Злоумышленник может получить доступ к ресурсам в домене, определив подлинное имя пользователя и пароль. Имена пользователей относительно легко идентифицировать, поскольку большинство организаций создают имена пользователей на основе адреса электронной почты служащего, имени, фамилии, инициалов или идентификаторов сотрудников. З н а я имя пользователя, злоумышленник может определить правильный пароль, угадав его или многократно набирая различные комбинации символов или слов при входе, пока не будет подобран правильный пароль.
Такому типу атаки легко противостоять, ограничив разрешенное количество некорректных попыток входа. Для этого служат политики блокировки учетной записи. Эти политики хранятся в узле Политика блокировки учетной записи (Account Password Policy) объекта GPO, как показано на рис. 8-2.
Ксмял,
Действие &4Л Ovae«.s
v * "
a ~
'
1 ^ J '
.
I
' Полкт^» C«fait Cvrjr Poky
i.contuse отЩ
Политик -
| П*рли«тр ГСЛИТИгИ
В Квфсурлля кс»гыотера
Бреия аэ сброса счетчика блокировки Не ог»зсаелемо
• : J Соф*'' УР&АЯ rp«-par»i
. Пороговое 1нвчен.«е блэа<роеки
0 оимбок входе е систему
.и';Г>?одоя«ителелостъбгою1ровкн учетной.. Не определено
3
Конфигурация Wndows
: i Cue**»* (мгуск/заеершет»*}
6 j|l Параметры 6еюп»:ност и
с ,Дз По/ита» учетных модем
ЖVr' Попч.ка паролей
'• Полит**» бдоафоок» учетная у
• М fb»"^ Kerberce
Ж Локальные политики
(5 J. Жур-ал со6ыт!«'<
5в ел Гругы с огрл^чс-м»" аоступон
S а, Систегм* службы
В -j вайловаясистепа
S Положи npaeioi-ai сети (ЕЕ 801.:
'* бевиаиаузр Mndo»s в ре»пе повы_
Поплдеи диспетчера содка сетей
(В Полпики беароводной сети ШЕ(£ £
fe Полоцк* открытого КЛЮ'«
Полл»* ураиичачого мпопомы
•£ Network. Access Protector
it; Л Полтки ^-безопасности на ХлужГ^
<(
1 •)
Рис. 8-2. Политика блокировки учетной записи в объекте GPO
Для блокировки учетной записи применяют три параметра. Первый — Пороговое значение блокировки (Account Lockout Threshold) — определяет количество некорректных попыток входа, разрешенных в течение времени, указанного политикой Продолжительность блокировки учетной записи (Account Lockout Duration). Если при атаке в течение этого времени неудачных попыток входа больше, учетная запись пользователя блокируется. П р и блокировке учетной записи вход для нее будет запрещен, даже если указать правильный пароль.
Администратор может разблокировать учетную запись пользователя, выполнив процедуру, описанную в главе 3. Структуру Active Directory также можно отконфигурировать для автоматической разблокировки учетной записи по истечении времени, указанного параметром политики Время до сброса счетчика автоматической блокировки (Reset Account Lockout Counter After).
Занятие 1
Настройка политики паролей и блокировки учетных записей
3 6 9
Настройка доменной политики паролей и блокировки учетной записи
В Active Directory для домена поддерживается один набор политик паролей и блокировки. Эти п о л и т и к и отконфигурированы в объекте GPO, в область действия которого попадает домен. Н о в ы й домен содержит объект GPO с именем Default Domain Policy, который связан с доменом и включает параметры политики по умолчанию (см. рис. 8-1 и 8-2). Эти параметры можно изменить, отредактировав объект Default Domain Policy.
ПРИМЕЧАНИЕ
Вы можете попрактиковаться в настройке доменных политик паролей и блокировки в упражнении 1 в конце этого занятия.
Параметры
п о л и т и к и , о т к о н ф и г у р и р о в а н н ы е в объекте Default Domain
Policy, в л и я ю т
на все учетные записи пользователей в домене. Однако эти
параметры можно заменить свойствами паролей отдельных учетных записей пользователей. На вкладке Учетная запись (Account) диалогового окна Свойства (Properties) учетной записи пользователя можно указать такие параметры, как Срок действия пароля не ограничен (Password Never Expires) или Хранить пароль, используя обратимое ш и ф р о в а н и е (Store Passwords Using Reversible Encryption), как показано на рис. 8-3. Например, если пять пользователей работают с приложением, которому нужен прямой доступ к их паролям, вы можете отконфигурировать учетные записи этих пользователей для хранения их паролей с обратимым шифрованием .
т
сертификаты
j
4n*nfp/rvi
\
Репплкллв парог>ей
вшдяцие 5SOXO»
|
Объект
I
Безопасность
|
Среда
Сеемо*
|
Удзпегиое /rpvsntmso
Профиль сп/жС терми*»г<»
I
СОМ*
|
Редактор атрибу roe
05с.*е i Ajctc Учетная ssm-съ
J Профиль j Телефоны | Qpr»*waj*s
Ика вед да подо гэ аз тела
'| Stent 09
р^
Иияеиэде попазоагтелв irpaa-WiridowB 2СОЗ):
, JaMiTosox
Г Разблокировать. учетную мпись
Параметры уч»п-ой запуск:
Требовать смену пароля при сял/у«щем входе в систему JLj
Г" Зэпре туть смек,' пароля пользователем
—J
Срок действия пасепя не ограничен
Р" >рвк<тъ паропо используя обратимое u*<spoe»we
jj
j" Срж действия учетной записи'
" J p
'
,
f* Никогда
г
С Истекает-
.".-••
\,ла
:
ОК
Отмена
[
Применить
[
Оградка j
Рис. 8-3. Свойства паролей учетной записи пользователя
'370
Проверка подлинности
Глава 8
Гранулированные политики паролей и блокировки
В Windows Server 2008 политику паролей и блокировки в домене можно так1
же заменить новой гранулированной политикой паролей и блокировки, которую называют просто гранулированной политикой паролей. Эту п о л и т и к у можно применять к одной или нескольким группам пользователей в домене. Д л я использования гранулированной политики паролей домен должен работать на функциональном уровне Windows Server 2008, описанном в главе 12.
Этот компонент — очень ценное дополнение в Active Directory. Существует несколько сценариев использования гранулированной п о л и т и к и паролей для повышения уровня безопасности домена. Учетные записи, используемые администраторами, получают делегированные п р и в и л е г и и д л я модификации объектов в Active Directory. Поэтому если з л о у м ы ш л е н н и к взломает учетную запись администратора, он сможет причинить больше ущерба домену, чем с помощью учетной записи стандартного пользователя . По этой причине для учетных записей администраторов следует реализовать более строгие требования к паролям. Например, можно увеличить м и н и м а л ь н у ю длину пароля и частоту его изменения.
Учетные записи, используемые такими службами, как S Q L Server, могут потребовать особого обращения в домене. Служба в ы п о л н я е т свои функции с учетными данными, подлинность которых должна проверяться с применением пользовательского имени и пароля, подобно установлению личности человека. Однако большинство служб не могут изменять свой пароль, поэтому для учетных записей служб администраторы включают параметр Срок действия пароля не ограничен (Password Never Expires). Если пароль учетной записи не меняется, нужно максимально воспрепятствовать возможности взломать его. С помощью гранулированных политик паролей можно задать очень длинные пароли без истечения срока действия.
Объекты параметров политики
Параметры, управляемые гранулированными политиками паролей, аналогичны параметрам в узлах Политика паролей (Password Policy) и Политика учетной записи (Account Policy) в объекте G P O . Однако гранулированные политики паролей не реализованы как часть групповой п о л и т и к и и не применяются объектами GPO. Эти политики представляют отдельный класс объектов Active Directory, который поддерживает параметры гранулированной политики паролей: объект параметров политики P S O (Password Settings Object).
СОВЕТ К ЭКЗАМЕНУ
Ко всем пользователям в домене можно применить один и только один авторитарный набор параметров политики паролей и блокировки учетной записи. Эти параметры конфигурируются в объекте групповой политики Default Domain Policy. Гранулированные политики паролей, которые применяются к отдельным группам пользователей в домене, реализуются с помощью объектов PSO.
Большинством объектов Active Directory можно управлять с помощью инструментов с графическим пользовательским интерфейсом GUI (Graphical
Занятие 1 Настройка политики паролей и блокировки учетных записей 3 7 1
User Interface), таких как, например, оснастка Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Управление объектами PSO осуществляется с помощью низкоуровневых средств, включая оснастку Редактирование A D S I ( A D S I Edit).
К СВЕДЕНИЮ Инструмент Password Policy Basic
Хотя на сертификационном экзамене 70-640 это может и не понадобиться, для управления гранулированной политикой паролей настоятельно рекомендуется использовать инструмент Password Policy Basic компании Special Operations Software. Этот инструмент с графическим интерфейсом можно загрузить по адресу http://www. specopssoft.com.
В домене можно создать один и л и несколько объектов PSO. Каждый PSO содержит п о л н ы й набор параметров политики паролей и блокировки. Объект P S O применяется путем связывания P S O с одной или несколькими глобальными группами безопасности или пользователями. Например, чтобы отконфигурировать строгую политику паролей д л я административных учетных записей, создайте глобальную группу безопасности, введите в нее учетные записи и свяжите с этой группой объект P S O . Такой способ применения гранулированных политик паролей к группе продуктивнее, чем применение политик к каждой отдельной пользовательской учетной записи. Новую учетную запись можно просто добавить в эту группу, где она будет управляться объектом PSO.
Приоритеты объектов PSO и результирующий PSO
Объект P S O можно связать с несколькими группами или пользователями, а с отдельной группой или пользователем может быть связано несколько объектов PSO . Кроме того, пользователь может принадлежать к различным группам. Какие параметры гранулированной политики паролей и блокировки будут применены к пользователю? Параметры политики паролей и блокировки пользователя определяет один и только один объект PSO, который называется результирующим. Каждый объект PSO содержит атрибут, определяющий приоритет PSO . Приоритет представлен значением больше 0, причем значение 1 указывает наивысший приоритет. Если к пользователю применяется несколько объектов PSO, приоритет получает объект PSO с максимальным значением. Далее описаны правила, определяющие приоритет.
•Если к группам, в которые включен пользователь, применяется несколько
объектов PSO, превалирует PSO с наивысшим приоритетом.
•Если один или несколько объектов PSO привязаны непосредственно к пользователю, то объекты PSO, связанные с группами, игнорируются независимо от их приоритета. Превалирует связанный с пользователем объект PSO с наивысшим приоритетом.
•Если у нескольких объектов PSO значение приоритета одинаково, в Active Directory должен быть сделан выбор; Поэтому выбирается объект PSO с минимальным значением глобального уникального идентификатора (GUID). Идентификаторы G U I D аналогичны серийным номерам объектов Active Directory: два объекта не могут иметь одинаковый GUID-идентификатор.
'372
Проверка подлинности
Глава 8
Идентификаторы GUID не имеют какого-либо скрытого смысла или подтекста, так что выбор PSO с самым низким значением G U I D — это про-, извольное решение. Чтобы избежать такого сценария, отконфигурируйте объекты PSO, установив неповторяющиеся значения старшинства.
Эти правила определяют результирующий объект PSO . В Active Directory он отображается в атрибуте объекта пользователя, так что выяснить, какой PSO влияет на пользователя, не составляет труда. В практических упражнениях этого занятия вы проанализируете этот атрибут. Объекты P S O содержат все параметры паролей и блокировки без использования наследования и объединения. Результирующий объект PSO представляет собой авторитарный PSO.
Объекты PSO и подразделения
Объекты PSO можно связать с глобальными группами безопасности или пользователями, но не с подразделениями. Чтобы применить политики паролей и блокировки для пользователей в подразделении, нужно создать глобальную группу безопасности и включить в нее всех пользователей этого подразделения. Группа такого типа называется теневой, поскольку членство в ней покрывает членство в подразделении.
Контрольный вопрос
• Вы хотите, чтобы администраторы поддерживали минимальную длину пароля в 15 знаков и меняли пароль каждые 45 дней. Пользовательские учетные записи администраторов находятся в подразделении Администраторы. Вы не намерены применять строгую политику паролей для всех пользователей в домене. Каким образом решить эту задачу?
Ответ на контрольный вопрос
•Создайте глобальную группу безопасности, содержащую всех пользователей из подразделения Администраторы. Создайте объект PSO, конфигурирующий политики паролей, и свяжите этот PSO с группой.
Теневые группы — это концептуальные, а не технические объекты. Вы просто создаете группу и добавляете в нее пользователей, принадлежащих к подразделению. При изменении членства в этом подразделении требуется также изменить членство в теневой группе.
К СВЕДЕНИЮ Теневые группы
Дополнительную информацию об объектах PSO и теневых группах можно найти по адресу http://technet2.microsoft.com/windowssei-ver2008/en/Hbrary/2199dc/7-68/d-4315-
87cc-ade35J8978ea1033.mspx?mJr=tme.
К СВЕДЕНИЮ Поддержка членства в теневых группах с помощью сценариев
Для динамической поддержки членства в теневых группах и его обновления при изменении состава подразделений могут использоваться сценарии.
Занятие 1
Настройка политики паролей и блокировки учетных записей
373
Практические занятия. Настройка политики паролей
иблокировки
Впредложенных далее упражнениях вы используете групповую политику для настройки политик паролей и блокировки учетных записей в домене contoso.com. Затем вы настроите безопасность административных учетных записей, отконфигурировав более строгие политики паролей и блокировки.
У п р а ж н е н ие 1. Н а с т р о й к а п о л и т и к и паролей и блокировки учетных записей
вдомене
Вэтом упражнении вы модифицируете объект групповой политики Default Domain Policy для реализации политики паролей и блокировки пользователей
вдомене contoso.com.
1.Войдите на машину SERVER01 как Администратор (Administrator).
2.В группе Администрирование (Administrative Tools) откройте консоль Управление групповой политикой (Group Policy Management).
3. Разверните узлы Л е с (Forest), Домены (Domains), а затем узел домена contoso.com.
4. Под узлом contoso.com щелкните правой кнопкой мыши объект Default Domain Policy и примените команду Изменить (Edit). При этом может появиться уведомление об изменении параметров GPO.
5. Щелкните ОК .
Откроется Редактор управления групповыми политиками (Group Policy Management Editor).
6. Разверните узел К о н ф и г у р а ц и я компьютера\Политики\Конфигурация Windows\napaMeTpbi безопасности\Политики учетных записей (Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies)
и выберите параметр Политика паролей (Password Policy).
7.В панели сведений консоли дважды щелкните следующие параметры безопасности и укажите такие значения:
• М а к с и м а л ь н ы й срок действия пароля (Maximum Password Age):
90дней;
•Минимальная длина пароля (Minimum Password Length): 10 знаков.
8.В дереве консоли выберите узел Политика блокировки учетной записи (Account Lockout Policy).
9. Дважды щелкните параметр политики Пороговое значение блокировки (Account Lockout Threshold) и задайте 5 ошибок входа в систему (Invalid Logon Attempts).
10. Откроется окно Предлагаемые изменения значений (Suggested Value Changes). Щелкните ОК.
Для параметров Продолжительность блокировки учетной записи (Account Lockout Duration) и Время до сброса счетчика блокировки (Reset Account Lockout Counter After) будут автоматически заданы значения 30 мин.
374
Проверка подлинности
Глава 8 /
11. Закройте консоль Редактор управления групповыми политиками (Group' Policy Management Editor).
Упражнение 2. Создание объекта параметров п о л и т и к и
Вэтом упражнении вы создадите объект PSO, который применяет строгую гранулированную политику паролей к пользователям в группе Администраторы домена (Domain Admins). Для выполнения упражнения нужно поместить группу Администраторы домена в контейнер Users.
2.Щелкните правой кнопкой узел Редактирование ADSI (ADSI Edit) и примените команду Подключение к (Connect То).
3. В поле Имя (Name) введите contoso.com. Щелкните О К .
4.Разверните узел contoso.com и выберите элемент DC=contoso,DC=com.
5.Разверните папку DC=contoso,DC=com и выберите элемент CN=System.
6.Разверните папку CN=System и выберите элемент CN=Password Settings Container.
Все объекты PSO создаются и хранятся в контейнере параметров паролей PSC (Password Settings Container).
7. Щелкните правой кнопкой мыши контейнер PSC, выберите команду Создать (New) и щелкните опцию Объект (Object).
Откроется диалоговое окно Создание объекта (Create Object). В нем нужно выбрать тип создаваемого объекта. Здесь представлен только один тип: msDS-PasswordSettings — техническое имя класса объекта PSO.
8.Щелкните кнопку Далее (Next).
Вам нужно указать значение для каждого атрибута P S O . Эти атрибуты аналогичны атрибутам G P O в упражнении 1.
9.Отконфигурируйте каждый атрибут в соответствии со следующим списком. После назначения очередного атрибута щелкайте кнопку Далее (Next).
аОбщее имя (Common Name): PSO Администраторы домена,
шПараметр msDS-PasswordSettingsPrecedence: 1. Этот объект PSO получит наивысший уровень приоритета, поскольку его значение ближе всего к единице.
•Параметр msDS-PasswordReversibleEncryptionEnabled: False. Этот пароль не будет храниться с использованием обратимого шифрования.
•Параметр msDS-PasswordHistoryLength: 30. Пользователь не сможет повторно использовать последние 30 паролей.
•Параметр msDS-PasswordComplexityEnabled: True. Включены правила сложности паролей.
•Параметр msDS-MinimumPasswordLength: 15. Пароли должны содержать не менее 15 символов.
•Параметр msDS-MinimumPasswordAge: 1:00:00:00. Пользователь не может изменить свой пароль в течение одного дня после предыдущего изме-
Занятие 1
Настройка политики паролей и блокировки учетных записей
375
нения. Временной период задается в формате d:hh:mm:ss (дни, часы, минуты, секунды).
•Параметр MaximumPasswordAge: 45:00:00:00. Пароль необходимо изменять каждые 45 дней.
•Параметр msDS-LockoutTh.resh.old: 5. После пяти ошибок входа в течение интервала времени, указанного следующим атрибутом, учетная запись пользователя блокируется.
яПараметр msDS-LockoutObservationWindow. 0:01:00:00. После пяти ошибок входа (как указано предыдущим атрибутом) в течение одного часа учетная запись блокируется.
•Параметр msDS-LockoutDuration: 1:00:00:00. Учетная запись блокируется
втечение одного дня или до ручного снятия блокировки. Значением
Озадают блокировку учетных записей до тех пор, пока они не будут разблокированы администратором.
Выше перечислены обязательные атрибуты. Щелкнув кнопку Далее (Next) на странице атрибута msDS-LockoutDuration,вы сможете отконфигурировать дополнительные атрибуты.
10.Щелкните кнопку Дополнительные атрибуты (More Attributes).
11.В поле Изменить атрибут (Edit Attributes) введите CN=DomainAdmins,
CN=Users,DC=contoso,DC=com и щелкните ОК.
12.Щелкните кнопку Готово (Finish).
Упражнение 3. Идентификация результирующего объекта PSO для пользователя
Вэтом упражнении вы идентифицируете объект PSO, который управляет политиками паролей и блокировки учетной записи отдельного пользователя.
1.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).
2.Щелкните меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).
3.Разверните домен contoso.com и в дереве консоли выберите контейнер Users.
4. Щелкните правой кнопкой мыши учетную запись Администратор (Administrator) и примените команду Свойства (Properties).
5.Перейдите на вкладку Редактор атрибутов (Attribute Editor).
6.Щелкните кнопку Фильтр (Filter) и установите флажок Построенные (Constructed).
Атрибут, который вы локализуете на следующем шаге,— это построенный атрибут, то есть результирующий объект PSO не представляет собой жестко кодированный атрибут пользователя, а вычисляется путем анализа объектов PSO, связываемых с пользователем в реальном времени.
7.В списке Атрибуты (Attributes) найдите атрибут msDS-ResultantGPO.
8.Идентифицируйте объект PSO, влияющий на пользователя.
Объект PSO Администраторы домена, созданный в упражнении 2, является результирующим объектом PSO учетной записи Администратор (Administrator).
'376
Проверка подлинности
Глава 8
Упражнение 4. Удаление объекта PSO
Вэтом упражнении вы удалите объект PSO, созданный в упражнении 2, чтобы его параметры не влияли на конфигурацию в следующих упражнениях.
1.Повторите шаги 1 - 6 упражнения 2 и в консоли Редактирование ADSI (ADSI Edit) выберите контейнер CN=Password Settings Container.
2.В панели сведений консоли выберите объект C N = P S O Администраторы домена.
3.Нажмите клавишу Delete.
4.Щелкните кнопку Да (Yes).
Резюме
•Параметры политики паролей определяют требования изменения пароля,
атакже требования к новому паролю.
•Параметры блокировки учетной записи указывают Active Directory блокировать учетную запись пользователя, если в течение указанного периода времени произойдет указанное количество ошибок входа. Блокировка препятствует доступу к ресурсам злоумышленников, многократно пытающихся войти с помощью учетной записи пользователя, чтобы подобрать его пароль.
•Домен может иметь только один набор параметров политик паролей и блокировки, которые влияют на всех пользователей в домене. Эти политики определяются с помощью групповой политики. Параметры по умолчанию в объекте групповой политики Default Domain Policy можно модифицировать для настройки политик организации.
•В Windows Server 2008 для глобальных групп безопасности и пользователей в домене можно назначать различные политики паролей и блокировки. Гранулированные политики паролей развертываются не с помощью групповой политики, а посредством объектов параметров политики PSO .
•Если к пользователю или группам, к которым он принадлежит, применяется несколько объектов PSO, то действующие политики паролей и блокировки учетной записи пользователя определяет один, так называемый результирующий объект PSO. Им станет объект P S O с наивысшим приоритетом (значение которого ближе всего к единице). Если один или несколько объектов PSO привязаны непосредственно к пользователю, то при определении результирующего PSO объекты PSO, связанные с группами, к которым принадлежит пользователь, не принимаются в расчет. Превалировать будет связанный с пользователем объект PSO с наивысшим приоритетом.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных на занятии 1. Эти вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.
Занятие 1
Настройка политики паролей и блокировки учетных записей 3
1.Вы работаете администратором в компании Tailspin Toys. Ваш домен Active Directory имеет подразделение Service Accounts с учетными записями всех пользователей. Поскольку вы отконфигурировали пароли учетных записей с бесконечным сроком действия, вы хотите применить политику паролей,
согласно которой пароли должны состоять не менее чем из 40 символов. Какие из следующих действий нужно предпринять? (Выберите все прием- ' лемые ответы. Каждый правильный ответ — лишь часть полного решения.)
A.
В объекте групповой политики Default Domain Policy задать политику
М и н и м а л ь н а я длина пароля (Minimum Password Length).
Б.
Связать объект P S O с подразделением Service Accounts.
B.
Создать группу Service Accounts.
Г.
Связать объект P S O с группой Service Accounts.
Д.
Добавить все учетные записи в группу Service Accounts.
2. Вам н у ж н о о т к о н ф и г у р и р о в а т ь политику блокировки учетных записей и отключить автоматическое снятие блокировки. Вы хотите, чтобы разблокированием учетных записей занимался администратор. Какое изменение
следует внести в
к о н ф и г у р а ц и ю ?
A.
В параметре политики Продолжительность блокировки учетной записи
(Account Lockout D u r a t i o n ) задать значение 100.
Б.
В параметре политики Продолжительность блокировки учетной записи
задать значение 1.
B.
В п а р а м е т р е
П о р о г о в о е з н а ч е н и е блокировки (Account Lockout
Threshold) задать значение 0.
Г.
В параметре политики Продолжительность блокировки учетной записи
задать значение 0.
3.Вы оцениваете объекты параметров паролей в домене и обнаруживаете объект P S O с именем P S O l и приоритетом 1, связанный с группой Справка. Еще один объект P S O с именем P S 0 2 и приоритетом 99 связан с группой
Поддержка. Майк Дансеглио входит в обе эти группы — Справка и Поддержка. Вы обнаружили, что два объекта PSO связаны непосредственно с пользователем М а й к о м Дансеглио. Объект P S 0 3 имеет приоритет 50, a P S 0 4 — приоритет 200. Какой объект PSO будет результирующим для Майка?
A. P S O l . Б . P S 0 2 . B. P S 0 3 .
Г.P S 0 4 .
Занятие 2. Аудит проверки подлинности
Вглаве 7 мы рассматривали, как конфигурировать аудит для некоторых типов операций, включая доступ к папкам и изменения объектов службы каталогов.
ВWindows Server 2008 можно также выполнять аудит операций пользователей в домене. Выполняя аудит успешного входа в домен, можно определить
