Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Защита доменной сети

Защита доменных имен в Рунете: риски и советы

На правах рекламы

Только 1,2% доменных имен в Рунете охраняются в качестве товарных знаков. Если ваш домен и сайт пока не в их числе – стоит подумать о юридической защите своих прав. Ведь покупка доменного имени обеспечивает «аренду» адреса в сети Интернет, но не обеспечивает прав на саму совокупность символов, составляющих доменное имя.

Без товарного знака: в чем риски для владельцев доменных имен?

  1. Владелец сайта может вполне добросовестно, ни о чем не подозревая, нарушить чьи-то права на ранее зарегистрированный товарный знак. Среди 1,2% совпадающих доменных имен и товарных знаков, принадлежащих юридическим лицам, владелец домена и правообладатель товарного знака – в 75% случаев не совпадают. Это значит, что однажды ваш домен может оказаться под угрозой аннулирования.
  2. Раскрученным сайтом могут заинтересоваться так называемые trademark squatters – лица, профессионально занимающиеся регистрацией товарных знаков для их последующей перепродажи, в том числе подкрепленной угрозами судебного преследования владельца домена за нарушение прав на зарегистрированный товарный знак (т. н. «обратный захват»). Угроза прямая и явная – крупнейшая группа trademark squatters в России владеет вторым по величине портфелем товарных знаков, лишь незначительно уступающим портфелю Unilever.
  3. Сайтом компании могут заниматься подрядчики-фрилансеры или внутренние ИТ-специалисты. Часто на них же регистрируются доменные имена – 84% доменных имен в зонах .RU/.РФ принадлежат физическим лицам, физические лица составляют не менее 40% среди администраторов доменов компаний. Вместе с сотрудником (или подрядчиком) компанию вполне может покинуть и доменное имя. С товарным знаком на руках вернуть его будет намного проще.

Это только некоторые факты о доменных именах и товарных знаках в Рунете, полученные в рамках совместного исследования Онлайн Патент и АНО «Координационный центр национального домена сети Интернет». Один из главных выводов исследования – российский Интернет-рынок растет, более 45% российских коммерческих организаций имеют веб-сайт, однако количество компаний, своевременно осуществляющих государственную регистрацию собственных нематериальных активов, все еще незначительно.

Как защитить свои интересы?

  1. Перед регистрацией доменного имени – необходимо осуществлять проверку будущего домена на наличие рисков нарушения чужих законных интересов, как это предусмотрено Правилами регистрации доменных имен в зонах .RU/.РФ. Как минимум, проверке подлежит наличие тождественных товарных знаков по интересующим категориям товаров и услуг.
  2. Если доменное имя уже зарегистрировано – необходимо убедиться, что его администратором является Ваша компания или непосредственно индивидуальный предприниматель. Не следует доверять право администрирования доменного имени системному администратору или фрилансерам.
  3. Выполните регистрацию товарного знака для принадлежащего компании доменного имени. Издержки на регистрацию составят порядка 60 тыс. руб., срок действия регистрации – не менее 10 лет. Страховка юридических рисков в отношении доменного имени за условные 5 тыс. руб. в год приближается к стоимости продления регистрации доменного имени и намного меньше большинства хостинговых тарифов.

Зарегистрировать новый товарный знак и продлить права на ранее зарегистрированные обозначения, найти товарные знаки, похожие на доменное имя, и проверить домен перед регистрацией можно с помощью единой платформы управления товарными знаками Онлайн Патент. Выполнение любого из указанных действий осуществляется полностью в электронном виде без изготовления бумажных документов или непосредственного визита в Роспатент.

Слетает тип сети с доменной на частную на Windows Server

Продолжительное время пытаюсь разобраться с одной проблемой в доменной сети. На разных Windows Server после перезагрузки периодически тип сети с доменной (domain) меняется на частную (private). Происходит этот как на контроллерах домена, так и на рядовых серверах. Поделюсь своими рецептами борьбы с этой проблемой.

Цели статьи

  1. Описать проблему, с которой столкнулся, по смене категории сети на сетевом интерфейсе после перезагрузки windows сервера.
  2. Показать методы, которые применял для решения проблемы.
  3. Получить помощь или совет по текущей проблеме.

Введение

Сразу проясню технические моменты.

  • Все события происходят на серверах версии Windows Server 2012 R2.
  • Используются бесплатные гипервизоры Windows Hyper-V Server 2012 R2 и Windows Hyper-V Server 2016.
  • Все серверы включены в домен. Часть серверов сами являются контроллерами доменов.

Теперь по симптомам. Периодически после плановой установки обновлений и перезагрузки в свойствах сетевого подключения меняется тип сети. Она перестает быть доменной и становится приватной.

Так же несколько раз была ситуация, когда сетевое подключение получало новое имя. Как видно на примере, сетевой интерфейс имеет имя Сеть 3. То есть это уже третий раз, когда он поменял имя. Оба эти события не всегда случаются одновременно. Имя сети может и не поменяться, но поменяется ее тип. При этом вирутальные машины никуда не переезжают, их настройки не меняются. Мне совершенно не понятно, почему может измениться сетевой интерфейс.

Пару раз была ситуация, когда сервер вообще был недоступен по сети после перезагрузки. При подключении к консоли я видел запрос на выбор типа сети. После того, как я указывал тип сети, сервер становился досупен. При этом его сетевые настройки не слетали, везде прописана статика. Конкретно эта ошибка гарантирована не воспроисзводилась, я особо не занимался расследованием. А вот со сменой типа сети сталкиваюсь регулярно, поэтому накопилась статистика.

Изменение типа сети на доменную

Простого способа указать, что данное соединение доменное в windows server нет. Я нашел как минимум 2 рабочих способа, которые гарантированно позволяют вернуть соединению статус Domain Network.

  1. Способ номер один. Заходим в свойства сетевого подключения и отключаем ipv6. Сеть сразу же становится доменной.
  2. Способ номер два. Перезапускаем службу Служба сведений о подключенных сетях (Network Location Awareness Service).

Идея полностью отключать ipv6 мне не нравится, потому что неоднократнго видел информацию о том, что она каким-то образом нужна для корректной работы сервера и Microsoft не рекомендует ее отключать.

При втором способе, если сделать для службы тип запуска Автоматически (отложенный запуск), то после перезагрзки сервера статус сети всегда будет доменный. Это вроде как решает проблему, хотя мне кажется, что это больше костыль, чем решение.

В целом, мне не понятно, в чем конкретно проблема и почему она стала проявляться в какой-то определенный момент, причем на разных серверах. Иногда помогает просто перезагрузка, иногда нет. Когда я последний раз исследовал ошибку, она на 100% повторялась на двух серверах с ролью контроллера домена, dhcp и dns сервера. Помогало либо отключение ipv6, либо перезапуск службы. В логах при этом ничего подходящего под указанную проблему не находил.

Причины изменения типа сети

Теоретически, Windows определяет тип сети как доменный, если с соответствующего адаптера достижим контроллер домена, с которого были получены групповые политики. На контроллере домена этот сервер — он сам, все сетевые адаптеры на нём должны определяться как принадлежащие доменной сети. Почему у меня на контроллерах домена сеть оказывалась не доменной, ума не приложу.

Есть мысли, что это из-за настроек ipv6. Изначально там указано получать адрес автоматически. И Windows какой-то адрес получала. Даже не знаю откуда.

Пытался разобраться в теме ipv6, но скажу честно, сходу в нее не вник. Там все как-то не просто и надо погружаться, изучать. Пытался указывать ipv6 адрес вручную, статический. Думал, это может помочь. Почему-то после перезагрузки, настройки слетали обратно на получение адреса автоматически.

Отдельно пробовал настройку Предпочтение протокола IPv4 протоколу IPv6, как описано в руководстве на сайте microsoft. Это не помогло. На проблемном сервере гарантированно получал частную сеть вместо доменной.

Заключение

По факту каких-то проблем из-за данной настройки я не получал. Отличий в настройке фаервола в зависимости от типа сети у меня нет, так что видимых проблем не было. На текущий момент там, где последний раз словил эту ошибку, настроил отложенный запуск службы сведений о подключенных сетях (Network Location Awareness Service). Ошибка больше не воспроизводится. Буду наблюдать дальше.

Читать еще:  Репликация между доменами

Если вы сталкивались с подобными ошибками, либо есть советы, что еще попробовать, буду рад комментариям по этой теме.

Защита доменной сети

By signing up, you agree to our Terms of Service and Privacy Policy.

Похищение доменного имени – одно из самых частых киберпреступлений, которые встречаются в Интернете. Наиболее часто кражи доменных имен происходят именно в зоне .COM, так как процесс регистрации и передачи домена в данной зоне простой, а сама зона наиболее популярна во всем мире и много известных крупных торговых марок регистрируют имена сайтов именно с этим расширением. Конкретный пример с доменом Commercials в зоне com. Мошенник выбрал домен, в контактных данных которого был указан мейл владельца, созданный в другом домене – blinktv.net. Злоумышленник начал следить за состоянием регистрации домена blinktv.net и, когда истек срок его регистрации, он вполне законно зарегистрировал этот домен. После этого он сделал настройку DNS так, что все электронные сообщения любому пользователю @blinktv.net, доставлялись в его почтовый ящик. Затем под видом владельца домена Commercials он запросил у регистратора пароль и передал домен новому владельцу. Вот и все. Чтобы не попасть в такую ситуацию, необходимо придерживаться нескольких простых правил для безопасности доменного имени сайта.

В данной статье рассмотрим практические советы о том, как не потерять свой домен . Много владельцев сайтов достаточно беспечно относятся к праву владения доменом. Но бывают случаи, когда доменное имя вашего сайта может попасть в чужие руки и восстановить доступ к нему будет практически невозможно или придется заплатить немалую сумму вымогателю, который похитил домен. Поэтому давайте рассмотрим основные правила, благодаря которым вы сохраните имя своего сайта.

Создавайте надежные пароли для учетных записей. О правилах создания безопасных доменов читайте тут . Пароль должен быть максимально сложным и, конечно же, длинным. Сложные пароли трудно взломать и соответственно украсть вашу учетную запись. Если запись все-таки украли, то восстановить доступы практически будет очень сложно. Ответственность за пароль несете исключительно вы, поэтому рекомендуем ставить сложные пароли для авторизации и периодически их менять.

Вовремя продлевайте домены . Просрочка продления может повлечь за собой оплату дополнительной суммы для восстановления — для некоторых доменных зон через месяц после окончания срока действия придется выложить сумму, в несколько раз превышающую сумму продления. Будьте внимательны. Некоторые домены можно оплатить сразу на несколько лет, поэтому если доменное имя действительно для вас важно, то купите его сразу на длительный период.

Для регистрации домена используйте действующий почтовый ящик , который вы часто проверяете. Именно на почтовый ящик приходят уведомления о том, что необходимо вовремя оплатить домен. Например, в компании Гипер Хост также делается обзвон клиентов с напоминаем того, что за неделю заканчивается срок регистрации домена. Поэтому в данном случае еще важно оставить корректный номер телефона. Так вы точно не забудете продлить домен. Что будет, если не продлить домен вовремя? Его просто может купить кто-нибудь за вас, и у вас уже не будет права на его восстановление. Поэтому вовремя продленный домен обезопасит вас от его потери. Некоторые доменные зоны позволяют оплатить сразу регистрации на период до 10 лет, так вам не придется продлевать домен каждый год и беспокоится об этом.

Для регистрации домена НЕ используйте почтовый ящик на собственном домене . В этом случае, если ваш домен украдут, то не получат доступ к контактному мейлу домена и не смогут его изменить. А вы в свою очередь сможете восстановить права владения доменным именем.

При регистрации указывайте исключительно ваши реальные данные , ведь именно на них будет регистрироваться домен. Не бойтесь указывать достоверную информацию, она ни в коем случае не будет передаваться третьим лицам. Для того, чтобы скрыть приватную информацию о владельце домена, используйте услугу Privacy Protection, она скрывает данные владельца домена в whois (больше о сервисе whois читайте здесь). Учтите, что в случае чего восстановить право на домен будет очень сложно, если оно будет зарегистрировано на вымышленного Ивана Иванова.

Проверяйте подлинность писем, которые напоминают о продлении домена . Часто таким методом пользуются мошенники и отправляют мейлы с номерами счетов, которые необходимо оплатить для продления домена. Пользователь просто переходит по ним, оплачивает, а в итоге оказывается, что домен не продлен, и он перекинул деньги обычным мошенникам. Путаница происходит из-за того, что злоумышленники используют похожие мейлы к тем, которые принадлежат регистратору. Поэтому если вам пришло на почту напоминание о продлении, проверьте, действительно ли это письмо от вашего регистратора, и только после этого оплачивайте.

Для регистрации домена выбирайте надежного и проверенного регистратора . Например, того, который работает на рынке данного вида услуг уже достаточно долгое время и имеет положительные отзывы о своей работе в Интернете на независимых ресурсах. Выбранная вами компания-регистратор должна сразу регистрировать домены после получения от вас оплаты, предоставлять услуги трансфера доменов от других регистраторов в случае необходимости и работать в круглосуточном режиме. Также для связи с технической поддержкой должно предлагаться несколько удобных вариантов, например, email, телефон, skype, тикет система, чат. Регистрируя домен у такой компании, вы будете уверены, что имя сайта принадлежит именно вам. Больше о правилах регистрации доменов здесь

Отслеживайте мошенников, которые регистрируют схожие доменные имена с вашим. Так называемые киберпираты регистрируют доменные имена, которые очень похожи с вашим существующим сайтом. В итоге они пытаются обхитрить посетителей сайта, заставив их думать, что они зашли на верный веб-ресурс. Например, если домен вашей компании DomainPro.ru, то киберпират может приобрести домен с именем DomainProo.ru в надежде, что посетитель сделает ошибку в написании URL. Вы можете побороть киберпреступников, приобретя это имя, но не всегда. Обезопасить себя наверняка вы сможете, купив все основные доменные имена в каждой стране, где вы ведете бизнес. А также все похожие доменные имена в дополнение к основным. Но это следует делать, если ваш бизнес имеет серьезные масштабы в сети и вы дорожите своей репутацией.

Также обратите внимание, что если вы используете бесплатные адреса e-mail, например, Mail.ru, Hotmail, то подобные сервисы могут автоматически приостановить или аннулировать e-mail аккаунт, если вы нечасто будете входить в систему. После таких действий мошенник сможет получить тот же самый адрес e-mail и использовать его, чтобы можно было перевести ваши домены от вас.

Ищете, где зарегистрировать домен по низкой цене? Обращайтесь в компанию ГиперХост, мы зарегистрируем для вас любое доменное имя в краткие сроки.

Методы защиты от mimikatz в домене Windows

Конец июня 2017 года запомнился IT сообществу по массовому заражению множества крупнейших компаний и госучреждений России, Украины и других стран новым вирусом-шифровальщиком Petya (NotPetya). В большинстве случаев, после проникновения внутрь корпоративной сети, Petya молниеносно распространялся по всем компьютерам и серверам домена, парализуя до 70-100% всей Windows-инфраструктуры. И хотя, одним из методов распространения Пети между компьютерами сети было использование эксплоита EternalBlue (как и в случае с WannaCry), это был не основной канал распространения вымогателя. В отличии от WCry, который распространялся исключительно благодаря уязвимости в SMBv1, NotPetya были изначально заточен под корпоративные сети. После заражения системы, шифровальщик с помощью общедоступной утилиты Mimikatz, получал учетные данные (пароли, хэши) пользователей компьютера и использовал их для дальнейшего распространения по сети с помощью WMI и PsExec, вплоть до полного контроля над доменом. Соответственно, для защиты всех систем не достаточно было установить обновление MS17-010.

Читать еще:  Word альбомная ориентация

В этой статье мы рассмотрим основные методики защиты Windows систем в домене Active Directory от атак посредством Mimikatz–like инструментов.

Утилита Mimikatz с помощью модуля sekurlsa позволяет извлечь пароли и хэши авторизованных пользователей, хранящиеся в памяти системного процесса LSASS.EXE (Local Security Subsystem Service ). У нас уже была статья с примером использования mimikatz для получения в паролей пользователей в открытом виде (из WDigest, LiveSSP и SSP).

Предотвращение возможности получения debug

В статье по ссылке выше видно, как использование привилегии debug, позволяет Mimikatz получить доступ к системному процессу LSASS и извлечь из него пароли.

По умолчанию, права на использование режима debug предоставляются локальной группе администраторов (BUILTINAdministrators). Хотя в 99% случаях эта привилегия абсолютно не используется администраторами (нужна она как правило системным программистам), соответственно, в целях безопасности возможность использования привелегии SeDebugPrivilege лучше отключить. Делается это через групповую политику (локальную или доменную). Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment и включите политику Debug Program. В нее нужно добавить доменную группу пользователей, которым могут понадобится права debug (как правило, разработчики), либо оставить эту группу пустой, чтобы данного права не было не у кого.

Теперь, если попробовать получить debug через mimikatz появится ошибка:

EROOR kuhl_m_privilege_simple ; RtlAdjustPrivilege (20) c0000061

Отключение WDigest

Протокол WDigest появился в Windows XP и использовался для выполнения HTTP дайджест-аутентификации (HTTP Digest Authentication), особенностью которой являлось использование пароля пользователя в открытом виде. В Windows 8.1 and Server 2012 R2 добавилась возможность полного запрета хранения паролей в открытом виде в LSASS. Для запрета хранения WDigest в памяти, в этих ОС в ветке реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest уже имеется DWORD32 параметр с именем UseLogonCredential и значением 0.

Если же нужно полностью отключить метод аутентификации WDigest, в этой же ветке (HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersWDigest) установите значение ключа Negotiate в .

Для поддержки этой возможности в Windows 7, 8 и Windows Server 2008 R2 / 2012 необходимо установить специальное обновление — KB2871997, а потом выставить эти же ключи реестра. В доменной среде параметры реестра проще всего распространить с помощью групповой политики.

Защита LSA от подключения сторонних модулей

В Windows 8.1 и Windows Server 2012 R2 появилась возможность включения защиты LSA, обеспечивающей защиту памяти LSA и предотвращаю возможность подключения к ней из незащищённых процессов. Для включения этой защиты, необходимо в ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA создать параметр RunAsPPL со значением 1.

После применения этого параметра атакующий не сможет получить доступ к памяти LSA, а mimikatz на команду securlsa::logonpassword, выдаст ошибку

ERROR kuhl_m_securlsa_acquireLSA : Handle on memory (0x00000005).

Отключение LM и NTLM

Устаревший протокол LM аутентификации и, соответственно, хранение LM хэшей нужно обязательно отключить с помощью групповой политики Network Security: Do Not Store LAN Manager Hash Value On Next Password Change (на уровне Default Domain Policy).

Далее нужно отказаться от использования как минимум протокола NTLMv1 (политика в разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options — Network Security: Restrict NTLM: NTLM authentication in this domain), а как максимум и NTLMv2

И если отказ от NTLMv1 как правило проходит безболезненно, то при отказе от NTLMv2 придется потрудиться. В больших инфраструктурах, как правило, приходят к сценарию максимального ограничения использования NTLMv2. Т.е. везде, где возможно должна использоваться Kerberos аутентификация (как правило придется уделить дополнительное время настройке Kerberos аутентификации на IIS и SQL), а на оставшихся системах — NTLMv2.

Запрет использования обратимого шифрования

Следует явно запретить хранить пароли пользователей в AD в текстовом виде. Для этого следует включить доменную политику Store password using reversible encryption for all users in the domain в разделе Computer Configuration -> Windows Settings ->Security Settings -> Account Policies -> Password Policy, выставив ее значание на Disabled.

Использование группы Protected Users

При использовании функционального уровня домена Windows Server 2012 R2, для защиты привилегированных пользователей возможно использовать специальную защищенную группу Protected Users. В частности, защита этих учеток от компрометации выполняется за счет того, что члены этой группы могут авторизоваться только через Kerberos (никаких NTLM, WDigest и CredSSP) и т.д. (подробности по ссылке выше). Желательно добавить в эту группу учетные записи администраторов домена, серверов и пр. Этот функционал работает на серверах будет работать на Windows Server 2012 R2 (для Windows Server 2008 R2 нужно ставить упомянутое выше дополнительное обновление KB2871997)

Запрет использования сохранённых паролей

Можно запретить пользователям домена сохранять свои пароли для доступа к сетевым ресурсам в Credential Manager.

Для этого включите политику Network access: Do not allow storage of passwords and credentials for network authentication в разделе Computer Configuration -> Windows Settings ->Security Settings ->Local Policies ->Security Options.

Кроме того, чтобы ускорить очистку памяти процесса lsass от учётных записей пользователей, завершивших сеанс, нужно в в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa нужно создать ключ типа DWORD с именем TokenLeakDetectDelaySecs и значением 30. Т.е. память будет очищаться через 30 секунд после логофа пользователя. В Windows 7, 8/ Server 2008R2, 2012 чтобы этот ключ заработал, нужно установить уже упоминавшееся ранее обновление KB2871997.

Credential Guard

В Windows 10 Enterprise, Windows Server 2016 появился новый компонент Credential Guard, позволяющий изолировать и защитить системный процесс LSASS от несанкционированного доступа. Подробности здесь.

Выводы

Рассмотренные выше меры позволят существенно снизить возможности mimikatz и ей подобных утилит для получения паролей и хэшей администраторов из процесса LSASS и системного реестра. В любом случае, при принятии решения о внедрения этих политик и методик, их нужно вводить поэтапно с обязательным тестированием.

В следующей статье мы разберем лучшие практики по повышению безопасности Windows сети за счет ограничения использования учетных записей администраторов, которые на техническом и организационном уровнях дожны улучшить защиту домена Windows от подобных атак. Следите за обновлениями!

Безопасность компьютерных сетей. Настройка контроллера домена и управление безопасностью домена. Групповая политика безопасности домена

Доброго времени суток уважаемые читатели моего блога по информационной безопасности. В прошлых статьях я рассказывал, как поднять в сети организации домен на основе службы каталогов MS Active Directory и как управлять службой каталогов, создавать организационные юниты и пользователей, подключать компьютеры в домен. Сегодня я хочу рассказать о том, как управлять политиками безопасности домена и службы каталогов.

Для управления безопасностью домена и службой каталогов, прежде всего вам необходимо обладать правами администратора домена. Поэтому прежде чем притупить к настройкам создайте для себя учетную запись, если вы еще этого не сделали, и включите ее в группу администраторы домена. Я не рекомендую вам пользоваться учетной записью «Администратор», т.к. она обезличена, и если в вашей сети есть несколько сотрудников, которые отвечают за настройку и безопасность сети желательно для каждого из них создать в домене учетные записи и назначить по возможности разные права в зависимости от выполняемых функций. После того как вы причислили свою учетную запись к администраторам домена, желательно на учетную запись «Администратор» сменить пароль, запечатать его в конверт и отдать руководителю на сохранение. Для добавления или удаления пользователя в любую группу, в том числе и группу «Администраторы домена» необходимо через оснастку «Active Directory — Пользователи и компьютеры», найти нужного пользователя и открыть его свойства. В свойствах есть закладка «Член групп», в которой перечислены группы, в которых состоит пользователь.

Читать еще:  Безопасность контроллера домена

Для добавления пользователя в группу нажмите кнопку «Добавить…», введите имя группы и нажмите кнопку «Проверить имена». Если вы не помните точное имя группы, то можете ввести хотя бы первые символы в названии группы. В результате будет предложено выбрать одну из нескольких найденных групп соответствующих начальным буквам введенного запроса или если будет найдено точное соответствие, то имя группы в строке запроса будет подчеркнута.

После добавления группы пользователю нажмите «Ок»

Добавлять пользователей в группу безопасности можно и по-другому. Найдите в каталоге домена нужную группу, и в ее свойствах откройте вкладку «Члены группы» и нажмите кнопку «Добавить…». Аналогичным образом введите начальные символы в строке запроса, за исключением того что вам нужно вводить уже не имя группы, а сетевое имя пользователя, например p_petrov. Кстати группа «Администраторы домена» по умолчанию входит в группу «Администраторы», и следовательно пользователям данной группы по умолчанию будут представлены все права доступа и управления. Отличие этих групп состоит в том, что группа безопасности «Администраторы» является локальной по отношению к данному домену, в отличии от группы безопасности «Администраторы домена» которая является глобальной, если у вас в сети несколько доменов объеденных в лес. После того как вы добавили себя в группу «Администраторы домена» зайдите на контроллер домена под своей учетной записью для дальнейшего управления службой каталогов.

По умолчанию в новом созданном домене есть уже одна политика безопасности которая применяется ко всему домену. Открыть для редактирования ее можно путем открытия свойств домена и перехода на вкладку «Групповая политика».

Данная политика имеет имя «Default Domain Policy» и распространяет свое действие на весь домен, все его объекты, пользователей, компьютеры, серверы. Обычно в данной групповой политике безопасности определяют такие параметры как аудит событий безопасности, политику паролей, общие права доступа пользователей и другие политики безопасности. Частные политики и настройки касающиеся отдельных процессов и задач решаемых пользователями создаются отдельными групповыми политиками и применяются для отдельных организационных юнитов и даже для отдельных групп пользователей, но об этом по порядку.

Для редактирования данной политики нажмите на данной вкладке кнопку «Изменить». При этом откроется оснастка редактора объекта групповой политики.

Любая групповая политика имеет два раздела — «Конфигурация компьютера» и «Конфигурация пользователя». Отличаются они, кроме составом параметров, еще и тем что политики «Настройка компьютера» применяется к настройкам связанным с настройкой операционной системы и применяется при загрузке операционной системы на компьютере добавленному в домен, еще до момента ввода пользователем пароля и логина. Групповая политика пользователя применяется к настройкам пользователя после прохождения им аутентификации в сети. Таким образом для разных пользователей, даже работающих на одном компьютере могут быть централизовано настроены разные политики. При создании частных политик безопасности для отдельных организационных юнитов в групповой политике компьютера можно, например, определить к каким папкам на компьютере будут иметь доступ пользователи, к какому центру обновлений операционной системы будет подключен данный компьютер, какие программы должны стоять на данном компьютере, и т.п. В групповой политике пользователя обычно настраивают параметры обозревателя Internet Explorer, параметры рабочего стола, разграничивать доступ пользователей к различным ресурсам операционной системы и т.п. Также с помощью групповой политики можно удаленно запускать на компьютере пользователя в момент загрузки операционной системы и аутентификации пользователей различные Java и VB скрипты. Обо всех данных настройках я буду рассказывать в своих последующих статьях, а сейчас давайте рассмотрим поподробней что можно сделать с групповой политикой домена «Default Domain Policy».

Итак, любая политика как я уже говорил, состоит из «Конфигурации компьютера» и «Конфигурации пользователя», которые в свою очередь делятся на три группы — Конфигурация программ, Конфигурация Windows и Административные шаблоны. Конфигурация программ позволяет устанавливать на компьютеры пользователей типовые программы. Данную настройку можно произвести и в данной политике домена, например, настроить установку программного обеспечения которое должно стоять на всех компьютерах пользователей включенных в домен (например, антивирус) но желательно такие настройки все-таки применять к отдельным организационным юнитам, т.к. в домен входят еще и сервера или сторонние компьютеры на которые установка должна проводится выборочно и вручную. Об установке программ на компьютеры пользователей с использованием групповой политики я расскажу в отдельной своей статье. Административные шаблоны в настройках компьютера и пользователя обычно влияют на определенные ветки реестра, влияющие на настройки операционной системы, и применять их на уровне домена также нецелесообразно по той же причине что и установка программ. Оставшаяся политика «Конфигурация Windows» содержит такие настройки как «Параметры безопасности», которые как раз стоит определить на уровне домена. На это есть ряд причин одними из которых является то что некоторые параметры безопасности применяются только на уровне домена (например политика паролей), и то что политика безопасности должна быть одной для всех.

В данных параметрах безопасности, прежде всего, стоит определить политику паролей, блокировки учетных записей, назначение прав пользователя и параметры безопасности.

При двойном щелчке на любом из параметров безопасности открываются его настройки. На вкладке «Описание данного параметра» выводится подробное описание, для чего он служит и на что влияет его включение и отключение.

В таких параметрах безопасности как «Назначение прав пользователя» можно установить права доступа пользователям на определенные виды выполнения задач.

В «Параметрах безопасности» можно настроит общие параметры безопасности компьютера, например, переименовать и отключить системные учетные записи.

Кстати установленные параметры в групповой политике уровня домена можно перекрыть (переопределить) другой политикой, которая применяется к определенному организационному юниту. Например, политику паролей, определенную к домену и соответственно к контроллеру домена, на котором аутентифицируются пользователи, можно переопределить для локальных учетных записей персональных компьютеров пользователей, применив ее к организационному юниту в котором находятся объекты службы каталогов «Компьютеры»

Для того чтобы создать политику необходимо также открыть свойства домена или организационного юнита и перейти на вкладку «Групповая политика». В открывшемся окне можно создать новую, нажав соответствующую кнопку, или выбрать уже существующую, нажав кнопку «Добавить…» и выбрать уже созданную политику в другом организационном юните.

При создании политики, система предложит ввести ее имя. Имена желательно вводить понятными и осмысленными, дабы потом не запутаться в них.

После создания политики можно перейти к ее редактированию путем двойного нажатия кнопкой мышки по ней или нажав кнопку изменить. При этом откроется оснастка редактора только что созданной групповой политики. Стоит отметить, если вы создаете групповую политику для организационного юнита в котором находятся только учетные записи пользователей, то и политику следует настраивать в части «Конфигурация пользователей», и наоборот по отношению к компьютерам.

В заключение сегодняшней статьи хочется сказать о безопасности самой групповой политики безопасности. Открыв свойства групповой политики безопасности, кроме просмотра ее параметров можно изменить параметры безопасности. Основным параметром безопасности, а именно разграничением доступа является, конечно «Чтение» политики и ее применение «Применение групповой политики». По умолчанию политика читается и применяется соответственно всеми кто прошел проверку в домене, т.е. компьютеры, сервера и пользователи, зарегистрированные в домене — встроенный участник безопасности «Прошедшие проверку» в которую входят все объекты службы каталогов.

Это разграничение доступа можно изменить, а именно применение групповой политики безопасности можно ограничить группой компьютеров или группой пользователей. Редактирование политики (запись) по умолчанию разрешено только администраторам. Это правило тоже можно изменить, назначить какого-то отдельно выделенного сотрудника и предоставить ему доступ на запись групповой политики.

На сегодня это все о чем я хотел рассказать. В следующих статьях я постараюсь более подробно останавливаться и рассказывать, на что влияют те или иные параметры групповой политики безопасности.

Ссылка на основную публикацию
Adblock
detector