительные сведения см. в разделе "Локальные учетные записи".
Локальные учетные записи по умолчанию в Active Directory
Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создании домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Они также имеют доступ на уровне домена и полностью отделены от учетных записей локальных пользователей по умолчанию для члена или автономного сервера.
Вы можете назначить права и разрешения локальным учетным записям по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере "Пользователи" в Пользователи и компьютеры Active Directory. Рекомендуется сохранить локальные учетные записи по умолчанию в контейнере пользователей, а не пытаться переместить эти учетные записи в другой подразделений.
Локальные учетные записи по умолчанию в контейнере "Пользователи": "Администратор", "Гость" и "KRBTGT". Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описаны локальные учетные записи по умолчанию и их использование в Active Directory.
Локальные учетные записи по умолчанию выполняют следующие действия:
Позвольте домену представлять, определять и проверять подлинность удостоверения пользователя, которому назначена учетная запись, с помощью уникальных учетных данных (имя пользователя и пароль). Рекомендуется назначить каждого пользователя одной учетной записи, чтобы обеспечить максимальную безопасность. Несколько пользователей не могут совместно использовать одну учетную запись. Учетная запись пользователя позволяет пользователю входить на компьютеры, сети и домены с уникальным идентификатором, который может проходить проверку подлинности компьютера, сети или домена.
Авторизация (предоставление или запрет) доступа к ресурсам. После проверки подлинности учетных данных пользователя пользователь может получить доступ к сети и ресурсам домена на основе явных прав пользователя в ресурсе.
Аудит действий, выполняемых в учетных записях пользователей.
В Active Directory администраторы используют локальные учетные записи по умолчанию для управления доменами и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и учетные записи компьютеров могут представлять физическую сущность, например компьютер или лицо, или выступать в качестве выделенных учетных записей служб для некоторых приложений.
Каждая локальная учетная запись по умолчанию автоматически назначается группе безопасности, предварительно настроенной с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые единицы. Дополнительные сведения см. в группах безопасности Active Directory.
На контроллере домена Active Directory каждая локальная учетная запись по умолчанию называется субъектом безопасности. Субъект безопасности — это объект каталога, который используется для защиты служб Active Directory и управления ими, которые предоставляют доступ к ресурсам контроллера домена. Субъект безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютера, группы безопасности или потоки или процессы, выполняемые в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в разделе "Субъекты безопасности".
Субъект безопасности представлен уникальным идентификатором безопасности (SID). Идентификаторы SID, связанные с каждой из локальных учетных записей по умолчанию в Active Directory, описаны в следующих разделах.
Некоторые локальные учетные записи по умолчанию защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, содержащая сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности на одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными параметрами.
Этот дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администратора службы или любой из ее учетных записей-участников, необходимо изменить дескриптор безопасности в объекте AdminSDHolder, чтобы обеспечить согласованное применение. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным учетным записям.
Учетная запись администратора
Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях операционной системы Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, требующих учетных данных администратора. Эту учетную запись нельзя удалить или заблокировать, но ее можно переименовать или отключить.
Учетная запись администратора предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на этом локальном сервере. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений управления доступом. Учетная запись также может использоваться для контроля над локальными ресурсами в любое время, просто изменив права пользователя и разрешения. Хотя файлы и каталоги могут быть временно защищены от учетной записи администратора, учетная запись может контролировать эти ресурсы в любое время, изменив разрешения доступа.
Членство в группе учетных записей
Учетная запись администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора далее в этой статье.
Группы безопасности гарантируют, что вы можете управлять правами администратора, не изменяя каждую учетную запись администратора. В большинстве случаев вам не нужно изменять основные параметры для этой учетной записи. Однако может потребоваться изменить дополнительные параметры, например членство в определенных группах.
Вопросы безопасности
После установки операционной системы сервера ваша первая задача — безопасно настроить свойства учетной записи администратора. Это включает настройку особенно длинного, надежного пароля и защиты параметров профиля служб удаленного управления и служб удаленных рабочих столов.
Учетная запись администратора также может быть отключена, если она не требуется. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись администратора отключена, она по-прежнему может использоваться для получения доступа к контроллеру домена с помощью безопасного режима.
На контроллере домена учетная запись администратора становится учетной записью администратора домена. Учетная запись администратора домена используется для входа в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись администратора домена предоставляет доступ к ресурсам домена.
Примечание.
Когда контроллер домена изначально установлен, вы можете войти и использовать диспетчер сервера для настройки локальной учетной записи администратора с правами и разрешениями, которые вы хотите назначить. Например, вы можете использовать локальную учетную запись администратора для управления операционной системой при первой установке. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, после установки не требуется использовать учетную запись. Учетные записи локальных пользователей можно создать только перед установкой служб домен Active Directory, а не после этого.
При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. Учетная запись администратора является самой мощной учетной записью в домене. Он предоставляет доступ на уровне домена и права администратора для администрирования компьютера и домена, а также имеет самые обширные права и разрешения по домену. Пользователь, который устанавливает службы домен Active Directory на компьютере, создает пароль для этой учетной записи во время установки.
Атрибуты учетной записи администратора
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-500<domain> |
Тип | User |
Контейнер по умолчанию | CN=Пользователи, DC=<domain> , DC= |
элементы по умолчанию; | Н/П |
Является членом по умолчанию. | Администраторы, администраторы домена, администраторы предприятия, пользователи домена (основной идентификатор группы всех учетных записей пользователей — пользователи домена) Владельцы групповой политики и администраторы схемы в группе пользователей домен Active Directory |
Защита через ADMINSDHOLDER? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Да |
Безопасно делегировать управление этой группой администраторам, не являющихся службами? | No |
Гостевая учетная запись
Гостевая учетная запись — это локальная учетная запись по умолчанию, которая имеет ограниченный доступ к компьютеру и отключена по умолчанию. По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получить доступ к гостевой учетной записи без необходимости ввода пароля пользователем.
Гостевая учетная запись позволяет случайным или однократным пользователям, у которых нет отдельной учетной записи на компьютере, войти на локальный сервер или домен с ограниченными правами и разрешениями. Гостевая учетная запись может быть включена, а пароль можно настроить при необходимости, но только участником группы администраторов в домене.
Членство в группе гостевых учетных записей
Гостевая учетная запись имеет членство в группах безопасности по умолчанию, описанных в следующей таблице атрибутов гостевой учетной записи. По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию, которая позволяет пользователю входить на сервер и глобальную группу "Гости домена", которая позволяет пользователю войти в домен.
Участник группы администраторов или группы администраторов домена может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.
Вопросы безопасности гостевой учетной записи
Так как гостевая учетная запись может предоставлять анонимный доступ, это риск безопасности. Он также имеет известный идентификатор БЕЗОПАСНОСТИ. По этой причине рекомендуется оставить гостевую учетную запись отключенной, если ее использование не требуется, а затем только с ограниченными правами и разрешениями в течение очень ограниченного периода времени.
Если требуется гостевая учетная запись, администратор контроллера домена требуется для включения гостевой учетной записи. Гостевая учетная запись может быть включена без необходимости пароля или ее можно включить с помощью надежного пароля. Администратор также предоставляет ограниченные права и разрешения для гостевой учетной записи. Чтобы предотвратить несанкционированный доступ, выполните следующие действия.
Не предоставьте гостевой учетной записи право на завершение работы системного пользователя. Если компьютер завершает работу или запускается, возможно, что гостевой пользователь или любой пользователь с локальным доступом, например злоумышленник, может получить несанкционированный доступ к компьютеру.
Не предоставляйте гостевую учетную запись с возможностью просмотра журналов событий. После включения гостевой учетной записи рекомендуется часто отслеживать эту учетную запись, чтобы другие пользователи не могли использовать службы и другие ресурсы, например ресурсы, которые были непреднамеренно оставлены предыдущим пользователем.
Не используйте гостевую учетную запись, если у сервера есть внешний сетевой доступ или доступ к другим компьютерам.
Если вы решите включить гостевую учетную запись, не забудьте ограничить его использование и регулярно изменять пароль. Как и в случае с учетной записью администратора, может потребоваться переименовать учетную запись в качестве добавленной меры предосторожности.
Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор отслеживает гостевую учетную запись, отключает гостевую учетную запись, если она больше не используется, а также изменяет или удаляет пароль по мере необходимости.
Дополнительные сведения об атрибутах гостевой учетной записи см. в следующей таблице:
Атрибуты гостевой учетной записи
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-<domain> -501 |
Тип | User |
Контейнер по умолчанию | CN=Пользователи, DC=<domain> , DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Гости, гости домена |
Защита через ADMINSDHOLDER? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Может быть перемещен, но мы не рекомендуем его. |
Безопасно делегировать управление этой группой администраторам, не являющихся службами? | No |
Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)
Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая включена при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключается, если запросы удаленной помощи не ожидаются.
HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется приглашением. Для получения удаленной помощи пользователь отправляет приглашение с своего компьютера, по электронной почте или в качестве файла человеку, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись helpAssistant по умолчанию, чтобы предоставить пользователю, который предоставляет помощь ограниченному доступу к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеанса справки для удаленного рабочего стола.
Рекомендации по безопасности HelpAssistant
Идентификаторы SID, относящиеся к учетной записи helpAssistant по умолчанию, включают:
SID: S-1-5-13
<domain>
, отображаемое имя пользователя сервера терминала. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. В Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.SID: S-1-5-
<domain>
-14, отображаемое имя удаленного интерактивного входа. Эта группа включает всех пользователей, подключающихся к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор БЕЗОПАСНОСТИ.
Для операционной системы Windows Server удаленный помощник является необязательным компонентом, который по умолчанию не установлен. Прежде чем использовать его, необходимо установить удаленную помощь.
Дополнительные сведения об атрибутах учетной записи HelpAssistant см. в следующей таблице:
Атрибуты учетной записи HelpAssistant
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5<domain> --13 (пользователь сервера терминала), S-1-5-<domain> -14 (удаленный интерактивный вход) |
Тип | User |
Контейнер по умолчанию | CN=Пользователи, DC=<domain> , DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Гости домена Гости |
Защита через ADMINSDHOLDER? | No |
Безопасно ли выходить за пределы контейнера по умолчанию? | Может быть перемещен, но мы не рекомендуем его. |
Безопасно делегировать управление этой группой администраторам, не являющихся службами? | No |
Учетная запись KRBTGT
Учетная запись KRBTGT — это локальная учетная запись по умолчанию, которая выступает в качестве учетной записи службы "Центр распространения ключей" (KDC). Эту учетную запись нельзя удалить, и имя учетной записи невозможно изменить. Учетная запись KRBTGT не может быть включена в Active Directory.
KRBTGT также является именем субъекта безопасности, используемого KDC для домена Windows Server, как указано RFC 4120. Учетная запись KRBTGT — это сущность субъекта безопасности KRBTGT, которая создается автоматически при создании нового домена.
Проверка подлинности Windows Server Kerberos достигается с помощью специального билета Kerberos для предоставления билета (TGT), зашифрованного симметричным ключом. Этот ключ является производным от пароля сервера или службы, к которому запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службой Kerberos. Чтобы запросить билет на сеанс, TGT должен быть представлен В KDC. TGT выдается клиенту Kerberos из KDC.
Рекомендации по обслуживанию учетной записи KRBTGT
Надежный пароль назначается учетным записям KRBTGT и учетным записям доверия автоматически. Как и любые учетные записи привилегированных служб, организации должны изменять эти пароли в обычном расписании. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и расшифровки выданных запросов TGT. Пароль для учетной записи доверия домена используется для получения ключа между областью для шифрования запросов на рефералы.
Для сброса пароля необходимо либо быть членом группы администраторов домена, либо делегировать соответствующий орган. Кроме того, необходимо быть членом локальной группы администраторов или делегировать соответствующий орган.
После сброса пароля KRBTGT убедитесь, что идентификатор события 9 в источнике событий Key-Distribution-Center (Kerberos) записывается в журнал событий Системы.
Вопросы безопасности учетной записи KRBTGT
Кроме того, рекомендуется сбросить пароль учетной записи KRBTGT, чтобы убедиться, что восстановленный контроллер домена не реплицируется с скомпрометированным контроллером домена. В этом случае в большом восстановлении леса, которое распространяется по нескольким расположениям, вы не можете гарантировать, что все контроллеры домена завершаются и, если они завершаются, их невозможно перезагрузить еще раз до выполнения всех соответствующих действий восстановления. После сброса учетной записи KRBTGT другой контроллер домена не может реплицировать этот пароль учетной записи с помощью старого пароля.
Организация, подозревающая компрометация домена учетной записи KRBTGT, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты. Влияние на восстановление владения учетной записью является доменным, трудоемким и должно выполняться в рамках более крупных усилий по восстановлению.
Пароль KRBTGT является ключом, от которого все доверие в цепочках Kerberos до. Сброс пароля KRBTGT аналогичен продлению корневого сертификата ЦС с новым ключом и немедленно не доверяет старому ключу, что приведет к почти всем последующим операциям Kerberos.
Для всех типов учетных записей (пользователей, компьютеров и служб)
Все уже выданные и распределенные TGT будут недействительными, так как контроллеры домена отклонят их. Эти билеты шифруются с помощью KRBTGT, чтобы любой контроллер домена смог проверить их. При изменении пароля билеты становятся недействительными.
Все прошедшие проверку подлинности сеансы, прошедшие вход пользователей (на основе их билетов на обслуживание) к ресурсу (например, файловый ресурс, сайт SharePoint или сервер Exchange Server), хороши, пока запрос на обслуживание не потребуется для повторной проверки подлинности.
Подключения, прошедшие проверку подлинности NTLM, не затрагиваются.
Так как невозможно предсказать конкретные ошибки, которые будут возникать для любого конкретного пользователя в рабочей операционной среде, необходимо предположить, что все компьютеры и пользователи будут затронуты.
Внимание
Перезагрузка компьютера — единственный надежный способ восстановления функциональных возможностей, так как это приведет к повторному входу как учетной записи компьютера, так и учетным записям пользователей. Вход снова запросит новые TGT, допустимые с новым KRBTGT, что исправит любые операционные проблемы, связанные с KRBTGT на этом компьютере.
Контроллеры домена только для чтения и учетная запись KRBTGT
Windows Server 2008 представила контроллер домена только для чтения (RODC). RODC объявляется в качестве центра распространения ключей (KDC) для филиала. RODC использует другую учетную запись и пароль KRBTGT, чем KDC на контроллере домена, доступного для записи, при подписи или шифровании запросов на предоставление билетов (TGT). После успешной проверки подлинности учетной записи RODC определяет, можно ли реплицировать учетные данные пользователя или учетные данные компьютера из записываемого контроллера домена в RODC с помощью политики репликации паролей.
После кэширования учетных данных в RODC РОДC можно принять запросы на вход пользователя до изменения учетных данных. Когда TGT подписан с учетной записью KRBTGT rodC, РОДC распознает, что он имеет кэшированную копию учетных данных. Если другой контроллер домена подписывает TGT, rodC перенаправит запросы на контроллер домена, доступный для записи.
Атрибуты учетной записи KRBTGT
Дополнительные сведения об атрибутах учетной записи KRBTGT см. в следующей таблице:
Атрибут | Значение |
---|---|
Известный SID/RID | S-1-5-502<domain> |
Тип | User |
Контейнер по умолчанию | CN=Пользователи, DC=<domain> , DC= |
элементы по умолчанию; | нет |
Является членом по умолчанию. | Группа "Пользователи домена" (идентификатор основной группы всех учетных записей пользователей — "Пользователи домена") |
Защита через ADMINSDHOLDER? | Да |
Безопасно ли выходить за пределы контейнера по умолчанию? | Может быть перемещен, но мы не рекомендуем его. |
Безопасно делегировать управление этой группой администраторам, не являющихся службами? | No |
Параметры локальных учетных записей по умолчанию в Active Directory
Каждая локальная учетная запись по умолчанию в Active Directory имеет несколько параметров учетной записи, которые можно использовать для настройки параметров пароля и сведений о безопасности, как описано в следующей таблице:
Параметры учетной записи | Description |
---|---|
Требовать смену пароля при следующем входе в систему | Принудительно изменяет пароль при следующем входе пользователя в сеть. Используйте этот параметр, если вы хотите убедиться, что пользователь является единственным человеком, который знает свой пароль. |
Пользователь не может изменить пароль | Запрещает пользователю изменять пароль. Используйте этот параметр, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи. |
Password never expires | Предотвращает истечение срока действия учетной записи пользователя. Рекомендуется включить этот параметр с учетными записями служб и использовать надежные пароли. |
Хранить пароли, используя обратимое шифрование | Предоставляет поддержку приложений, использующих протоколы, требующие знания о форме обычного текста пароля пользователя для проверки подлинности. Этот параметр требуется при использовании протокола проверки подлинности подтверждения вызовов (CHAP) в службах проверки подлинности Интернета (IAS) и при использовании дайджест-проверки подлинности в службы IIS (IIS). |
Отключить учетную запись | Запрещает пользователю войти с выбранной учетной записью. Администратор может использовать отключенные учетные записи в качестве шаблонов для общих учетных записей пользователей. |
Для интерактивного входа в сеть нужна смарт-карта | Требуется, чтобы у пользователя была смарт-карта для входа в сеть в интерактивном режиме. Этот пользователь также должен иметь подключенный к компьютеру считыватель смарт-карт и действительный персональный идентификационный номер (ПИН-код) смарт-карты. Если этот атрибут применяется к учетной записи, эффект выглядит следующим образом: |
Учетная запись доверена для делегирования | Позволяет службе, работающей под этой учетной записью, выполнять операции от имени других учетных записей пользователей в сети. Служба, запущенная под учетной записью пользователя (также известной как учетная запись службы), которая является доверенной для делегирования, может олицетворить клиента для получения доступа к ресурсам либо на компьютере, на котором выполняется служба, либо на других компьютерах. Например, в лесу, который установлен на уровне функциональности Windows Server 2003, этот параметр найден на вкладке "Делегирование". Она доступна только для учетных записей, которым назначены имена субъектов-служб (SPN), которые задаются с помощью setspn команды из средств поддержки Windows. Этот параметр учитывает безопасность и должен быть назначен осторожно. |
Учетная запись является конфиденциальной и не может быть делегирована | Предоставляет контроль над учетной записью пользователя, например для гостевой учетной записи или временной учетной записи. Этот параметр можно использовать, если эта учетная запись не может быть назначена для делегирования другой учетной записью. |
Использовать тип шифрования DES для этой учетной записи | Обеспечивает поддержку алгоритма шифрования DES. DES поддерживает несколько уровней шифрования, в том числе microsoft Point-to-Point Encryption (MPPE) Standard (40-разрядная и 56-разрядная), MPPE standard (56-разрядная), MPPE Strong (128-разрядная), Internet Protocol Security (IPSec) DES (40-разрядная), IPSec 56-разрядная DES и IPSec Triple DES (3DES). |
Без предварительной проверки подлинности Kerberos | Предоставляет поддержку альтернативных реализаций протокола Kerberos. Так как предварительная проверку подлинности обеспечивает дополнительную безопасность, используйте осторожность при включении этого параметра. Контроллеры домена под управлением Windows 2000 или Windows Server 2003 могут использовать другие механизмы для синхронизации времени. |
Примечание.
DES не включен по умолчанию в операционных системах Windows Server (начиная с Windows Server 2008 R2) или в клиентских операционных системах Windows (начиная с Windows 7). Для этих операционных систем компьютеры по умолчанию не будут использовать наборы шифров DES-CBC-MD5 или DES-CBC-CRC. Если для вашей среды требуется DES, этот параметр может повлиять на совместимость с клиентскими компьютерами или службами и приложениями в вашей среде.
Дополнительные сведения см. в разделе "Охота вниз по протоколу DES" для безопасного развертывания Kerberos.
Управление локальными учетными записями по умолчанию в Active Directory
После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере "Пользователи" в Пользователи и компьютеры Active Directory. Вы можете создавать, отключать, сбрасывать и удалять локальные учетные записи по умолчанию с помощью Пользователи и компьютеры Active Directory консоли управления Майкрософт (MMC) и с помощью средств командной строки.
Вы можете использовать Пользователи и компьютеры Active Directory для назначения прав и разрешений для указанного локального контроллера домена и только этого контроллера домена, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. В отличие от этого, разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером, которое регулирует доступ пользователей к объекту и каким образом.
Дополнительные сведения о создании локальных учетных записей пользователей и управлении ими в Active Directory см. в статье "Управление локальными пользователями".
Вы также можете использовать Пользователи и компьютеры Active Directory на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.
Вы можете получить рекомендации от Корпорации Майкрософт для конфигураций контроллера домена, которые можно распространять с помощью средства диспетчера соответствия требованиям безопасности (SCM). Дополнительные сведения см. в разделе Microsoft Security Compliance Manager.
Некоторые учетные записи локальных пользователей по умолчанию защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности, который представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот дескриптор безопасности присутствует в объекте AdminSDHolder.
Это означает, что, если требуется изменить разрешения для группы администраторов служб или любой из ее учетных записей-членов, вам также необходимо изменить дескриптор безопасности объекта AdminSDHolder. Этот подход гарантирует, что разрешения применяются последовательно. Будьте осторожны при внесении этих изменений, так как это действие также может повлиять на параметры по умолчанию, которые применяются ко всем защищенным учетным записям администратора.
Ограничение и защита учетных записей конфиденциального домена
Ограничение и защита учетных записей домена в вашей среде домена требует внедрения и реализации следующего подхода:
Строго ограничивает членство в группах администраторов, администраторов домена и корпоративных администраторов.
Строго контролировать, где и как используются учетные записи домена.
Учетные записи участников в группах администраторов, администраторов домена и корпоративных администраторов в домене или лесу являются целевыми объектами для злоумышленников. Чтобы ограничить любое воздействие, рекомендуется строго ограничить членство в этих группах администраторов наименьшим числом учетных записей. Ограничение членства в этих группах снижает вероятность того, что администратор может непреднамеренно использовать эти учетные данные и создать уязвимость, которую злоумышленники могут использовать.
Кроме того, рекомендуется строго контролировать, где и как используются учетные записи конфиденциального домена. Ограничить использование учетных записей администраторов домена и других учетных записей администратора, чтобы предотвратить их использование для входа в системы управления и рабочие станции, защищенные на том же уровне, что и управляемые системы. Если учетные записи администратора не ограничены таким образом, каждая рабочая станция, из которой администратор домена входит в систему, предоставляет другое расположение, которое злоумышленники могут использовать.
Реализация этих рекомендаций разделена на следующие задачи:
- Разделение учетных записей администратора от учетных записей пользователей
- Ограничение доступа администратора к серверам и рабочим станциям
- Отключение делегирования учетных записей для конфиденциальных учетных записей администратора
Чтобы предоставить экземпляры, в которых ожидаются проблемы интеграции с доменной средой, каждая задача описывается в соответствии с требованиями к минимальной, лучшей и идеальной реализации. Как и во всех существенных изменениях в рабочей среде, убедитесь, что перед реализацией и развертыванием этих изменений необходимо тщательно протестировать эти изменения. Затем выполните развертывание таким образом, чтобы обеспечить откат изменений, если возникают технические проблемы.
Разделение учетных записей администратора от учетных записей пользователей
Ограничение учетных записей администраторов домена и других конфиденциальных учетных записей, чтобы предотвратить их использование для входа на серверы с низким уровнем доверия и рабочих станций. Ограничение и защита учетных записей администраторов путем разделения учетных записей администратора от стандартных учетных записей пользователей путем разделения административных обязанностей от других задач и путем ограничения использования этих учетных записей. Создайте выделенные учетные записи для администраторов, которым требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных задач пользователей в соответствии со следующими рекомендациями:
Привилегированная учетная запись: выделите учетные записи администратора только для выполнения следующих административных обязанностей:
Минимум: создание отдельных учетных записей для администраторов домена, корпоративных администраторов или эквивалентных соответствующих прав администратора в домене или лесу. Используйте учетные записи, которые были предоставлены конфиденциальным правами администратора только для администрирования данных домена и контроллеров домена.
Лучше: создание отдельных учетных записей для администраторов, которые сократили права администратора администратора, например учетные записи для администраторов рабочих станций, а также учетные записи с правами пользователей на назначенные подразделения Active Directory (OUS).
Идеально. Создание нескольких отдельных учетных записей для администратора, у которого есть несколько обязанностей, требующих разных уровней доверия. Настройте каждую учетную запись администратора с разными правами пользователя, например для администрирования рабочих станций, администрирования сервера и домена, чтобы администратор входить в указанные рабочие станции, серверы и контроллеры домена, строго основанные на своих обязанностях.
Учетная запись стандартного пользователя: предоставление стандартных прав пользователя для стандартных задач пользователя, таких как электронная почта, просмотр веб-страниц и использование бизнес-приложений (LOB). Эти учетные записи не должны предоставляться правами администратора.
Внимание
Убедитесь, что конфиденциальные учетные записи администратора не могут получать доступ к электронной почте или просматривать Интернет, как описано в следующем разделе.
Дополнительные сведения о привилегированном доступе см. в разделе "Устройства с привилегированным доступом".
Ограничение доступа администратора к серверам и рабочим станциям
Рекомендуется ограничить администраторов использованием учетных записей конфиденциальных администраторов для входа на серверы с низким уровнем доверия и рабочие станции. Это ограничение запрещает администраторам непреднамеренно увеличивать риск кражи учетных данных путем входа на компьютер с низким уровнем доверия.
Внимание
Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы создали по крайней мере одну выделенную административную рабочую станцию.
Ограничить доступ к серверам и рабочим станциям с низким уровнем доверия для входа с помощью следующих рекомендаций:
Минимальное значение. Ограничение доступа администраторов домена к серверам и рабочим станциям. Перед началом этой процедуры определите все подразделения в домене, содержащие рабочие станции и серверы. Все компьютеры в подразделениях, которые не определены, не ограничивают администраторов конфиденциальными учетными записями от входа в них.
Лучше: ограничить администраторов домена с серверов и рабочих станций, не являющихся контроллерами домена.
Идеальное значение. Ограничение входа администраторов серверов на рабочие станции в дополнение к администраторам домена.
Примечание.
Для этой процедуры не свяжите учетные записи с подразделением, содержащим рабочие станции для администраторов, выполняющих только обязанности администрирования, и не предоставляйте доступ к Интернету или электронной почте.
Ограничение администраторов домена на рабочих станциях (минимум)
В качестве администратора домена откройте консоль управления групповыми политиками (GPMC).
Откройте групповую политику управления, разверните <лес>\Домены\
<domain>
.Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите Создать.
В окне "Создать объект групповой политики" назовите объект групповой политики, ограничивающий вход администраторов на рабочие станции, а затем нажмите кнопку "ОК".
Щелкните правой кнопкой мыши новый объект групповой политики и выберите пункт "Изменить".
Настройте права пользователя, чтобы запретить вход локально для администраторов домена.
Выберите "Локальные политики> конфигурации>компьютеров>" "Параметры Windows", выберите "Назначение прав пользователя" и выполните следующие действия:
a. Дважды щелкните "Запретить вход в систему локально", а затем выберите " Определить эти параметры политики". b. Выберите "Добавить пользователя или группу", выберите "Обзор", введите "Администраторы предприятия" и нажмите кнопку "ОК". Выберите "Добавить пользователя или группу", выберите "Обзор", введите "Администраторы домена" и нажмите кнопку "ОК".
Совет
При необходимости можно добавить любые группы, содержащие администраторов серверов, которым требуется ограничить вход на рабочие станции.
Примечание.
Выполнение этого шага может привести к проблемам с задачами администратора, которые выполняются как запланированные задачи или службы с учетными записями в группе администраторов домена. Практика использования учетных записей администратора домена для запуска служб и задач на рабочих станциях создает значительный риск кражи учетных данных и, следовательно, следует заменить альтернативными средствами для выполнения запланированных задач или служб.
d. Нажмите кнопку ОК, чтобы завершить настройку.
Свяжите объект групповой политики с первым подразделением рабочих станций. Перейдите в <лес>\Домены\
<domain>
\OU путь, а затем выполните следующие действия:a. Щелкните правой кнопкой мыши подразделение рабочей станции и выберите "Связать существующий объект групповой политики".
b. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".
Проверьте функциональные возможности корпоративных приложений на рабочих станциях в первом подразделении и устраните все проблемы, вызванные новой политикой.
Свяжите все остальные подразделения, содержащие рабочие станции.
Однако не создавайте ссылку на подразделение административной рабочей станции, если оно создано для административных рабочих станций, предназначенных только для обязанностей администрирования и не имеющих доступа к Интернету или электронной почте.
Внимание
Если позже вы расширяете это решение, не запрещайте права входа в группу "Пользователи домена". Группа "Пользователи домена" включает все учетные записи пользователей в домене, включая пользователей, администраторов домена и администраторов предприятия.
Отключение делегирования учетных записей для конфиденциальных учетных записей администратора
Хотя учетные записи пользователей по умолчанию не помечены для делегирования, учетные записи в домене Active Directory могут быть доверенными для делегирования. Это означает, что служба или компьютер, доверенный для делегирования, могут олицетворить учетную запись, которая проходит проверку подлинности для доступа к другим ресурсам в сети.
Для конфиденциальных учетных записей, таких как члены групп администраторов, администраторов домена или администраторов предприятия в Active Directory, делегирование может представлять значительный риск эскалации прав. Например, если учетная запись в группе "Администраторы домена" используется для входа на скомпрометированный сервер-член, доверенный для делегирования, этот сервер может запрашивать доступ к ресурсам в контексте учетной записи администраторов домена и скомпрометировать этот сервер-член до компрометации домена.
Рекомендуется настроить объекты пользователей для всех конфиденциальных учетных записей в Active Directory, выбрав учетную запись конфиденциальной и не удается делегировать флажок в разделе " Параметры учетной записи", чтобы предотвратить делегирование учетных записей. Дополнительные сведения см. в разделе "Параметры" для локальных учетных записей по умолчанию в Active Directory.
Как и при любом изменении конфигурации, проверьте этот параметр полностью, чтобы убедиться, что он работает правильно перед реализацией.
Защита контроллеров домена и управление ими
Рекомендуется строго применять ограничения на контроллеры домена в вашей среде. Это гарантирует, что контроллеры домена:
- Запустите только необходимое программное обеспечение.
- Требовать регулярного обновления программного обеспечения.
- Настраиваются с соответствующими параметрами безопасности.
Одним из аспектов защиты контроллеров домена и управления ими является обеспечение полной защиты учетных записей локальных пользователей по умолчанию. Важно ограничить и защитить все учетные записи конфиденциального домена, как описано в предыдущих разделах.
Так как контроллеры домена хранят хэши паролей учетных данных всех учетных записей в домене, они являются высокоценными целевыми объектами для вредоносных пользователей. Если контроллеры домена не являются хорошо управляемыми и защищенными с помощью ограничений, которые строго применяются, они могут быть скомпрометированы вредоносными пользователями. Например, злоумышленник может украсть учетные данные администратора конфиденциального домена из одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.
Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь к эскалации прав, которые злоумышленники могут использовать для компрометации службы управления или администраторов этой службы. Средства управления и службы, которые ваша организация использует для управления контроллерами домена и их администраторами, также важны для безопасности контроллеров домена и учетных записей администратора домена. Убедитесь, что эти службы и администраторы полностью защищены с равными усилиями.