3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf'378 |
Проверка подлинности |
Глава 8 |
ситуации, когда учетная запись использовалась в несоответствующее время или в ненадлежащем месте, что может быть признаком применения этой записи злоумышленником. Аудит неудачного входа может в ы я в и т ь попытки злоумышленников взломать учетную запись. На этом з а н я т и и мы обсудим настройку аудита входа в домен.
Изучив материалы этого занятия, вы сможете:
Конфигурировать аудит операций, связанных с проверкой подлинности. S Идентифицировать вход и события входа учетной записи.
У Отыскивать в журнале Безопасность (Security) события, связанные с проверкой подлинности.
Продолжительность занятия — около 30 мин.
Вход и события входа учетной записи
На этом занятии описаны два конкретных параметра политики: Аудит событий входа в систему (Audit Account Logon Events) и Аудит входа в систему (Audit Logon Events). Важно понимать разницу между этими похожими параметрами политики.
Когда пользователь входит на любой компьютер в домене с помощью своей доменной учетной записи, контроллер домена п р о в е р я е т п о д л и н н о с т ь введенных учетных данных. На контроллере домена генерируется событие входа учетной записи в систему.
Компьютер, на котором пользователь входит в домен (например, ноутбук пользователя), генерирует событие входа. Компьютер не проверяет подлинность учетной записи пользователя, а л и ш ь передает ее контроллеру домена для проверки. Тем не менее компьютер позволяет пользователю интерактивно войти в систему. Поэтому данное событие называется событием входа.
Когда пользователь интерактивно подключается к папке на сервере в домене, этот сервер выполняет авторизацию пользователя для так называемого сетевого входа. Опять-таки, сервер не проверяет подлинность пользователя, а полагается на «билет», выданный пользователю контроллером домена. И все же подключение, выполняемое пользователем, генерирует событие входа на сервер.
СОВЕТ К ЭКЗАМЕНУ
Умейте отличать события входа учетной записи н события входа. Проще всего запомнить разницу так: событие входа учетной записи генерируется в месте размещения учетной записи — на контроллере домена, проверяющем подлинность пользователя. Событие входа генерируется на компьютере, на который пользователь входит интерактивно. Оно также генерируется на файловом сервере, к которому пользователь подключается через сетевой вход.
Занятие 1 Настройка политики паролей и блокировки учетных записей 3
Настройка политик проверки подлинности
В Windows Server 2008 можно выполнять аудит событий входа учетной записи и входа в систему. П а р а м е т р ы управления аудитом собраны в узле объекта G P O К о н ф и г у р а ц и я к о м п ы о т е р а \ Г 1 о л и т и к н \ К о н ф и г у р а ц и я W i n d o w s \ J I o i ^ b H b i e п о л и т и к и \ П о л и т и к а а у д и т а ( C o m p u t e r C o n f i g u r a t i o n \ P o l i c i e s \ W i n d o w s
S e t t i n g s \ S e c u r i t y S e t t i n g s \ L o c a l |
Policies\Audit Policy). На рис. 8-4 показан |
||||||||||
узел |
П о л и т и к а аудита ( A u d i t |
Policy) с двумя параметрами. |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
J f l J * ! |
|
|
КоиСЭЛо Д«Г»ГТбИ€ Эйд Отрежь |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Политика Default Doman Pokey [SERVEROl.ccotoso com) |
" |
|
Политика |
| Параметр поли'.<к>' |
|
|||||
|
ti |
Конфигурация кочгъют epa |
|
|
|
Аудит входа в систему |
Успех, Отказ |
|
|||
|
3 |
Политики |
|
|
|
. |
Аудит доступа к объектаи |
Не опредепемо |
|
||
|
|
!ii! ; |
Конфигурация прогргпи |
|
|
.;..':• Аудит доступа к служ5е каталогов |
Не определено |
|
|||
|
|
13 j ...i Конфигурация Windows |
|
|
.',.'• Аудит изменения nomrrvto! |
Не определено |
|
||||
|
|
|
|
• Сценарии (запуск/завершение) |
|
|
|
||||
|
|
|
|
|
|
|
Аудит нелользева^я привилегий |
Не определено |
|
||
|
|
3 |
|
Параметры безопасности |
|
|
|
|
|||
|
|
|
|
|
. |
Аудит отстеживажя процессов |
Не определено |
|
|||
|
|
|
21 |
Политик учетных загисей |
|
|
|
||||
|
|
|
|
|
.,'•. Аудит антенных событий |
Не определено |
|
||||
|
|
|
« |
Локальные поттжи |
|
|
|
||||
|
|
|
|
|
|
Аудит событий входа в систему |
Успех, Отказ |
|
|||
|
|
|
53 |
Попита» аудита |
|
|
|
|
|||
|
|
|
|
|
|
Аудит угргепениа учетные записям |
Не определено |
|
|||
|
|
|
|
Сй |
Назначение прав пользователя |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
ей |
Параметры безопасности |
|
|
|
|
|
|
|
|
|
S |
Журнал событии |
|
|
|
|
|
|
|
|
|
|
3 : ^ Группы с ограниченны* доступом |
|
|
|
|
|
|
||
|
|
|
S3 j а Системные службы |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Э |
Реестр |
J |
J |
|
|
|
|
|
|
|
|
, |
|
|
|
j J |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
Рис. 8-4. |
|
Параметры политики проверки подлинности |
|
|
|||||||
Д л я настройки политики аудита дважды щелкните политику, чтобы открыть диалоговое окно свойств. На рис. 8 - 5 представлено диалоговое окно Свойства: Аудит событий входа в систему (Audit Account Logon Events Properties).
Герв-втв r-orvTw* SejcwtjCTH J Ов-мсиемие |
ЩШ A»fi*T со&пмв ахова V юЦю
P Огхлаелт, спеадюшив гдавкв-гы п:<лит»«о> Вес т* «уди- е.яеQ№« глгияс* воСутл Р успех
I OK } QOKW* |
Рис. 8-5. Свойства аудита событий входа в систему
I 3 8 0 |
Проверка подлинности |
Глава 8 |
Для параметров политики можно отконфигурировать одно из следующих . состояний с учетом того, установлен ли ф л а ж о к Определить следующие параметры политики (Define These Policy Settings).
• |
He определено (Not Defined) |
Если этот ф л а ж о к не установлен, параметр |
|
|
политики не определен. Тогда сервер будет в ы п о л н я т ь аудит событий на |
||
|
основе своих параметров по умолчанию или параметров, указанных в дру- |
||
|
гом объекте GPO. |
|
|
• |
Определен без аудита |
Если указанный ф л а ж о к установлен, но ф л а ж к и |
|
|
Успех (Success) и Отказ (Failure) сброшены, сервер не будет в ы п о л н я т ь |
||
|
аудит. |
|
|
• |
Аудит событий успеха |
Если данный ф л а ж о к установлен вместе с флаж - |
|
|
ком Успех (Success), сервер |
будет в ы п о л н я т ь аудит у с п е ш н ы х событий |
|
|
в журнале Безопасность (Security). |
||
• |
Аудит событий отказа |
Если указанный флажок установлен вместе с флаж- |
|
|
ком Отказ (Failure), сервер |
будет в ы п о л н я т ь аудит у с п е ш н ы х событий |
|
|
в журнале Безопасность |
(Security). |
|
Проведение аудита сервера определяется параметром, к о т о р ы й получает приоритет на основе правил применения политики, описанных в главе 6.
Назначение области действия политики аудита
Как и в случае с политиками безопасности, назначать область действия параметров следует точно, чтобы они влияли на соответствующие системы. Например, для аудита попыток пользователей подключиться к ф а й л о в ы м серверам на предприятии можно отконфигурировать аудит событий входа в объекте GPO, связанном с подразделением, в которое входят ф а й л о в ы е серверы. В качестве альтернативы, чтобы выполнять аудит входа пользователей в настольные системы в отделе кадров, можно отконфигурировать аудит событий входа в объекте GPO, связанном с подразделением, в которое включены объекты компьютеров отдела кадров. Помните, что пользователи домена, входящие на клиентский компьютер или подключающиеся к серверу, будут генерировать в этой системе событие входа, а не событие входа учетной записи.
Только контроллеры домена генерируют события входа учетной записи для пользователей домена. Помните, что события входа учетной записи генерируются на контроллере домена, проверяющем подлинность пользователя независимо от компьютера, с которого пользователь входит в домен. Чтобы выполнять аудит событий входа учетных записей домена, включите в область действия аудита событий входа только контроллеры домена. Идеальный объект GPO для конфигурации политик аудита входа учетных записей — Default Domain Controllers, создаваемый при установке первого контроллера в домене.
В предыдущем подразделе мы говорили, что если политика аудита событий не определена, система будет выполнять аудит на основе параметров в других объектах GPO или своих параметров по умолчанию. В Windows Server 2008 по умолчанию выполняется аудит успешных событий входа учетных записей и событий входа, то есть успех входа учетной записи и просто входа регистрируется в журнале Безопасность (Security). Чтобы выполнять аудит отказов
I 3 8 2 |
Проверка подлинности |
Глава 8 |
В комплексной среде со множеством контроллеров доменов и пользователей аудит входа учетных записей или просто входа может генерировать огромное количество событий. Среди них трудно обнаружить проблемные события для дальнейшего анализа. Соблюдайте баланс между количеством событий, аудит которых выполняется, требованиями безопасности бизнеса и количеством используемых ресурсов для анализа событий в журналах.
Практические занятия
В предложенных далее упражнениях вы используете групповую политику, чтобы включить аудит для отслеживания событий входа пользователей в домен contoso.com. Затем вы сгенерируете события входа й просмотрите полученные записи в журналах событий.
Упражнение 1. Настройка аудита событий входа у ч е т н о й з а п и с и
В этом упражнении вы модифицируете объект групповой политики Default Domain Controllers Policy для аудита успешного и неудачного входа пользователей в домене.
1.Откройте консоль Управление групповой политикой (Group Policy Management).
2. Разверните узел JIecVloMenbi\contoso.com\Domam Controllers (Forest\ Domains\contoso.com\Domain Controllers).
3. Щелкните правой кнопкой мыши объект Default Domain Controllers Policy и примените команду Изменить (Edit).
Откроется Редактор управления групповыми политиками (Group Policy Management Editor).
4. Разверните узел Конфигурация |
к о м п ы о т е р а \ П о л и т и к и \ К о н ф и г у р а ц и я |
|
Windows\IlapaMeTpbi б е з о п а с н о с т и \ Л о к а л ь н ы е |
п о л и т и к и ( C o m p u t e r |
|
Configuration\Policies\Windows |
Settings\Security |
Settings\Local Policies) |
ивыберите папку Политика аудита (Audit Policy).
5.Дважды щелкните параметр политики Аудит входа в систему (Audit Account Logon Events).
6.Установите флажок Определить следующие параметры политики (Define These Policy Settings).
7.Установите флажки Успех (Success) и Отказ (Failure). Щелкните ОК.
8.Дважды щелкните параметр политики Аудит событий входа (Audit Logon Events).
9.Установите флажок Определить следующие параметры политики (Define These Policy Settings).
10.Установите флажки Успех (Success) и Отказ (Failure). Щелкните ОК.
11.Закройте Редактор управления групповыми политиками (Group Policy Management Editor).
12.В главном меню (Start) щелкните значок Командная строка (Command Prompt).
' 3 8 4 |
Проверка подлинности |
Глава 8 |
1.Вам нужно получить журнал, с помощью которого можно определить время неудачных попыток входа, приводящих к блокировке учетной записи.
Какую политику отконфигурировать д л я этого?
A.Определить параметры политики Аудит событий входа в систему (Audit Account Logon Events) для событий Успех (Success) в объекте групповой политики Default Domain Policy.
Б. Определить параметры политики Аудит событий входа в систему (Audit Account Logon Events) для событий Отказ (Failure) в объекте групповой политики Default Domain Policy.
B. Определить параметры политики Аудит входа в систему (Audit Logon Events) для событий Успех (Success) в объекте групповой политики Default Domain Policy.
Г. Определить параметры политики Аудит входа в систему (Audit Account Logon Events) для событий Отказ (Failure) в объекте групповой политики Default Domain Policy.
2. Вам необходимо отследить время входа п о л ь з о в а т е л е й на компьютеры в отделе кадров Adventure Works. Какие методы позволяют получить требуемую информацию?
A. В объекте групповой политики Default Domain Controllers отконфи - гурировать параметры политики для аудита успешных событий входа учетной записи. Проанализировать ж у р н а л событий на первом контроллере, установленном в домене.
Б. Отконфигурировать параметр политики для аудита успешных событий входа в объекте GPO, связанном с подразделением, которое содержит пользовательские учетные записи сотрудников отдела кадров. Проанализировать журналы событий на каждом компьютере отдела кадров.
B. Отконфигурировать параметр политики для аудита успешных событий входа в объекте GPO, связанном с подразделением, которое содержит учетные записи компьютеров отдела кадров. Проанализировать журналы событий на каждом компьютере отдела кадров.
Г. Отконфигурировать параметр политики для аудита успешных событий входа в объекте GPO, связанном с подразделением, которое содержит учетные записи компьютеров отдела кадров. Проанализировать журналы событий на каждом контроллере домена.
Занятие 3. Настройка контроллеров RODC
Филиалы всегда представляют проблему для персонала отдела IT предприятия: помещать ли контроллер домена в филиал, если этот филиал соединен
сцентральным узлом ссылкой глобальной сети WAN (Wide Area Network)?
Впредыдущих версиях Windows ответить на этот вопрос было довольно сложно. Однако в Windows Server 2008 появился новый тип контроллера домена —
контроллер домена только для чтения R O D C (Read - Only Domain Controller). На этом занятии мы обсудим вопросы, связанные с проверкой подлинности в филиале компании и размещением контроллеров домена, а также принципы реализации и поддержки контроллеров R O D C . I