Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

235

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 27 28 29 30 31 32 33 34 35 36 37 3839 / 9639 40 41 42 43 44 45 46 47 48 49 50 51 > Следующая >>>

[ 358

Параметры групповой политики

Глава 7

•Протокол облегченного доступа к каталогам L D A P (Lightweight Directory

	Access Protocol)	Начальный протокол доступа в				Active Directory. Про-
	токол LDAP версии 3 определен набором документов Proposed Standard
	в документации	RFC	2251 специальной	к о м и с с и и		интернет - разработок
	IETF (Engineering Task Force).
•	Локальный объект групповой политики			О б ъ е к т		г р у п п о в о й	политики
	(GPO), который есть на каждом компьютере Windows . Параметры в ло-
	кальном объекте	G P O	заменяются параметрами		объектов G P O службы
	каталогов Active	Directory.
•	Шаблон безопасности		Коллекция параметров		настройки безопасности,
	которая хранится в текстовом файле с р а с ш и р е н и е м .inf. Д л я						создания
	базы данных на основе шаблона безопасности и анализа соответствия ком-
	пьютера параметрам в		этом шаблоне, а также д л я			п р и м е н е н и я шаблона
	к компьютеру можно использовать оснастку Анализ и настройка безопас-
	ности (Security Configuration And Analysis).
а	Служба Процесс, который выполняет конкретную системную функцию
	для поддержки приложений или других служб. В качестве примеров служб
	можно привести Доменные службы Active Directory (Active Directory Do-
	main Services), Репликация D F S ( D F S Replication), Сетевой вход (Net-
	logon), Сервер (Server), Планировщик заданий (Task Scheduler) и Журнал I
	событий Windows (Windows Event Log).
•	Пакет установщика W i n d o w s Installer ( ф а й л .msi)					База данных, содер-
	жащая инструкции по установке и удалению одного или нескольких при-
	ложений.
•	Трансформация установщика W i n d o w s Installer ( ф а й л . m s t )						Файл, ко-
	торый настраивает пакет установщика Windows Installer. Некоторые прило-
	жения поддерживают трансформации, позволяющие автоматизировать или
	конфигурировать установку приложений (см. пакет установщика Windows
	Installer).

Сценарии

В следующих сценариях предполагается, что вы сможете применить полученные знания в области управления параметрами безопасности и установки программного обеспечения с помощью групповой п о л и т и к и и аудита. Ответы на вопросы можно найти в разделе «Ответы» в конце книги.

Сценарий 1. Установка программного обеспечения с помощью групповой политики

Будучи администратором в компании Contoso, Ltd, вы собираетесь развернуть новое приложение для пользователей в мобильном отделе продаж и хотите использовать для установки программы групповую политику. В Active Directory все пользователи расположены в подразделении Служащие, а учетные записи всех клиентских компьютеров — в подразделении Клиенты. Приложение лицензировано для машины. Когда персонал отдела продаж находится в офисе, сотрудники входят в другие системы, такие как компьютеры в конференц-зале.

Сценарии

3 5 9

Поскольку нужно установить приложение только на настольных компьютерах и ноутбуках отдела продаж, вы создали трансформацию, которая автоматизирует установку пакета установщика Windows Installer приложения.

1. В какой секции G P O следует создать пакет для приложения — Конфигурация компьютера (Computer Configuration) или Конфигурация пользователя

(User	Configuration)? Почему?
2. Какой	тип р а з в е р т ы в а н и я следует выбрать при	создании пакета — Пуб-
л и ч н ы й ( P u b l i s h e d ) , Н а з н а ч е н н ы й (Assigned)		или Особый (Advanced)?
Почему?
3. Как назначить область действия объекта GPO, чтобы он применялся только
к мобильным пользователям отдела продаж?

Сценарий 2. Настройка безопасности

Вы являетесь администратором в компании Contoso, Ltd и обеспечиваете техническую поддержку двадцати серверов отдела Кадры, которые распределены в семи глобальных узлах. Папка Жалование реплицируется на сервер в каждом узле. Поскольку она содержит уязвимую информацию о компенсации служащим, необходимо обеспечить ее безопасность и выполнять аудит несанкционированных попыток получить к ней доступ. Вы применили разрешения NTFS, которые разрешают доступ к папкам Жалование лишь соответствующему персоналу отдела кадров, причем доступ запрещен даже группе Администраторы (Administrators) на серверах. Естественно, члены группы администраторов серверов всегда могут изменить владельца ресурса и назначить себе разрешения доступа, однако вы без труда можете выполнять аудит таких операций. Для повышения безопасности этих серверов и их уязвимых данных требуется, чтобы только ваша учетная запись и учетная запись вице-президента отдела кадров были включены в группу администраторов сервера. Учетная запись вице-пре- зидента будет использоваться как резервная на случай вашего отсутствия. Необходимо развернуть эту конфигурацию на всех семи серверах, не выполняя каждую операцию вручную. При этом вам не делегированы разрешения создавать или модифицировать объекты групповой политики в организации.

1. Вы д о л ж н ы в ы п о л н я т ь аудит несанкционированных попыток доступа к папке Жалование . Вам также необходимо выполнять аудит всех попыток доступа к этой папке членами группы Администраторы (Administrators) сервера, в к л ю ч а я смену владельца этой папки. Какие элементы аудита нужно отконфигурировать д л я папки Жалование?

2. Какой параметр п о л и т и к и нужно отконфигурировать для ограничения членства группы Администраторы (Administrators)? Можно ли с помощью этой политики удалить учетную запись Администратор (Administrator)?

3. Какие политики аудита нужно отконфигурировать?

4. Как развернуть эту конфигурацию на семи серверах без использования групповой политики?

5.Могут ли параметры в объектах групповой политики Active Directory заменить ваши параметры? Если да, то как время от времени отслеживать серверы, чтобы их конфигурация не изменялась?

[ 360

Параметры групповой политики

Глава 7

Практические задания

Для успешной сдачи сертификационного экзамена в ы п о л н и т е упражнения, предложенные ниже.

Группы с ограниченным доступом

Для выполнения упражнений в домене Active Directory д о л ж н ы быть созданы следующие объекты:

•подразделение первого уровня Администраторы;

•два дочерних подразделения Объекты и д е н т и ф и к а ц и и и Группы в подразделении Администраторы;

•глобальная группа безопасности Справка в подразделении Администраторы\Группы администраторов;

•глобальная группа безопасности Поддержка NYC в подразделении Администраторы\Группы администраторов;

• одна или несколько учетных записей п о л ь з о в а т е л е й в подразделении Администраторы\Объекты идентификации, представляющие сотрудников корпоративного отдела справки (эти пользователи д о л ж н ы быть членами группы Справка);

•один или несколько пользователей в подразделении Администраторы\Объ - екты идентификации, которые представляют членов команды поддержки настольных систем в Ныо - Йорке (эти пользователи д о л ж н ы быть членами группы Поддержка NYC);

•подразделение первого уровня Клиенты;

•дочернее подразделение NYC в подразделении Клиенты;

• объект компьютера D E S K T O P l O l в подразделении Клиенты\НУС .

В этих упражнениях предлагается создать оптимальную структуру для делегирования и поддержки клиентских компьютеров, отконфигурировать группу Администраторы (Administrators) на клиентских компьютерах и включить в нее корпоративную группу Справка, а также группу поддержки в соответствии с географическим расположением сайта. Группа А д м и н и с т р а т о р ы не будет включена в группу Администраторы домена ( D o m a i n Admins).

•Упражнение i В этом упражнении вы создадите промежуточные группы для управления делегированием административных задач. В подразделении Администраторы\Группы администраторов создайте две локальные группы безопасности домена: SYS_Clients_Admins и SYS_NYC_Admins. Добавьте группу Справка в группу SYS_Clients_Admins, а группу Поддержка NYC — в группу SYS_NYC_Admins.

•Упражнение 2 Создайте объект GPO, который определяет в качестве членов группы Администраторы (Administrators) только группу SYS_Clients__ Admins. Инструкции можно найти в упражнении 2 занятия 1. В этом упражнении необходимо создать политику групп с ограниченным доступом, для группы Администраторы (Administrators), использующей параметр

Практические задания

3 6 1

Ч л е н ы этой группы (Members Of This Group) и указывающей группу SYS_ Clients_Admins. Задайте область действия для применения G P O ко всем компьютерам в подразделении Клиенты.

•У п р а ж н е н и е 3 Это упражнение похоже на упражнение 3 занятия 1. Создайте объект G P O , который назначает группу SYS_NYC_Admins членом группы Администраторы (Administrators), а затем — политику групп с огра- н и ч е н н ы м доступом д л я группы SYS_NYC_Admins, которая использует параметр Эта группа является членом в (This Group Is A Member Of) и ука-

зывает группу Администраторы (Administrators). Задайте область действия G P O д л я п р и м е н е н и я ко всем компьютерам в подразделении NYC.

•У п р а ж н е н и е 4 Используйте Моделирование результирующей политики ( R S o P ) (Resultant Set of Policy ( R S o P ) Modeling) и убедитесь, что группа Администраторы (Administrators) содержит группы SYS_Clients_Admins и SYS _ NYC _ Admins . И н с т р у к ц и и находятся в упражнении 3 занятия 1.

Если у вас есть тестовый компьютер D E S K T O P l O l , присоединенный к домену, используйте инструкции из опционального упражнения 4 занятия 1, чтобы войти на компьютер и подтвердить членство группы Администраторы (Administrators) . На машине D E S K T O P l O l группа Администраторы (Administrators) больше не содержит группу Администраторы домена (Domain Admins).

Эти упражнения похожи на упражнения занятия 1, однако есть два важных отличия. Во-первых, в упражнении 2 используется параметр Члены этой группы (Members Of This Group) политики групп с ограниченным доступом, который удаляет группу Администраторы домена (Domain Admins) и локальную группу Администраторы (Administrators). Эта методика является оптимальной, поскольку группа Администраторы домена должна применяться только для администрирования службы каталогов и контроллеров домена, а не для универсальной системной поддержки. Во-вторых, на занятии 1 вы задействовали групповую политику, чтобы добавить группы Справка и Поддержка NYC непосредственно в группу Администраторы (Administrators) клиентских компьютеров. На этих занятиях вы добавили в группу клиентских систем Администраторы (Administrators) промежуточные группы SYS_Clients_Admins и SYS_NYC_ Admins, так что группы Справка и Поддержка NYC все еще являются членами, хоть и косвенно. Преимущество косвенной структуры состоит в том, что если другие группы должны быть членами группы Администраторы (Administrators), то не потребуется изменять политики и конфигурацию, — достаточно добавить их в локальную группу в домене. Если, к примеру, вы развертываете приложение, которому необходимы локальные административные привилегии на всех клиентских машинах, работать с каждой машиной и изменять объекты GPO не понадобится. В этом случае добавьте учетную запись приложения в группу SYS_Clients_Admins. Аналогичным образом команда аудиторов, назначенная для анализа всех компьютеров в Ныо-Йорке, добавляется в группу SYS_NYC_Admins. Никаких изменений в конфигурацию безопасности или объекты G P O вносить не требуется.

[ 362

Параметры групповой политики

Глава 7

Настройка безопасности

Необходимо реализовать конфигурацию безопасности, аналогичную конфи - гурации в сценарии 2. Просмотрите сценарий, прежде чем продолжить. Для того чтобы выполнить упражнения в Active Directory, создайте следующие объекты:

•подразделение первого уровня Администраторы с дочерним подразделением Группы администраторов;

•группа Администраторы серверов HR в подразделении Группы администраторов;

•подразделение первого уровня Группы;

•группы Кадры в подразделении Группы.

Кроме того, потребуется папка с именем Ж а л о в а н и е — создайте ее на диске

Смашины SERVER01.

•Упражнение i В оснастке Шаблоны безопасности (Security Templates)

создайте новый шаблон безопасности с именем сервер H R . В узле Локальные политики\Политика аудита (Local Policies\Audit Policy) отконфигурируйте политику Аудит доступа к объектам ( A u d i t O b j e c t Access) для аудита событий успеха и отказа, а также п о л и т и к у Аудит использования привилегий (Audit Privilege Use) для аудита событий успеха. В узле Группы с ограниченным доступом (Restricted Groups) добавьте новую политику групп с ограниченным доступом для группы Администраторы (Administrators), которые определяют в параметре Ч л е н ы этой группы (Members Of This Group) группу Администраторы серверов HR . В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) запомните текущее членство группы Администраторы (Administrators) в подразделении Builtin, чтобы восстановить его после выполнения упражнения. Сохраните шаблон Сервер HR, щелкнув его правой кнопкой мыши и выполнив команду Сохранить (Save).

•Упражнение 2 В сценарии 2 рекомендовалось вручную конфигурировать разрешения и элементы аудита папки Жалование . В Windows есть полити-

•ки файловой системы, которые позволяют конфигурировать разрешения и элементы аудита так, чтобы не настраивать их вручную и не применять

повторно конфигурацию безопасности с помощью политики . В шаблоне безопасности Сервер IiR щелкните правой кнопкой м ы ш и узел Файловая система (File System) и выполните команду Добавить ф а й л (Add File). В текстовое поле Папка (Folder) открывшегося диалогового окна введите путь С:\Жалование и щелкните ОК . В диалоговом окне Безопасность базы данных (Database Security) удалите все элементы и добавьте разрешение Полный доступ (Full Control) для группы Кадры. Это должно быть единственное примененное разрешение. Щелкните кнопку Дополнительно (Advanced) и перейдите на вкладку Аудит (Auditing). Добавьте элемент аудита для группы Все (Everyone), который выполняет аудит отказа полного доступа. Добавьте второй элемент аудита для группы Администраторы (Administrators), который выполняет аудит успешного получения полного

Пробный экзамен

363

доступа. Закройте все диалоговые окна и примите все параметры по умолчанию. Сохраните шаблон Сервер HR, щелкнув его правой кнопкой мыши

и выполнив команду Сохранить (Save).

•У п р а ж н е н и е 3 В оснастке Анализ и настройка безопасности (Security Configuration and Analysis) откройте новую базу данных с именем Конфигурация сервера H R . Импортируйте шаблон Сервер MR, созданный в упражнениях 1 и 2. щелкните правой кнопкой мыши оснастку Анализ и настройка безопасности и выполните команду Анализ компьютера (Analyze Computer

Now). Щелкните О К . Проанализируйте три узла параметров безопасности, в которые внесены модификации: Политика аудита (Audit Policy), Группы с ограниченным доступом (Restricted Groups) и Файловая система (File System). Локализуйте отличия между текущими параметрами компьютера и параметрами в шаблоне.

• У п р а ж н е н и е 4 Щ е л к н и т е правой кнопкой м ы ш и Анализ и настройка безопасности (Security Configuration and Analysis) и выполните команду Настроить компьютер (Configure Computer Now). Щелкните ОК. Проверьте внесенные изменения, просмотрев членство группы Администраторы (Administrators) в подразделении Builtin, а также параметры аудита папки С:\Жалование .

Восстановите исходных членов группы Администраторы (Administrators), которых использовали, когда выполняли упражнение 1. Если вы не записали исходное членство группы, убедитесь, что в группу администраторов включены группы Администраторы предприятия (Enterprise Admins) и Администраторы домена (Domain Admins).

Пробный экзамен

На прилагаемом к книге компакт - диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 7 0 - 6 4 0 , или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо'настроить на режим обучения. В последнем случае вы сможете •после каждого своего ответа на вопрос просматривать правильные ответы и пояснения.

ПРИМЕЧАНИЕ

Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А

Проверка ПОДЛИННОСТИ

Занятие 1.	Настройка политики паролей и блокировки учетных записей	365
Занятие 2.	Аудит проверки подлинности	377
Занятие 3.	Настройка контроллеров RODC	384

Когда пользователь входит в домен Active Directory, он вводит свое имя и пароль, а клиент применяет эти учетные данные для проверки подлинности пользователя, то есть подтверждения идентификации объекта пользователя в соответствии с его учетной записью в Active Directory. В главе 3 рассказывается, как создавать учетные записи пользователей, как управлять ими и их свойствами, в частности паролями. В этой главе речь пойдет о компонентах для проверки подлинности на стороне домена, в том числе о политиках, определяющих требования к паролям, об аудите операций, связанных с проверкой подлинности. Мы также рассмотрим такие новые элементы, как объекты параметров пароля PSO (Password Settings Object) и контроллеры домена только для чтения RODC (Read-Only Domain Controller).

Темы экзамена:

•Создание и поддержка объектов Active Directory.

•Настройка политики учетных записей.

•Конфигурирование политики аудита с помощью объектов GPO .

•Настройка инфраструктуры Active Directory.

о Конфигурирование репликации Active Directory.

• Настройка дополнительных ролей сервера Active Directory,

оКонфигурирование контроллера R O D C .

Прежде всего

Для выполнения упражнений этой главы в домене contoso.com должен быть установлен контроллер домена SERVER01.

Занятие 1

Настройка политики паролей и блокировки учетных записей

365

История из ж и з н и

Дэн Холме

Работая с клиентами, реализующими доменные службы Active Directory (AD DS), я должен постоянно соблюдать баланс между необходимостью в высоких уровнях безопасности и требованиями быстрого решения бизнес-задач. В версиях Windows до Windows Server 2008 я все время оказывался в одной из двух ситуаций, когда такой баланс было довольно сложно установить. Первая ситуация относится к безопасности учетных записей пользователей с высокими уровнями привилегий на предприятии. Такие учетные записи представляют интерес для хакеров, поэтому их нужно хорошо защищать, в частности, задавая длинные и сложные пароли. В предыдущих версиях Windows только политика паролей могла применяться ко всем учетным записям в домене. Поэтому мне приходилось задействовать строгие ограничения паролей для всех пользователей в домене, что никогда не приветствовалось, или просить администраторов реализовать более строгую политику, но без возможности согласования. В Windows Server 2008 появились гранулированные политики паролей, с помощью которых можно назначать пароли с различными уровнями сложности и применять их к группам или пользователям в домене.

В филиалах также возникали проблемы: нужно было найти баланс между быстрой и надежной проверкой подлинности пользователя и требованием централизовать управление физической безопасностью контроллеров доменов. Размещение контроллера домена в филиале может значительно повысить производительность для пользователей филиала, но такой контроллер физически будет менее защищен, чем в центре данных компании. Система Windows Server 2008 может функционировать как контроллер домена только для чтения, выполняя проверку подлинности пользователей, но не храня все их учетные данные; так уменьшается угроза безопасности при хищении контроллера домена в филиале.

Если вы достаточно долго работаете с Active Directory, то наверняка по достоинству оцените гранулированные политики паролей и контроллеры домена только для чтения. Если же вы новичок в Active Directory, то оцените удобство работы с этими новыми компонентами.

Занятие 1. Настройка политики паролей и блокировки учетных записей

В домене Windows Server 2008 пользователям необходимо изменять свои пароли каждые 42 дня, а пароль должен содержать как минимум семь символов и соответствовать требованиям сложности, включая использование трех из четырех элементов написания: верхнего регистра, нижнего регистра, цифр и особых символов. Эти политики максимального срока действия, длины и сложности паролей — первые, с которыми администраторы и пользователи сталкиваются в домене Active Directory. Параметры по умолчанию редко настраиваются точно по требованиям безопасности в организации. Ваше предприятие может

'366 Проверка подлинности Глава 8

требовать изменять пароли чаще или реже. На данном занятии мы рассмотрим, как реализовать политики паролей и блокировки на предприятии путем модификации объекта групповой политики Default Domain Controller.

Из каждого правила есть исключения, и в вашей п о л и т и к е паролей также могут предполагаться исключения. Ч т о б ы п о в ы с и т ь уровень безопасности домена, можно задать более строгие требования к п а р о л я м д л я учетных записей, назначаемых администраторам, записей, используемых такими службами, как Microsoft SQL Server, или для учетных записей, применяемых утилитой резервного копирования. В предыдущих версиях W i n d o w s эти возможности отсутствовали: ко всем учетным записям в домене п р и м е н я л а с ь одна политика паролей. На этом занятии мы обсудим принципы настройки нового компонента гранулированных политик паролей в Windows Server 2008, который позволяет задавать различные политики паролей д л я пользователей и групп в домене.

Изучив материал этого занятия, вы сможете:

/Реализовать политику паролей домена.

/Настроить и назначить гранулированные политики паролей.

Продолжительность занятия — около 45 мин.

Политики паролей

Политика паролей домена конфигурируется объектом G P O , в область действия которого попадает домен. В узле К о н ф и г у р а ц и я к о м п ы о т е р а \ П о л и т и к и \ Конфигурация Windows\napaMeTpbi безопасности\Политики учетных записей\ Политика паролей (Computer Configuration\Policies\ Windows Settings\Security Settings\Account Policies\Password Policy) этого объекта G P O можно отконфигурировать параметры политики, определяющие требования к паролям. Узел Политика паролей (Password Policy) показан на рис. 8-1.

СЕЯ		шшяшшш	УОШ
Коьач £ета Вид Справка
	U '
' ГЪпллл Oe'eil DoneoPoki' [SERVtR01.2*ii»:..wn] »			I Параметр полтги-Qi.
рЦ Кэ^хуэаша кап-ыотерл		.; Еесги «урчал паролей
		Макамлым) срок ло'стия пара-»
'/'. Коиеиг«аи«гр(f^tim		. М»««доопвя о гъня пароля
я ^ ЮХм-ypauu Vfridoni		,. г*<н>«альмы'\| сскх действия пароля
Б JJJ П»р»«1рм6е»п«юои		Пароль «оа«ен отве-4атэ Tpe5oea^t»« с/
Б JJJ П»р»«1рм6е»п«юои		i *ра»г»ь плрогы, млолБзуя обратное и»
		i *ра»г»ь плрогы, млолБзуя обратное и»
5 Tj (VVrVJ
1	„р Полтш блом-ровчн учетной
В	Полл ика Kerberos

; Ж|«п£Л событм)

д Суп&тъ* службы

3 гдоовмсмаеяа

£ Гслггм* гооеодмеД сри СЕЙ Браидиамэр V/odcv.t в pew*

Пымп«л д.»лет черв амол сетей

4 Пымпжи беслроводхм сегн (TFFF {

3 Пслт«М СТкртТОГО КЛОЧв

Пс/Mi «метра-»»**»*-» лаюлвил j Nrtnor Аосе* Protection

g, Усгылм V -6екл»огти на "Qi |Г»йу|

Рис. 8-1. Политика паролей в объекте GPO

Занятие 1 Настройка политики паролей и блокировки учетных записей 367

Действие этих политик можно понять, проследив жизненный цикл пользовательского пароля . П о л ь з о в а т е л ь должен изменить свой пароль в течение количества дней, указанного параметром политики Максимальный срок действия пароля ( M a x i m u m Password Age). Когда пользователь вводит новый пароль, его длина сравнивается с количеством знаков в политике Минимальная длина пароля ( M i n i m u m Password Length). Если включена политика Пароль должен соответствовать требованиям сложности (Password Must Meet Complexity Requirements), новый пароль должен содержать символы хотя бы трех из четырех типов:

•латинские заглавные буквы (от А до Z);

•латинские строчные буквы (от а до z);

• ц и ф р ы (от 0 до 9);

•отличные от букв и ц и ф р знаки (например, !, $, #, %).

Если новый пароль соответствует требованиям, он пропускается через математический алгоритм, преобразующий пароль в так называемый хэш-код. Этот код уникален, следовательно два пароля не могут быть преобразованы в один хэш-код. Алгоритм, используемый для создания хэш-кода, называется односторонней функцией . Пароль нельзя извлечь из хэш-кода с помощью функции обратного преобразования . Поскольку в Active Directory хранится хэш-код, а не сам пароль, уровень безопасности учетной записи повышается.

Иногда п р и л о ж е н и я м требуется прочитать пароль пользователя. Это невозможно сделать, поскольку по умолчанию в Active Directory хранится только хэш-код. Д л я п о д д е р ж к и таких п р и л о ж е н и й можно включить политику Хранить пароли, и с п о л ь з у я обратимое шифрование (Store Passwords Using Reversible Encryption). Эта политика по умолчанию не включена, но если включить ее, пользовательские пароли будут храниться в зашифрованной форме и приложение сможет расшифровать их. Обратимое шифрование значительно снижает уровень безопасности домена — именно поэтому по умолчанию оно отключено. Следует стараться исключать приложения, которым требуется прямой доступ к паролям.

Кроме того, в Active Directory может проверяться кэш предыдущих хэш-ко- дов пользователей, чтобы в качестве нового пароля пользователь не мог ввести старый. Количество старых паролей, с которыми сопоставляется новый пароль, определяется политикой Вести журнал паролей (Enforce Password History). По умолчанию в Windows поддерживаются 24 предыдущих кэш-кода.

Если пользователь решил повторно использовать пароль после истечения срока его действия, он сможет попросту 25 раз изменять пароль на основе журнала паролей. Ч т о б ы предотвратить это, политика Минимальный срок действия пароля (Minimum Password Age) определяет период времени между изменением паролей. По умолчанию он составляет один день. Поэтому чтобы применять пароль повторно, пользователю придется ежедневно менять его в течение 25 дней. Такой метод сдерживания выглядит достаточно устрашающе.

Каждый из этих параметров политики влияет на пользователя, который меняет свой пароль. Эти параметры не оказывают влияния на администратора, применяющего команду Изменить пароль (Reset Password), чтобы модифицировать пароль пользователя.

<<< < Предыдущая 27 28 29 30 31 32 33 34 35 36 37 3839 / 9639 40 41 42 43 44 45 46 47 48 49 50 51 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб235Книга Active directory.pdf
#
02.02.2021368.32 Кб163Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб159Шаблон звіту.doc