125 Кібербезпека / 4 Курс / 3.1_3.2_4.1_Захист інформації в інформаційно-комунікаційних системах / Лабораторнi роботи / 6 семестр / ЛР_3__1__Створення домена AD
.pdfЛАБОРАТОРНА РОБОТА № 3 (частина І) Створення домена Active Directory
Мета: навчитися створювати домен Windows Server, встановлювати службу каталогу Active Directory, вивчити структуру служби каталогу AD.
1. СЛУЖБА КАТАЛОГІВ
1.1. Загальні відомості про службу каталогів.
На початку комп'ютеризації все управління користувачами зводилося до адміністрування одного єдиного сервера. Згодом ситуація стала змінюватися, по-перше, підприємства купували все більшу кількість серверів, по-друге, питанню безпеки почали приділяит все більше уваги, що потребувало більшого контролю кожної дії користувача (як наслідок, введення суворої автентифікації для кожної значущої для системи дії).
Згодом це призвело до того, що адміністратор був змушений створювати обліковий запис користувача на кожному сервері в мережі підприємства, а також на кожній робочій станції, якою має право користуватися співробітник. Користувач, в свою чергу, повинен був постійно надавати інформацію (кожному сервісу корпоративної мережі).
Рішенням цієї проблеми стало створення так званих служб каталогів - систем централізованого зберігання інформації про користувачів. Міжнародна організація по стандартизації (ISO) запропонувала стандарт X.500, який описував функціонування такої системи. Однак протокол взаємодії, описаний в рамках стандарту, виявився занадто перевантаженим для мереж TCP / IP. З цієї причини якийсь час служби каталогу створювалися виробниками з використанням різних протоколів взаємодії (NDS, NIS, NT4 domain). Така різноманітність реалізацій призвела до того, що незалежні розробники мережевих сервісів або зовсім не забезпечували сумісності зі службами каталогів, або забезпечували сумісність з якоюсь конкретною реалізацією. Як наслідок, кожен виробник служби каталогу повинен був забезпечити клієнтів і базовим набором служб (наприклад, власним файл-сервером).
Ситуація змінилася тільки тоді, коли Інтернет-спільнота опублікувала «полегшений» варіант стандарту X.500 - протокол LDAP (Lightweight Directory Access Protocol, RFC 4510).
Протокол забезпечував простий доступ до каталогу в рамках TCP-з'єднання, стосувався також питань автентифікації і власне структури каталогу. Пізніше стандарт зазнав кілька редакцій і в даний час підтримується практично будь-яким мережевим додатком і реалізований в будь-якій службі каталогу. Розвиток протоколу триває і сьогодні. Також опубліковано ряд розширень, наприклад, підтримка language tags, що дозволяє зберігати ім'я користувача, записане на декількох мовах, і відправляти клієнту ім'я на його рідній мові.
Багато сучасних мережевих додатків також мають вбудовану підтримку LDAP (поштові клієнти здатні виробляти пошук адреси на ім'я користувача, web-сервери і СУБД можуть витягувати список користувачів з каталогу LDAP, розподілені додатки можуть зберігати свої настройки в каталозі LDAP)
Після того як всі дані про користувачів, групи, в які вони входять, і їхні права доступу перемістилися в централізоване сховище, розробники стали замислюватися і про рішення іншої проблеми сучасних комп'ютерних систем - про постійну необхідність користувачів в автентифікації. Виробники стали випускати системи з концепцією єдиного входу в мережу (так звані системи SSO - single sign on). Користувач при одноразовому введенні пароля отримував доступ до всіх ресурсів мережі. На практиці це працювало тільки з сервісами самого виробника, оскільки занадто розрізнялися протоколи мережевої автентифікації у різних додатків. Ті способи вирішення проблеми, які намагалися запропонувати конкретні виробники, не були універсальними. Рішення від Microsoft дозволяли зберігати пароль користувача не у вигляді хеша, а у відновлюваному вигляді (тобто практично відкрито), Novell дозволяв зберігати пароль різними способами (зашифрований хешем пароля секретний ключ для сервісів Novell, NTLM-хеш для доступу до сервісів Microsoft ). Такі рішення дозволяли користувачеві не вводити свій пароль зайвий раз, але не були ні безпечними, ні універсальними.
Ситуація знову змінилася завдяки відкритим стандартам. Через деякий час з'явилися описи методів, що дозволяють розділити сам мережевий сервіс і процес автентифікації користувача, що дало змогу використовувати будь-який мережевий сервіс з потрібним методом автентифікації.
Однак використання універсальних механізмів лише частково вирішує проблему єдиної автентифікації при вході в мережу. Необхідний також деякий безпечний протокол, який автентифікує клієнта перед сервером (сервісом), з урахуванням того, що сам сервер нічого про користувача не знає і повинен використовувати в якості посередника сервер служби каталогів.
В якості універсального протоколу автентифікації можна використовувати інфраструктуру відкритих ключів (наприклад, на базі сертифікатів X.509) або протокол Kerberos.
Служба Active Directory складається з цілого набору сервісів, пов'язаних між собою. Основою Active Directory є система розпізнавання імен, за допомогою якої робочі станції здатні прозоро виявляти сервери домену, наприклад LDAP-сервери. В існуючій реалізації сервісу каталогу в якості служби дозволу імен обрана система DNS (на відміну від попередніх версій, які використовували систему імен NetBIOS). Для зберігання каталогу LDAP, а також для забезпечення автентифікації по протоколу Kerberos в мережі Microsoft виділяються спеціальні сервера, які називаються контролерами домена. Загалом контролер домену - це виділений сервер, призначений для забезпечення сервісів LDAP і KDC (Key Distribution
Center).
1.2. Структура служби каталогів
За своєю суттю, служба каталогів - це засіб для іменування, зберігання і вибірки інформації в розподіленому середовищі, доступне для додатків, користувачів та інших клієнтів цього середовища. Active Directory (AD) є перш за все простором імен - обмеженою областю,
вякій може бути розпізнано задане ім'я (порівнюване з деяким об'єктом або об'ємом інформації).
Об'єкт - це непорожній, іменований набір атрибутів, що позначає щось конкретне, наприклад користувача, принтер або додаток. Об'єкти можуть групуватися і поміщатися в контейнери. Контейнер аналогічний об'єкту в тому сенсі, що він також має атрибути і належить простору імен. Ієрархічна структура всієї сукупності об'єктів і контейнерів носить назву дерева служби каталогів. Бувають випадки, коли в рамках однієї служби формується кілька просторів імен (дерев), тоді говорять про ліс AD.
Основою забезпечення інформаційної безпеки засобами служби каталогів є поняття домену. Домен AD - це єдина область, в межах якої забезпечується безпека даних в комп'ю- терній мережі під управлінням ОС Windows. Кожен домен обслуговується одним контролером домену. AD може складатися як з одного, так і декількох доменів. Межі одного домену можуть охоплювати більше, ніж один фізичний пристрій. Кожен домен може мати свої правила захисту інформації і правила взаємодії з іншими доменами. Спеціальний механізм - довірчі відносини - дозволяє об'єктам в одному домені звертатися до ресурсів в іншому.
Кожен домен AD може бути необхідним чином структуровано. Організаційні підрозділи дозволяють розділяти домен на зони адміністративного управління (це дає можливість розділити адміністративні завдання в домені). Крім того, домен може бути розбитий на необхідне число сайтів - ділянок мережі на протоколі TCP / IP, що характеризуються високою надійністю і швидкістю передачі даних всередині себе. У кожному сайті є власний підлеглий сервер AD, який за розкладом виконує реплікацію (погодження) своєї бази з основним сервером. Тим самим забезпечується мінімізація трафіку «слабкими» мережевими каналами - користувачі працюють тільки зі «своїм» підлеглим сервером AD.
Основою функціонування AD є служба DNS, від правильності налаштування якої залежить робота служби каталогів в цілому. І підготовчі заходи до розгортання AD залежить від того, чи є у вашій мережі сервіс DNS. Найпростіший варіант, коли ще немає жодного сервера DNS. В цьому випадку раціональніше встановлювати і налаштовувати DNS-сервера
впроцесі розгортання контролера домену.
Але найчастіше зустрічається ситуація, коли служба DNS в мережі є, та й ще й успішно працює. Звичайно, тоді немає ніякого сенсу в створенні нових DNS-серверів - краще використовувати вже наявні (за умови їх придатності).
Після налаштування DNS можна приступати до безпосереднього розгортання AD. Ця процедура досить проста (особливо якщо AD складається з єдиного домена) і реалізується через графічний інтерфейс.
Коли сервер переведений в роль контролера домену, стає активною оснащення для його управління. За допомогою неї зокрема здійснюється і управління сайтами домену. Після установки першого контролера першого домену лісу AD автоматично створюється новий сайт з ім'ям Default-First-Site. Всі контролери будь-яких доменів лісу після установки автоматично додаються в цей сайт.
У розпорядження адміністратора надано достатньо інструментів, за допомогою яких він може управляти об'єктами Active Directory:
стандартні оснащення - утиліти з графічним інтерфейсом, що дозволяють здійснювати управління окремими об'єктами і мають обмежені можливості щодо виконання групових операцій (табл. 1);
спеціалізовані оснащення - утиліти з графічним інтерфейсом, що використовуються для виконання спеціальних операцій або для точного налаштування та налагодження Active
Directory;
утиліти LDIFDE і CSVDE - утиліти командного рядка, призначені для виконання операцій імпорту / експорту об'єктів каталогу;
спеціальні сценарії і утиліти, що дозволяють виконувати специфічні завдання.
Таблиця 1. Стандартні засоби адміністрування Active Directory
Оснащення |
Призначення |
Active Directory |
Вибір адміністрованого домену в великих лісах. Перегляд режиму |
Domains and Trusts |
роботи домену. Створення, перевірка та видалення довірчих відносин |
|
між доменами |
Active Directory Sites and Ser- |
Створення та зміна сайтів, транспортів і підмереж. Налаштування |
vices |
розкладів реплікації і зв'язків. Запуск реплікації між контролерами |
|
домена. Установка дозволів на об'єкти. Прив'язка об'єктів групової |
|
політики до сайтів. Запуск серверів глобального каталогу на контро- |
|
лерах домену |
|
|
Оснастка |
Назначение |
|
|
Active Directory Users and Com- |
Створення і зміна об'єктів каталогу (користувачів, груп, підрозділів і |
puters |
т. Д.). Установка дозволів на об'єкти. Прив'язка об'єктів групової по- |
|
літики до доменів і підрозділам. Управління спеціалізованими роля- |
|
ми |
|
|
Domain Controller Security |
Модифікація Security Settings (параметрів безпеки) об'єкта групової |
Policy |
політики, прив'язаного до підрозділу Domain Controllers. |
|
|
Domain Security Policy |
Модифікація Security Settings об'єкта групової політики, прив'язаного |
|
до контейнера домену. |
|
|
Group Policy Object Editor |
Модифікація об'єкта групової політики, прив'язаного до деякого кон- |
|
тейнера Active Directory (сайту, домену, підрозділу) або зберігається |
|
локально на комп'ютері. |
|
|
Для опису конкретного об'єкта, що є частиною AD, існує обліковий запис - список атрибутів, що визначають учасника системи безпеки. Визначено п'ять типів облікових записів:
Комп'ютер. Облікові записи комп'ютерів служать для автентифікації комп'ю- терів, які звертаються до мережі і ресурсів домена.
Користувач. Обліковий запис користувача - це набір атрибутів для користувача, які в тому числі дозволяють задавати, до яких ресурсів він має право звертатися.
Група. Це набір користувачів, комп'ютерів або інших груп, для якого можна задати загальні дозволу.
InetOrgPerson. Обліковий запис працює багато в чому аналогічно облікового запису користувача за винятком того, що вони сумісні з іншими службами каталогів, заснованими на LDAP.
Контакт. Цей об'єкт зберігається в Active Directory, але для нього не задаються дозволу. Тобто контакт не можна використовувати для входу в мережу або доступу до ресурсів.
Для будь-якого типу облікових записів AD є можливість застосування до них групових політик. Групова політика визначає набір параметрів дозволів (правил) для її облікового запису, а кожен з таких наборів іменується об'єктом групової політики. Існує два основних типи групових політик:
конфігурація комп'ютера - використовується для завдання групових політик, що застосовуються до певних комп'ютерів;
конфігурація користувача - використовується для завдання групових політик, що застосовуються до певних користувачам.
Групові політики є «розширенням» локальних і системних політик безпеки. І якщо політики безпеки застосовуються один раз при старті і до виключення кожного комп'ютера, то актуальність групових політик перевіряється регулярно протягом всього сеансу роботи комп'ютера. Причому до кожного об'єкту може бути прив'язане кілька групових політик, причому з різних джерел (сайтів і доменів).
2. ВИКОНАННЯ ЗАВДАНЬ
Завдання 1.
1.На віртуальній машині створити кореневий контролер служб Active Directory та створити домен biks.edu .
Примітка. Попередньо завантажте образ Windows Server 2003 (2008), DNS-сервер налаштувати під час розгортання домену. Детальний опис процедури розгортання див. напр.
http://profhelp.com.ua/articles/windows-server-2008- %D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-active- directory або на інших доступних ресурсах.
2.Перезавантажте створений сервер-контролер домену і авторизуйтесь під обліковим записом адміністратора контролера.
3.Відкрийте консоль управління DHCP-сервером і авторизуйтесь його в домені, вибравши відповідний пункт з контекстного меню.
4.Після перезавантаження з меню Start - Programs - Administrative Tools (Пуск - Про-
грами - Адміністрування) запустіть Active Directory Users And Computers (користувачі й комп'ютери Active Directory).
5.У розділі Domain Controllers (Контролери домену) дерева оснащення перегляньте назву контролера домену та його повне ім'я DNS.
6.У розділі Users (Користувачі) перегляньте список вбудованих облікових записів користувачів і груп користувачів домену.
7.Активізуйте вбудовану обліковий запис Guest (Гість) і спробуйте увійти в систему.
Завдання 2.
Створити доменні облікові записи викладача і студента з призначенням відповідно до їх ролей прав.
1. Запустіть оснащення Active Directory Users and Computers (користувачі й комп'юте-
ри Active Directory) і для елемента Users (Користувачі) викличте команду New - User (Створити - Користувач). Введіть необхідні відомості про користувача (зверніть увагу на те, що
при створенні доменної облікового запису, на відміну від локальної, після імені користувача відображається ім'я домену, відокремлене від останнього знаком @).
2.У правій панелі оснащення знайдіть створений обліковий запис, внесіть для нього додаткові відомості (адреса, організація і т. Д.). Переконайтеся в тому, що користувач може входити в систему в призначений час (вкладка Account - Logon Hours (Обліковий запис - Го-
дини входу)).
3.Спробуйте увійти в домен під створеної обліковим записом. Чому спроба не вдала-
ся?
4.Увійдіть в системі як адміністратор. У вікні властивостей облікового запису виберіть вкладку Member of (Членство в групах) і додайте обліковий запис декана в глобальну групу користувачів домену.
5.Спробуйте увійти в домен під створеної обліковим записом.
6. Проведіть тестування облікових записів. Наприклад, змініть системний час на 6.00 і спробуйте увійти в домен під обліковим записом студента. Спробуйте змінити пароль облікового запису.
Завдання 3.
Скласти списки вбудованих локальних, глобальних доменних, локальних доменних груп і ознайомитися з описом кожної вбудованої групи.
Завдання 4.
Включити існуючі робочі станції в домен biks.edu.
1.На робочій станції відкрийте вікно System Properties і перейдіть на вкладку Computer Name. Виберіть Network ID (Ідентифікація). Відкриється майстер мережевий іден-
тифікації Network Identification Wizard. Натисніть Next.
2.На вкладці Connecting to the Network виберіть This computer is part of a business network, and I use it to connect to other computers at work. Виберіть тип мережі - My company uses a network with domain.
3.У вікні User Account and Domain Information залиште все без зміни. Натисніть Next.
4.У вікні Computer Domain запишіть ім'я домену та вузла. Натисніть Next.
5.З'явиться вікно, в якому потрібно ввести ім'я та пароль облікового запису, який має дозвіл на додавання користувачів в домен.
6.У вікні User Account буде запропоновано додати нових користувачів. Виберіть пе-
ремикач Do not add user at this time.
7.Натисніть Finish (Готово), щоб перезапустити комп'ютер.
Завдання 5.
Протестувати можливість входу в доменну мережу з робочої станції.
Завдання 6.
Відкрити спільний доступ до папки UserDocs, розташованої на контролері. Папка буде служити для тимчасового розміщення файлів всіх користувачів домену. У ній будь-який користувач домену зможе зберігати свої файли і папки, переглядати її вміст, але не повинен мати прав на зміну доступу до неї.
1.Створіть на контролері папку UserDocs. Помістіть в неї довільний текстовий файл.
2.У контекстному меню папки виберіть Sharing & Security ... і надайте спільний доступ до неї групам користувачів домену з правами читання та запису (не повний доступ!)
Завдання 7.
Створити в домені політику, відповідно до якої на рівні всього домену при установці пароля користувача потрібно було б наступне:
довжина пароля - не менше 8 символів;
користувач не може встановити жоден з трьох попередніх паролів;
пароль повинен відповідати вимогам складності;
максимальний вік пароля - 60 днів.
1.Для управління об'єктами групової політики на рівні домену запустіть консоль
MMC і додайте в неї оснащення Group Policy Object Editor.
2.Для визначення об'єкта дії політики натисніть Browse ... Виберіть Default Domain Policy. Натисніть Finish.
3.Розгорніть оснащення і виберіть Computer Configuration - Windows Settings - Security Settings - Account Policies - Password Policy.
4.Вивчіть політики паролів і встановіть настройки відповідно до вимоги завдання.
5.Створіть нового користувача домену та перевірте правильність налаштувань.
Завдання 8.
Створити організаційний підрозділ StudentSecurity і задати політику на його рівні, яка забороняє змінювати картинку робочого столу і завантажує загальну для всіх картинку.
1.Запустіть оснащення Active Directory Users and Computers. Розкрийте папку biks.edu
влівій панелі вікна.
2.У меню Action виберіть команду New - Organization Unit і створіть потрібний об'єкт.
3.Помістіть в організаційне підрозділ обліковий запис студента.
4.Викличте властивості створеного об'єкта і перегляньте список груп, що володіють правом доступу до підрозділу StudentSecurity.
5.Для об'єкта StudentSecurity виконайте команду User Configuration - Administrative Templates - Desktop - ActiveDesktop, виберіть параметр, який забороняє зміну картинки і задайте загальну картинку робочого столу для всього підрозділу (картинку розмістити в загальнодоступній мережевій теці).
6.Перевірте, чи налаштування виконано правильно.
Контрольні запитання
1.Опишіть відмінності між робочою групою і доменом.
2.Дайте визначення контролера домену.
3.Чому вбудований обліковий запис Guest (Гість), як правило, буває відключений?
4.Опишіть відмінності між локальним та доменним обліковими записами.
5.З якою метою створюють групи користувачів?
6.Поясніть призначення локальних, глобальних і універсальних груп.
7.Як заборонити вхід в систему в вихідні дні і неробочий час?
8.Як обмежити термін дії облікового запису?
9.Як відключити обліковий запис співробітника, наприклад, під час його хвороби?
10.Які наслідки видалення групи?
11.До яких об'єктів можна застосувати групові політики?
12.Де розташований об'єкт локальної групової політики?
13.Наведіть приклади нелокальних об'єктів групової політики.