Установка Active Directory не так уж и сложна. Однако,
после того, как вы ее установите, необходимо сделать много
работы. На первом этапе конфигурации Active Directory
необходимо ее обезопасить. Есть много областей, на которые
необходимо обратить внимание, и много настроек, которые
необходимо изменить, чтобы в вашей сети все было безопасно.
Давайте взглянем на начальные настройки, которые вы должны
задать, чтобы сделать Active Directory безопасной для вашей
сети, перед тем как вы погрузитесь в настройку всей
структуры.
Создание административной учетной записи для самого себя
После установки Active Directory вы должны предпринять
необходимые меры для защиты вашего имущества. Вы не только
должны защитить вашу новую структуру Active Directory, вы
должны создать мир, с помощью которого вы сможете безопасно
производить администрирование. Для этого вы должны создать
новую учетную запись пользователя, которая будет
использоваться вами для администрирования всего, что связано с
Active Directory.
Примечание:Это означает, что вы НЕ должны
использовать встроенную учетную запись администратора для
администрирование Active Directory!
После того, как создана эта новая учетная запись
пользователя, вы должны добавить ее в группу администраторов
домена (Domain Admins). Т.к. на этом этапе у вас всего один
домен, у вас появится возможность делать все что угодно внутри
этого домена.
Примечание:Благодаря членству в группе
администраторов домена (Domain Admins) в корневом домене
(первый домен в лесу), у вас есть возможность добавления или
удаления пользователей из групп администраторов схемы (Schema
Admins) и корпоративных администраторов (Enterprise Admins).
Поэтому нет необходимости быть членом этих групп до тех пор,
пока у вас не возникнет необходимость выполнения действий,
которые требуют прав такого уровня.
В процессе создания вашей учетной записи пользователя вы
должны задать длинный и сложный пароль. Это поможет защитить
учетную запись от взломщиков и хакеров. Если пароль будет
слабым, то будет очень легко взломать пароль и получить доступ
к домену с правами администратора.
Установка сложного и длинного пароля для учетной записи
администратора
Теперь, когда у вас есть учетная запись для
администрирования домена, вы должны защитить встроенную
учетную запись администратора по полной. Сначала нужно
защитить эту учетную запись. Как минимум, вы должны сделать
пароль для этой учетной записи длинным (желательно 15 - 20
символов) и сложным. Примерами таких паролей могут
служить:
- I wish I drove a Porsche 930 Turbo.
- Pizza is best with hot Italian sausage.
- There is no better sport than NCAA Final Four
basketball.
Обратите внимание, что все эти пароль очень длинные, и в
каждом из них используется по крайней мере три типа
символов.
Переименование учетной записи администратора в первом
домене AD
Этот совет не является самым техничным или продвинутым, но
вы все равно должны ему последовать. Измените название
встроенной учетной записи администратора на какое-нибудь
другое. Это поможет защитить учетную запись от начинающих
хакеров. Конечно, вы не сможете изменить SID для учетной
записи, но по крайней мере быстрый просмотр списка
пользователей не позволит ее обнаружить слишком просто.
Установка политики паролей в доменной политики по
умолчанию (Default Domain Policy)
Было написано много статей на тему, как правильно задать
политику паролей для домена, чтобы снизить поверхность атак
для хакеров. До тех пор, пока такие меры не были приняты, ваша
сеть уязвима. Поэтому, в доменной политике по умолчанию
(Default Domain Policy) настройки политики для паролей должны
быть заданы так, как изображено на рисунке 1.
Рисунок 1
Здесь некоторые пояснения для настройки этих политик:
Policy Setting (настройка политики) |
Minimum Value (минимальное значение) |
Secure value (безопасное значение) |
Min Password Age (минимальный возраст пароля) |
1 |
1 |
Max Password Age (максимальный возраст пароля) |
180 |
45 |
Min Password Length (минимальная длина пароля) |
8 |
14+ |
Password Complexity (сложность пароля) |
Enabled (включено) |
Enabled (включено) |
Установка политики блокировки учетной записи (Account
Lockout Policy) в политике домена по умолчанию (Default Domain
Policy)
Настройки политики блокировки учетной записи в течение
долгого времени являлись предметом дебатов. Возникли две
противоборствующие стороны. Первая сторона заявляла, что
пароль должен быть заблокирован после трех неудачных попыток
ввода. Вторая сторона заявляла, что пользователю необходимо
предоставить неограниченное количество попыток ввода паролей,
даже если они вовсе не помнят свой пароль.
Эти дебаты достаточно просты по свой природе, т.к. свои
минусы есть в каждом подходе. Если блокировать учетную запись
после нескольких неудачных попыток ввода пароля, то
злоумышленник может заблокировать другие важные учетные
записи, включая учетные записи сотрудников IT, начальников и
т.п. с помощью простого сценария.
Во втором случае, когда у пользователя есть неограниченное
количество попыток ввода пароля, злоумышленник может подобрать
пароли методом перебора.
Лично я считаю, что лучше и более безопасно предоставить
пользователю неограниченное количество попыток ввода пароля.
Если вы соблюдаете ограничения на сложность и длину пароля, то
будет почти невозможно подобрать ваш пароль. Поэтому я
предлагаю предоставить около 100 попыток ввода пароля, прежде
чем учетная запись будет заблокирована.
На рисунке 2 показаны параметры для настройки политики
блокировки учетной записи (Account Lockout Policy).
Рисунок 2
Создание организационных единиц (Organizational Unit) для
учетных записей пользователей
Для того чтобы контролировать учетные записи пользователей
и их настройки на компьютере, вы должны создать
организационную единицу (OU) для учетных записей
пользователей. Учетные записи пользователей по умолчанию
размещаются в контейнере под названием 'Users (пользователи)',
с которым нельзя связать никакие объекты политики группы
(GPO).
Обычно вам не только понадобиться создать единую OU для
учетных записей пользователей, а создать целую иерархию
логически структурированных OU для учетных записей
пользователей. Это позволит вам контролировать то, какие
настройки GPO влияют на какие учетные записи пользователей.
Логическими структурами OU для учетных записей пользователей
могут быть OU для:
- Управлений, таких как HR, IT, финансовое управление и
т.п.
- Регионов, таких как северо-восток, Азия и т.п.
- Рабочих ролей, таких как менеджеры, начальники,
сотрудники отдела поддержки.
Создание организационной единицы для учетных записей
компьютеров
Вы также захотите создать OU для учетных записей
компьютеров, по тем же самым причинам, что и для учетных
записей пользователей. Здесь вам необходимо выделить различные
типы компьютеров, которые могут попадать в такие различные
категории:
- Сервера, как IIS, Exchange, сервера приложений и т.п.
- Рабочие станции, как IT, HR, мобильные и т.п.
Создание GPO и его привязка к новой OU для учетной записи
компьютера
Чтобы убедиться, что компьютеры в безопасности, когда они
попадают в домен, неплохо было бы иметь набор настроек для
безопасности. Для этого вы должны создать GPO и связать его с
OU(s) для учетной записи компьютера, которую вы только что
создали. Такими настройками в GPO могут быть:
- Включение UAC
- Сброс пароля локального администратора
- Контроль членства в группе администраторов
- Контроль анонимных подключений
- Контроль поддерживаемых протоколов аутентификации
Настройка DNS
Для большинства компаний нужна данная установка, но не для
всех. Однако, большинству компаний необходимо немедленно
настроить свой DNS, чтобы разрешить доступ в Интернет, но
также защитить DNS, который поддерживает AD. Для этого вы
должны настроить DNS, который поддерживает среду Active
Directory таким образом, чтобы он передавал все запросы к
Интернет на сервер DNS, который поддерживает интернет. Для
этого нужны следующие настройки:
- Настроить всех клиентов домена на использование DNS AD
- Настроить сервера DNS AD на передачу запросов на внешние
сервера DNS.
Переименование всех учетных записей администраторов во
всех доменах
Вы должны переименовать учетную запись администратора в
локальном менеджере Security Accounts Manager (SAM) каждого
компьютера (сервера и рабочей станции) в домене, а также для
каждого нового домена, который вы добавляете в лес. Вы можете
сделать это с помощью GPO, изображенной на рисунке 3, который
сделает конфигурацию простой и эффективной. И снова это не
убережет вас от опытного хакера, но позволит немного
обезопасить вашу сеть.
Рисунок 3
Резюме
После того, как вы установили и запустили Active Directory,
вы лишь приступаете к настройке. Чтобы убедиться, что у вас
безопасная и стабильная Active Directory, вы должны выполнить
некоторые необходимые настройки, чтобы все работало правильно
и безопасно. Вы должны затронуть администрирование домена,
включая встроенную учетную запись администратора и учетные
записи, которые будут использоваться для повседневного
управления Active Directory. Для контроля пользователей и
компьютеров в среде вы должны выполнить настройки, которые
позволяют вам защитить пароль пользователя, а также
контролировать компьютеры и учетные записи пользователей с
помощью политик групп (Group Policy). Если вы выполните эти
важные настройки, касающиеся безопасности после установки
Active Directory, то вы сильно себе поможете в обеспечении
безопасности вашей сети и вашей компании.