РПЗ (5 вариант), страница 11

Групповые политики безопасности Windows могут противостоять таким действиям, используя набор политик узла «Политика блокировки учетной записи». При помощи данного набора политик, у вас есть возможность ограничения количества некорректных попыток входа пользователя в систему. Разумеется, для ваших пользователей это может быть проблемой, так как не у всех получится ввести пароль за указанное количество попыток, но зато безопасность учетных записей перейдет на «новый уровень». Для этого узла доступны только три политики, которые рассматриваются ниже.

1. Время до сброса счетчиков блокировки. Active Directory и групповые политики позволяют автоматически разблокировать учетную запись, количество попыток входа в которую превышает установленное вами пороговое значение. При помощи этой политики устанавливается количество минут, которые должны пройти после неудачной попытки для автоматической разблокировки. Вы можете установить значение от одной минуты до 99999. Это значение должно быть меньше значения политики «Продолжительность блокировки учетной записи».

2. Пороговое значение блокировки. Используя эту политику, вы можете указать количество некорректных попыток входа, после чего учетная запись будет заблокирована. Окончание периода блокировки учетной записи задается политикой «Продолжительность блокировки учетной записи» или администратор может разблокировать учетную запись вручную. Количество неудачных попыток входа может варьироваться от 0 до 999. Я рекомендую устанавливать допустимое количество от трех до семи попыток.

3. Продолжительность блокировки учетной записи. При помощи этого параметра вы можете указать время, в течение которого учетная запись будет заблокирована до ее автоматической разблокировки. Вы можете установить значение от 0 до 99999 минут. В том случае, если значение этой политики будет равно 0, учетная запись будет заблокирована до тех пор, пока администратор не разблокирует ее вручную.

1. Политика Kerberos

В доменах Active Directory для проверки подлинности учетных записей пользователей и компьютеров домена используется протокол Kerberos. Сразу после аутентификации пользователя или компьютера, этот протокол проверяет подлинность указанных реквизитов, а затем выдает особый пакет данных, который называется «Билет предоставления билета (TGT – Ticket Granting Ticket)». Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности Kerberos. После этого контроллер домена передает пользователю еще один пакет данных, называемый билетом доступа к службе. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

Данный узел вы можете обнаружить только на контроллерах домена. Доступны следующие пять политик безопасности:

1. Максимальная погрешность синхронизации часов компьютера. Для предотвращения «атак повторной передачи пакетов» существует текущая политика безопасности, которая определяет максимальную разность времени, допускающую Kerberos между временем клиента и временем на контроллере домена для обеспечения проверки подлинности. В случае установки данной политики, на обоих часах должны быть установлены одинаковые дата и время. Подлинной считается та отметка времени, которая используется на обоих компьютерах, если разница между часами клиентского компьютера и контроллера домена меньше максимальной разницы времени, определенной этой политикой.

2. Максимальный срок жизни билета пользователя. При помощи текущей политики вы можете указать максимальный интервал времени, в течение которого может быть использован билет представления билета (TGT). По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.

3. Максимальный срок жизни билета службы. Используя эту политику безопасности, сервер будет выдавать сообщение об ошибке в том случае, если клиент, запрашивающий подключение к серверу, предъявляет просроченный билет сеанса. Вы можете определить максимальное количество минут, в течение которого полученный билет сеанса разрешается использовать для доступа к конкретной службе. Билеты сеансов применяются только для проверки подлинности на новых подключениях к серверам. После того как подключение пройдет проверку подлинности, срок действия билета теряет смысл.

4. Максимальный срок жизни для возобновления билета пользователя. С помощью данной политики вы можете установить количество дней, в течение которых может быть восстановлен билет предоставления билета.

5. Принудительные ограничения входа пользователей. Эта политика позволяет определить, должен ли центр распределения ключей Kerberos проверять каждый запрос билета сеанса на соответствие политике прав, действующей для учетных записей пользователей.

1. Политики назначения прав пользователей

Для назначения прав пользователей существует 44 политики безопасности. Далее вы сможете ознакомиться с восемнадцатью политиками безопасности, которые отвечают за назначение различных прав для пользователей или групп вашей организации.

1. Архивация файлов и каталогов. При помощи данной политики вы можете указать пользователей или группы, предназначенные для выполнения операций резервного копирования файлов, каталогов, разделов реестра и других объектов, которые подлежат архивации. Данная политика предоставляет доступ для следующих разрешений:

1. Обзор папок/Выполнение файлов

2. Содержимое папки/Чтение данных

3. Чтение атрибутов

4. Чтение расширенных атрибутов

5. Чтение разрешений

На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», а на контроллерах домена – «Операторы архивации» и «Операторы сервера».

1. Блокировка страниц в памяти. Используя эту политику безопасности, вы можете указать конкретных пользователей или группы, которым разрешается использовать процессы для сохранения данных в физической памяти для предотвращения сброса данных в виртуальную память на диске.

По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.

1. Восстановление файлов и каталогов. Эта политика позволяет вам указывать пользователей и группы, которые могут выполнять восстановление файлов и каталогов, в обход блокировке файлов, каталогов, разделов реестра и прочих объектов, расположенных в архивных версиях файлов.

На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», а на контроллерах домена – «Операторы архивации» и «Операторы сервера».

1. Вход в качестве пакетного задания. При создании задания, используя планировщик заданий, операционная система регистрирует пользователя в системе как пользователя с пакетным входом. Данная политика разрешает группе или определенному пользователю входить в систему при помощи такого метода.

По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются группам «Администраторы» и «Операторы архивации».

1. Вход в качестве службы. Некоторые системные службы осуществляют вход в операционную систему под разными учетными записями. Например, служба «Windows Audio» запускается под учетной записью «Локальная служба», служба «Телефония» использует учетную запись «Сетевая служба». Данная политика безопасности определяет, какие учетные записи служб могут зарегистрировать процесс в качестве службы.

По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.

1. Выполнение задач по обслуживанию томов. Используя эту политику, вы можете указать пользователей или группы, участники которых могут выполнять операции, предназначенные для обслуживания томов. У пользователей, обладающих такими привилегиями, есть права на чтение и изменение запрошенных данных после открытия дополнительных файлов, они также могут просматривать диски и добавлять файлы в память, занятую другими данными.

По умолчанию, такими правами обладают только администраторы рабочих станций и контроллеров домена.

1. Добавление рабочих станций к домену. Эта политика отвечает за разрешение пользователям или группам добавлять компьютеры в домен Active Directory. Пользователь, обладающий данными привилегиями, может добавить в домен до десяти компьютеров.

По умолчанию, все пользователи, прошедшие проверку подлинности, на контроллерах домена могут добавлять до десяти компьютеров.

1. Доступ к диспетчеру учетных данных от имени доверенного вызывающего. Диспетчер учетных данных – это компонент, который предназначен для хранения учетных данных, таких как имена пользователей и пароли, используемых для входа на веб-сайты или другие компьютеры в сети. Эта политика используется диспетчером учетных данных в ходе архивации и восстановления, и ее не желательно предоставлять пользователям.

По умолчанию, как на рабочих станциях, так и на серверах, ни у одной группы нет на это разрешений.

1. Доступ к компьютеру из сети. Данная политика безопасности отвечает за разрешение подключения к компьютеру по сети указанным пользователям или группам.

На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Операторы архивации», «Пользователи» и «Все». На контроллерах домена – «Администраторы», «Проверенные пользователи», «Контроллеры домена предприятия» и «Все».

1. Завершение работы системы. Используя этот параметр политики, вы можете составить список пользователей, которые имеют право на использование команды «Завершение работы» после удачного входа в систему.

На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы», «Операторы архивации» и «Пользователи» (только на рабочих станциях), а на контроллерах домена – «Администраторы», «Операторы архивации», «Операторы сервера» и «Операторы печати».

1. Загрузка и выгрузка драйверов устройств. При помощи текущей политики вы можете указать пользователей, которым будут предоставлены права на динамическую загрузку и выгрузку драйверов устройств в режиме ядра, причем эта политика не распространяется на PnP-устройства.

На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы», а на контроллерах домена – «Администраторы» и «Операторы печати».

1. Замена маркера уровня процесса. Используя данную политику безопасности, вы можете ограничить пользователей или группу от использования API-функции CreateProcessAsUser для того, чтобы одна служба могла запускать другую функцию, процесс или службу. Стоит обратить внимание на то, что такое приложение как «Планировщик заданий» для своей работы использует данные привилегии.

По умолчанию, как на рабочих станциях, так и на контроллерах домена, данные привилегии предоставляются учетным записям «Сетевая служба» и «Локальная служба».

1. Запретить вход в систему через службу удаленных рабочих столов. При помощи данной политики безопасности вы можете ограничить пользователей или группы от входа в систему в качестве клиента удаленных рабочих столов.

По умолчанию, как на рабочих станциях, так и на серверах, всем разрешено входить в систему как клиенту удаленных рабочих столов.

1. Запретить локальный вход. Данная политика запрещает отдельным пользователям или группам выполнять вход в систему.

По умолчанию всем пользователям разрешен вход в систему.

1. Изменение метки объектов. Благодаря данной политике назначения прав, вы можете предоставить возможность указанным пользователям или группам изменять метки целостности объектов других пользователей, таких как файлы, разделы реестра или процессы.

По умолчанию никому не разрешено изменять метки объектов.

1. Изменение параметров среды изготовителя. Используя эту политику безопасности, вы можете указать пользователей или группы, которым будет доступна возможность чтения переменных аппаратной среды. Переменные аппаратной среды - это параметры, сохраняемые в энергонезависимой памяти компьютеров, архитектура которых отлична от x86.

На рабочих станциях и контроллерах домена, по умолчанию данные привилегии предоставляются группам «Администраторы».

1. Изменение системного времени. Эта политика отвечает за изменение системного времени. Предоставив данное право пользователям или группам, вы тем самым кроме разрешения изменения даты и времени внутренних часов позволите им изменять соответствующее время отслеживаемых событий в оснастке «Просмотр событий».

На рабочих станциях и серверах данные привилегии предоставляются группам «Администраторы» и «Локальная служба», а на контроллерах домена – «Администраторы», «Операторы сервера» и «Локальная служба».

1. Изменение часового пояса. При помощи текущей политики безопасности, вы можете указать пользователей или группы, которым разрешено изменять часовой пояс своего компьютера для отображения местного времени, которое представляет собой сумму системного времени компьютера и смещения часового пояса.

На рабочих станциях и контроллерах домена по умолчанию данные привилегии предоставляются группам «Администраторы» и «Пользователи».

1. Группы с ограниченным доступом

При помощи локальных политик безопасности и политик «Группы с ограниченным доступом» в частности, вы можете указать два свойства, определяющие членов данной группы, а также членства в группах для конкретной группы безопасности. Данная политика безопасности имеет особенную ценность для организаций, в которых присуща сложная иерархия групп безопасности. Как известно, группы – это важный класс объектов, поскольку они служат для единого управления коллекциями пользователей, компьютеров и других групп. Несмотря на то, что данные политики безопасности очень похожи на возможности функционала оснастки «Active Directory: Локальные пользователи и компьютеры», я рекомендую не игнорировать использование данных политик. В связи с тем, что на первый взгляд свойства «Члены группы» и «Член групп» очень похожи, между ними имеются существенные отличия.

Параметр «Член групп» указывает принадлежность данной группы к еще одной группе. Применение этого параметра гарантирует членство определяемой вами группы в указанной локальной группе. В том случае, если вы настроили локальные политики безопасности в нескольких объектах групповых политик, то для выбранных групп будет применяться каждый параметр членства группы. Например, если вы определили для группы «Отдел разработки», что пользователи данной группы являются членами группы «Разработчики», а второй объект, который привязан к дочернему подразделению, указывает что группа «Отдел тестирования» также является членом группы «Разработчики», то, в конечном счете, обе группы будут принадлежать к группе «Разработчики».