Створення облікових записів користувачів

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати

Введення
Ключовою частиною Вашої роботи в якості адміністратора є створення облікових записів користувачів, і ця глава покаже Вам, як це робиться.
Облікові записи користувачів дозволяють Microsoft Windows 2000 відстежувати інформацію про користувачів і управляти їх правами доступу і привілеями. У процесі створення облікових записів користувача, основними засобами управління обліковими записами, які Ви використовуєте, є:

Оснащення Active Directory - користувачі та комп'ютери (Active Directory Users And Computers), яка використовується для управління обліковими записами в межах домену Active Directory.

Оснащення Локальні користувачі та групи - для управління обліковими записами на локальному комп'ютері.
У цьому розділі описується створення облікових записів домену, а також локальних користувачів і груп.

Попереднє налаштування та організація облікового запису користувача
Найбільш важливими аспектами створення облікових записів є попереднє настроювання та організація облікових записів. Без відповідних політик Ви незабаром виявите, що Вам потрібно переробляти всі облікові записи користувачів. Тому, до створення облікових записів, визначте політики, які Ви будете використовувати для їх налаштування і організації.
Політики присвоєння імен облікових записів
Основний політикою, яку Вам необхідно буде встановити, є схема іменування для облікових записів. Облікових записів користувача присвоюються відображаються імена та імена входу. Коротке ім'я (або повне ім'я) - це виведене ім'я користувача, що використовується в призначених для користувача сеансах. Ім'я входу використовується для входу в домен. Імена входу були коротко розглянуті в розділі Глави 7 «Імена для входу, паролі і Відкриті сертифікати».
Правила для відображуваних імен
У Windows 2000 відображуване ім'я зазвичай є об'єднанням імені та прізвища користувача, але Ви можете встановити для нього будь-яке строкове значення. Відображувані імена повинні відповідати наступним правилам:

Локальні відображаються імена повинні бути унікальними на робочій станції.

Відображувані імена повинні бути унікальними в домені.

Відображувані імена повинні складатися не більше, ніж з 64 символів.

Відображувані імена можуть містити буквено-цифрові та спеціальні символи.

Правила для імен входу
Імена входу повинні відповідати наступним правилам:

Локальні імена входу повинні бути унікальними на робочій станції, а глобальні - унікальними в домені.

Довжина імені входу може досягати 104 символів. Проте використання імен довше 64 символів незручно.

Ім'я входу Microsoft Windows NT версії 4.0 або більш ранніх мають всі облікові записи, його значенням за замовчуванням є перші 20 символів імені входу Windows 2000. Ім'я входу Microsoft Windows NT версії 4.0 або більш ранніх версій має бути унікальним в домені.

Користувачі, що здійснюють вхід в домен з комп'ютера, що працює під управлінням ОС Windows 2000, можуть використовувати імена входу Windows 2000 або імена входу, сумісні з Windows NT версії 4.0 і більш ранніми версіями, незалежно від режиму роботи домену.

Імена входу не можуть містити деякі символи. Неприпустимими символами є:
"/ \ []:; | =, + *? <>

Імена входу можуть містити будь-які інші спеціальні символи, включаючи пробіли, крапки, тире та підкреслення. Але, як правило, використовувати прогалини в облікових записах не рекомендується.
Примітка. Хоча Windows 2000 зберігає імена користувачів у тому ж регістрі, що був використаний при введенні, вони не є чутливими до регістру. Наприклад, Ви можете отримати доступ до облікового запису «Адміністратор», використовуючи ім'я користувача «Адміністратор» або «адміністратор». Таким чином, імена користувачів не чутливі до регістру, хоча рядкові і заголовні букви в них підтримуються.
Схеми іменування
Відомо, що в невеликих організаціях як імена входу зазвичай використовуються імена або прізвища користувачів. Але в організації будь-якого розміру може бути кілька томів, Диків і Гарі. Краще відразу вибрати правильну схему привласнення імен і переконатися, що інші адміністратори використовують її, ніж переробляти схему іменування при виникненні проблеми. Для присвоєння імен Вам слід використовувати узгоджену процедуру, яка забезпечить підтримку розширюється бази користувачів, зменшить ймовірність виникнення конфліктів імен, і буде гарантувати, що облікових записів присвоєні безпечні імена, що запобігають їх використання не за призначенням. Якщо Ви підете цих рекомендацій, то типи схем привласнення імен, які Ви можете використовувати, включають:

Ім'я і перша літера прізвища користувача. Для створення імені входу з'єднайте ім'я користувача та першу літеру його прізвища. Для William Stanek використовуйте ім'я «williams. Ця схема присвоєння імен не підходить для великих організацій.

Перший ініціал і прізвище користувача. Для створення імені входу з'єднайте першу літеру імені користувача з його прізвищем. Для William Stanek використовуйте ім'я «wstanek». Ця схема присвоєння імен також непрактична для великих організацій.

Перший ініціал, другий ініціал та прізвище користувача. Для створення імені входу з'єднайте перший ініціал, другий ініціал та прізвище користувача. Для William R. Stanek Ви могли б використовувати ім'я «wrstanek».

Перший ініціал, другий ініціал та перші п'ять літер прізвища користувача. Для створення імені входу, з'єднайте перший ініціал, другий ініціал та перші п'ять букв прізвища. Для William R. Stanek використовуйте ім'я «wrstane».

Ім'я та прізвище користувача. З'єднайте ім'я та прізвище користувача за допомогою символів підкреслення (_) або тире (-). Для William Stanek Ви могли б використовувати ім'я «william_ stanek» або «william-stanek».
Рада. В умовах підвищених вимог до безпеки Ви можете задати в якості імені входу числовий код. Цей числовий код повинен бути не коротшим 20 символів. Використовуйте цей суворий метод присвоєння імен у поєднанні з считивателямі смарт-карт, щоб дозволити користувачам швидко входити в домен. Ви можете не хвилюватися, оскільки у користувачів залишаться відображаються імена, які можуть читати люди.

Політики паролів і облікових записів
Облікові записи Windows 2000 використовують паролі та відкриті сертифікати, щоб засвідчувати доступ до мережевих ресурсів. Даний розділ присвячений паролів.
Безпечні паролі
Пароль - це чутлива до регістру рядок, який містить до 104 символів в Службі каталогу Active Directory і до 14 символів у Диспетчері безпеки Windows NT (Windows NT Security Manager). Припустимими символами для паролів є букви, цифри та спеціальні символи.
Після встановлення пароля для облікового запису, Windows 2000 зберігає його в зашифрованому форматі в базі даних облікових записів.
Недостатньо просто мати пароль. Щоб уникнути неавторизованого доступу до мережевих ресурсів, потрібно використовувати безпечні паролі. Різниця між звичайним і безпечним паролем полягає в тому, що безпечний пароль важко вгадати і зламати. Важкими для злому паролі робить комбінація всіх можливих типів символів - включаючи рядкові і заголовні букви, цифри та спеціальні символи. Наприклад, замість використання happydays в якості пароля, використовуйте haPPy2Days &, Ha ** y! dayS, або навіть h * PPY% d * ys
На жаль, неважливо наскільки безпечний пароль Ви спочатку встановіть, оскільки в кінцевому рахунку, користувач вибирає пароль самостійно. Тому Вам буде потрібно налаштувати політики для управління обліковими записами. Політики для управління обліковими записами є підмножиною політик, конфігуруються як групова політика.

Установка Політик для управління обліковими записами
Як Вам вже відомо з попередніх розділів, Ви можете застосовувати групові політики на різних рівнях всередині мережевої структури. Ви налаштовуєте локальні групові політики відповідно з описом у розділі «Управління локальними груповими політиками» Глави 4.
Як тільки Ви почали працювати з потрібним контейнером групової політики, Ви можете налаштувати політики, виконавши наступні кроки:
1.
Знайдіть вузол Політики облікових записів (Account Policies), спускаючись по дереву консолі. Розгорніть Конфігурація комп'ютера (Computer Configuration), Конфігурація Windows (Windows Settings) і потім Параметри безпеки (Security Settings), як показано на малюнку 8-1
2.
Тепер можна керувати політиками облікових записів через вузли Політика паролів (Password Policy), Політика блокування облікового запису (Account Lockout Policy) та Політика Kerberos (Kerberos Policy).
Примітка. Політики Kerberos не використовуються для локальних комп'ютерів, вони доступні тільки для групових політик, які відносяться до сайтів, доменах і підрозділам.

Малюнок 8-1. Для установки політик паролів і загального використання облікових записів використовуйте вміст сайту Політики облікових записів. Дерево консолі відображає назву комп'ютера або домену, який Ви конфігуріруете. Переконайтеся, Що Ви конфігуріруете потрібний мережний ресурс.

Малюнок 8-2. При роботі з локальними політиками Ви побачите як локальну, так і діючу політику.
3.
Щоб почати конфігурування політики, двічі натисніть на неї або клацніть по ній правою кнопкою миші і виберіть Властивості (Properties). Відкриється діалогове вікно Властивості (Properties) для даної політики.
4.
Для локальної політики діалогове вікно Властивості (Properties) таке ж, як показано на Малюнку 8-2. Діюча для комп'ютера політика відображена, але недоступна для зміни. Незважаючи на це, Ви можете змінювати параметри локальної політики. Використовуйте поля, призначені для конфігурування локальної політики. Для локальної політики пропустіть залишаються кроки - ці кроки використовуються для глобальних групових політик.
Примітка. Політики сайту, домену та підрозділи мають перевагу над локальними політиками.
5.
Для сайту, домену або підрозділу вікно Властивості (Properties) таке ж, як показано на Малюнку 8-3.

Малюнок 8-3. Визначайте і конфігурує глобальні політики груп, використовуючи діалогове вікно Властивості (Properties) для кожної з них.
6.
Всі політики або визначені, або не визначені. Це означає, що вони або сконфігуровані для використання, або ні. Політика, яка не визначена у поточному контейнері, може бути успадкована від іншого контейнера.
7.
Установіть або зніміть прапорець «Визначити наступні параметри політики в шаблоні», щоб вказати, визначена політика чи ні.
Рада. Політики можуть мати додаткові поля для їх конфігурування. Зазвичай цими полями є перемикачі Увімкнений та Відключений. Включено задіє обмеження політики, Відключений їх скасовує
У наступних розділах даної глави «Настроювання політик паролів», «Настроювання політик блокування облікових записів» і «Настроювання політик Kerberos» описані окремі процедури для роботи з політиками облікових записів. Наступний розділ даної глави «Перегляд діючих політик» розповість Вам більше про перегляд діючих політик на локальному комп'ютері.

Перегляд діючих політик
Під час роботи з політиками облікових записів і присвоєнням прав користувачів Вам часто буває необхідно переглянути політику, що діє на локальну систему. Діючою є застосована на даний момент політика і, як описано у Розділі 4 «Управління Груповий політикою», вона залежить від послідовності, в якій політики були застосовані.
Виконайте наступні кроки, щоб переглянути політику, що діє на локальну систему:
1.
Відкрийте параметри локальної політики для системи, з якою Ви хочете працювати, як показано в розділі Глави 4 «Управління локальними груповими політиками», або виберіть Параметри локальної політики (Local Policy Settings) у меню Адміністрування (Administrative Tools) (якщо ці інструменти встановлені і Ви працюєте на комп'ютері, який хочете перевірити).
2.
Відкрийте вузол політики, яку Ви хочете перевірити. На Малюнку 8-4 зображений вузол Політика паролів.
3.
У випадку локальних політик, графа Параметри комп'ютера (Computer Management) замінена графами Локальні параметри (Local Setting) і Діючі параметри (Effective Setting). Графа Локальні параметри (Local Setting) відображає параметри локальної політики. Графа Діючі параметри (Effective Setting) відображає параметри політик, застосовані на даному локальному комп'ютері.
4.
Якщо Ви зіткнулися з конфліктами політик, перегляньте розділи «В якому порядку застосовувати декілька політик?» І «Коли застосовуються групові політики?» Глави 4.
Настроювання політик облікових записів
Як Ви дізналися з попереднього розділу, існує три типи політик для управління обліковими записами: політики паролів, політики блокування облікових записів і політики Kerberos. Наступний розділ описує настройку кожної з цих політик.


Малюнок 8-4. Локальні політики відображають як діючі параметри, так і локальні параметри.
Настроювання політик паролів
Політики паролів контролюють безпеку паролів і вони включають:

Вимагати неповторяемости паролів

Максимальний термін дії паролів

Мінімальний термін дії паролів

Мінімальна довжина пароля

Пароль повинен відповідати вимогам складності

Зберігати паролі всіх користувачів в домені, використовуючи оборотне шифрування
Використання цих політик описано в наступних розділах.
Вимагати неповторяемости паролів
Політика «Вимагати неповторяемости паролів» визначає, як часто старі паролі можуть бути використані повторно. За допомогою цієї політики Ви можете спонукати користувачів до вибору паролів, що не входять в загальновідомий набір. Windows 2000 може зберігати до 24 паролів для кожного користувача, але за замовчуванням зберігає в історії паролів тільки один.
Щоб вимкнути цю функцію, встановіть розмір історії паролів рівним нулю. Щоб включити - встановіть довжину історії паролів, використовуючи поле «збережених паролів». У цьому випадку Windows 2000 буде відслідковувати старі паролі за допомогою історії паролів, яка є унікальною для кожного користувача, і користувачі не зможуть заново використовувати будь-який зі збережених паролів.
Примітка. Ви не повинні дозволяти користувачам міняти паролі негайно, щоб вони не змогли обійти політику «Вимагати неповторяемости паролів». Це перешкодить користувачам змінювати свої паролі кілька разів поспіль, щоб повернутися до старих паролів.
Максимальний термін дії паролів
Політика «Максимальний термін дії паролів» визначає, як довго користувачі можуть користуватися паролями перед їх обов'язковою зміною. Метою цієї політики є періодично змушувати користувачів змінювати їх паролі. При використанні цієї можливості встановіть значення, яке найбільше підходить для вашої мережі. Як правило, слід вказувати тим менший термін, ніж вище рівень безпеки, і навпаки.
Термін дії пароля за замовчуванням становить 42 дні, але Ви можете давати йому будь-яке значення від 0 до 999. Значення 0 означає, що термін дії пароля ніколи не закінчується. Незважаючи на те, що, можливо, Ви хотіли б встановити неістекающій термін дії пароля, користувачі повинні міняти пароль регулярно для підтримки безпеки мережі. Якщо вимоги до безпеки високі, підійдуть значення 30, 60 або 90 днів. Якщо безпеку не дуже важлива, то підійдуть значення 120, 150 або 180 днів.
Примітка. Windows 2000 повідомляє користувачів про наближення закінчення терміну дії пароля. Якщо до закінчення терміну дії пароля залишається менше 30 днів, то користувачі кожен раз під час входу в систему бачать попередження про необхідність змінити пароль на протязі певного терміну.
Мінімальний термін дії паролів
Політика «Мінімальний термін дії паролів» визначає, як довго користувачі повинні зберігати свій пароль перед тим, як зможуть його змінити. Ви можете використовувати це поле, щоб перешкодити користувачам обманювати систему паролів шляхом введення нового пароля та подальшої його заміни на старий.
Windows 2000 за умовчанням дозволяє користувачам змінювати паролі негайно. Щоб перешкодити цьому, встановіть певний мінімальний термін. Прийнятні значення цього параметра знаходяться в проміжку від трьох до семи днів. Таким чином, ваші користувачі будуть менш схильні до використання вживаних паролів, маючи при цьому можливістю при бажанні поміняти їх у прийнятний термін.
Мінімальна довжина пароля
Політика «Мінімальна довжина пароля» встановлює мінімальну кількість символів для пароля. Якщо Ви не змінювали параметри, встановлені за замовчуванням, Вам доведеться це зробити дуже скоро. За замовчуванням дозволені порожні паролі (паролі, в яких немає символів), що безумовно не є правильним підходом.
Як правило, з міркувань безпеки, Вам знадобляться паролі щонайменше з восьми символів. Причиною цьому є те, що довгі паролі зазвичай важче зламати, ніж короткі. Якщо Вам необхідно забезпечити більш серйозну безпеку, встановіть мінімальну довжину паролів 14 символів.
Пароль повинен відповідати вимогам складності
Крім основних політик для управління паролями і обліковими записами, Windows 2000 включає кошти для створення додаткових елементів управління паролями. Ці можливості доступні у фільтрах паролів, які можуть бути встановлені на контролер домену. Якщо Ви встановили фільтр пароля, дозвольте політику «Пароль повинен відповідати вимогам складності». У цьому випадку всі паролі повинні будуть відповідати вимогам безпеки фільтра.
Наприклад, стандартний фільтр Windows NT (PASSFILT.DLL) вимагає використання безпечних паролів, які відповідають наступних рекомендацій:

Паролі мають бути не менше шести символів у довжину.

Пароль не повинен містити ім'я користувача, такі як «stevew», або частини його повного імені, такі як Steve.

Паролі повинні використовувати три або чотири доступних типи символів: рядкові літери, заголовні букви, цифри та спеціальні символи.
Зберігати паролі, використовуючи оборотне шифрування
Паролі, що зберігаються в базі даних паролів, зашифровані. У загальному випадку, шифрування не може бути знято. Якщо Ви хочете дозволити скасування шифрування, застосуйте політику «Зберігати паролі всіх користувачів в домені, використовуючи оборотне шифрування». Паролі будуть зберігатися з використанням оборотного шифрування і зможуть бути відновлені в аварійній ситуації. Випадки з забуванням пароля до таких не належать. Будь-який адміністратор може змінити пароль користувача.

Настроювання політик блокування облікових записів
Політики блокування облікових записів контролюють, як і коли облікові записи блокуються доменом або локальною системою.
Ці політики:

Порогове значення блокування

Блокування облікового запису на (Тривалість блокування облікового запису)

Скидання лічильника блокування через
Порогове значення блокування
Політика «Поріг блокування» встановлює кількість спроб входу в систему, після якого обліковий запис буде заблокований. Якщо Ви вирішили використовувати блокування облікових записів, потрібно встановити в цьому полі значення, що запобігає несанкціоноване проникнення, але залишає достатня кількість спроб користувачам, що зазнають труднощі при доступі до своїх облікових записів
Основною причиною, по якій користувачі не можуть отримати доступ до свого облікового запису з першого разу, є те, що вони забули свій пароль. У цьому випадку їм може знадобитися кілька спроб, щоб увійти в систему. У користувачів робочої групи також можуть бути проблеми з доступом до віддаленої системи, в якій їх поточний пароль не збігається з очікуваним віддаленої системою.
Якщо це відбудеться, кілька неправильних спроб входу можуть бути записані віддаленої системою до того, як користувач отримає можливість ввести вірний пароль. Причиною є те, що Windows 2000 може спробувати автоматично увійти на віддалену систему. У доменному оточенні цього не станеться, завдяки функції «Один вхід».
Ви можете встановити для порога блокування будь-яке значення від 0 до 999. Значення порогу блокування: встановлено рівним 0, це означає, що обліковий запис не буде блокуватися з-за неправильних спроб входу. Будь-яке інше значення встановлює певний поріг блокування. Пам'ятайте, що чим вище значення порогу блокування, тим вище ризик, що хакер зможе отримати доступ до вашої системи. Прийнятні значення для цього порога знаходяться між 7 і 15. Це досить багато, щоб виключити помилку користувача і досить мало, щоб відлякати хакерів.
Тривалість блокування облікового запису
При перевищенні порогу блокування, політика «Блокування облікового запису» встановлює її тривалість. Ви можете встановити відповідне значення, використовуючи величину від 1 до 99,999 хвилин, або на необмежений час, шляхом встановлення цього параметра рівним 0.
Найбільш безпечною політикою є установка необмеженого часу блокування. У цьому випадку тільки адміністратор може розблокувати обліковий запис. Це перешкодить хакерам повторити спробу отримання доступу до системи і змусить користувачів, чиї облікові записи заблоковані, вдатися до допомоги адміністратора, що саме по собі є гарною ідеєю. Поговоривши з користувачем, Ви можете з'ясувати, що він робить неправильно і допомогти йому уникнути проблем.
Рада. Якщо обліковий запис заблокована, звернетеся до діалогового вікна Властивості для цього облікового запису в оснащенні Active Directory - Користувачі і комп'ютери. Клацніть по вкладці Обліковий запис і зніміть прапорець «Обліковий запис заблоковано». Це розблокує обліковий запис.

Скидання лічильника блокування через
Кожного разу при невдалій спробі входу в систему Windows 2000 збільшує значення порогу, який відслідковує кількість неправильних спроб входу. Політика «Скидання лічильника блокування через» визначає, як довго зберігається значення порогу блокування. Лічильник порога блокування облікового запису скидається одним із двох способів. Якщо користувач входить в систему успішно, лічильник порога скидається. Якщо період очікування для політики «Скидання лічильника блокування через» після останньої невдалої спроби входу закінчився, лічильник також скидається.
За замовчуванням, встановлено збереження порогу протягом однієї хвилини, але Ви можете встановити будь-яке значення від 1 до 99,999 хвилин. Як і з Порогом блокування облікового запису, необхідно вибрати значення, яке знаходиться в рівновазі між потребами безпеки і потребами користувачів. Відповідне значення знаходиться в діапазоні від одного до двох годин. Цей період очікування повинен бути достатньо великим, щоб змусити зломщиків чекати довше, ніж їм хотілося б, перед новою спробою отримати доступ до облікового запису.
Примітка. Невдалі спроби входу на робочу станцію через заставку захищену паролем не збільшують значення порогу блокування. Також, якщо Ви блокуєте сервер або робочу станцію використовуючи Ctrl + Alt + Delete, невдалі спроби входу через вікно Зняття блокування комп'ютера не будуть враховуватися.
Настроювання політик Kerberos
Kerberos версії 5 є основним механізмом перевірки автентичності, які у домені Active Directory. Kerberos використовує квитки служби та квитки користувача для ідентифікації користувачів і мережевих служб. Як Ви здогадуєтеся, квитки служби використовуються службовими процесами Windows 2000, а квитки користувача користувацькими процесами. Квитки містять зашифровані дані, що підтверджують справжність користувача або служби.
Ви можете контролювати тривалість квитка, його відновлення і застосування, використовуючи наступні політики:

Примусові обмеження входу користувачів

Максимальний термін життя квитка служби

Максимальний термін життя квитка користувача

Максимальний строк життя для відновлення квитка користувача

Максимальна похибка синхронізації годинника комп'ютера
Ці політики описані в наступному розділі.
Увага. Тільки адміністратори, повністю розуміють пакет безпеки Kerberos, повинні міняти ці політики. Установка неправильних параметрів для даних політик може спричинити серйозні проблеми в мережі. У більшості випадків параметри політики Kerberos, встановлені за умовчанням, працюють як треба.
Примусові обмеження входу користувачів
Політика «Примусові обмеження входу користувачів» забезпечує включення обмежень для користувача облікового запису. Наприклад, якщо час входу користувача обмежена, дана політика здійснює це обмеження. За замовчуванням, дана політика дозволена і скасовувати її слід лише за виняткових обставин.
Максимальний термін життя
Політики «Максимальний термін життя квитка служби» і «Максимальний термін життя квитка користувача» встановлюють максимальний термін, протягом якого квиток служби або користувача є чинною. За замовчуванням, квитки служби мають максимальну тривалість 41,760 хвилин, а квитки користувача - 720 годин.
Ви можете змінити тривалість квитків. Для квитків служби ефективні значення знаходяться в діапазоні від 0 до 99,999 хвилин. Для квитків користувача - від 0 до 99,999 годин. Нульове значення вимикає закінчення терміну життя. Будь-які інші значення встановлюють певний термін життя квитка.
Квиток з вичерпаним терміном життя може бути відновлений. Для відновленого квитка встановлюється термін життя у відповідності з політикою «Максимальний строк життя для відновлення квитка користувача». За замовчуванням період відновлення квитка становить 60 днів. Ви можете встановити період відновлення від 0 до 99,999 днів. Нульове значення вимикає максимальний період оновлення, а будь-які інші значення встановлюють його певний термін.
Максимальна похибка
Політика «Максимальна похибка синхронізації годинника комп'ютера» є однією з небагатьох політик Kerberos, яку Вам, можливо, доведеться змінити. За замовчуванням комп'ютери в домені повинні бути синхронізовані один з одним протягом п'яти хвилин. Якщо ця умова не виконується, аутентифікація не відбувається.
Якщо у Вас є віддалені користувачі, які входять в домен без синхронізації їх годин з мережним сервером часу, Вам може знадобитися встановити цей параметр. Його діапазон - від 0 до 99,999
Першим кроком до забезпечення безпеки корпоративної мережі середнього розміру є розуміння того, якими уразливими можуть скористатися зловмисники. Головним завданням зловмисника, який проник в мережу, є підвищення привілеїв створеного ним плацдарму для отримання більш широкого доступу. Після підвищення привілеїв дуже важко запобігти подальші дії зловмисника. Зловмисники використовують різні механізми підвищення привілеїв, але частіше за все вони пов'язані з атаками на наявні в системі облікові записи, особливо, якщо вони володіють правами адміністратора.
У корпоративних мережах середнього розміру часто вживаються заходи щодо забезпечення безпеки звичайних облікових записів користувачів, а облікові записи служб залишаються без уваги, що робить їх уразливими і популярними цілями зловмисників. Після отримання зловмисником контролю над важливою обліковим записом з високим рівнем доступу до мережі, вся мережа буде залишатися ненадійною, поки не буде повністю створена заново. Тому рівень безпеки всіх облікових записів є важливим аспектом забезпечення безпеки мережі.
Внутрішні загрози, так само як і зовнішні, можуть завдати значної шкоди корпоративної мережі середнього розміру. Внутрішню загрозу створюють не тільки зловмисники, а й ті користувачі, які можуть завдати шкоди ненавмисно. Одним із прикладів можуть слугувати на перший погляд нешкідливі спроби користувачів отримати доступ до ресурсу в обхід заходів безпеки. З міркувань зручності користувачі та служби також дуже часто отримують більш широкі права, ніж необхідно для роботи. Хоча такий підхід гарантує користувачам доступ до ресурсів, необхідних для виконання роботи, він також збільшує небезпеку успішної атаки на мережу.

Анотація
Як вже було сказано у вступі, управління безпекою всіх типів облікових записів в мережі є важливим аспектом управління ризиками корпоративної мережі середнього розміру. До уваги повинні прийматися як зовнішні, так і внутрішні загрози. Рішення по захисту від таких загроз повинно бути збалансовано з точки зору безпеки та функціональності мережних ресурсів, відповідної потребам середнього бізнесу.
Даний документ допоможе представникам середнього бізнесу усвідомити ризики, пов'язані з адміністративними обліковими записами та обліковими записами служб, обліковими записами за замовчуванням і обліковими записами додатків. Наведені відомості є основою для розробки та реалізації заходів щодо зниження цих ризиків. Для цього необхідно розповісти про суть цих облікових записів, про те, як їх розрізняти, як визначати права, необхідні для роботи, і як знижувати ризики, пов'язані з підвищеними привілеями облікових записів служб та адміністраторів.
У рамках ініціативи корпорації Майкрософт «Захищені комп'ютерні системи» використовуються в Microsoft ® Windows Server ™ 2003 параметри за замовчуванням розраховані на забезпечення захисту служби каталогів Active Directory ® від різних загроз. Проте рівень безпеки облікових записів адміністраторів корпоративної мережі середнього розміру можна збільшити ще більше, змінивши деякі їхні параметри. Крім того, служби, що не входять до складу операційної системи Windows Server 2003 і встановлюються іншими додатками, також необхідно захистити. У даному документі описуються способи забезпечення безпеки цих облікових записів і служб, а також містяться рекомендації щодо контролю над використанням і управлінням адміністративними повноваженнями.
Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Реферат
90.5кб. | скачати


Схожі роботи:
Розробка і створення СКС на базі мереж Ethernet при підключенні користувачів житлового будинку до глобальної
Дослідження документів і записів з обліку господарських операцій в
Дослідження документів і записів з обліку господарських операцій в окремих сегментах ринкової
Застосування облікових регістрів в бухгалтерії
Кваліфікаційні та етичні вимоги до облікових працівників
Виправлення помилок в облікових регістрах Предмет і метод бухгалтерсько
Виправлення помилок в облікових регістрах Предмет і метод бухгалтерського обліку
Аутентифікація користувачів
Служба захисту користувачів
© Усі права захищені
написати до нас