Рисунок 1Здесь некоторые пояснения для настройки этих политик:Policy Setting (настройка политики)Minimum Value (минимальное значение)Secure value (безопасное значение)Min Password Age (минимальный возраст пароля)11Max Password Age (максимальный возраст пароля)18045Min Password Length (минимальная длина пароля)814+Password Complexity (сложность пароля)Enabled (включено)Enabled (включено)Установка политики блокировки учетной записи (Account Lockout Policy) в политике домена по умолчанию (Default Domain Policy)Настройки политики блокировки учетной записи в течение долгого времени являлись предметом дебатов. Возникли две противоборствующие стороны. Первая сторона заявляла, что пароль должен быть заблокирован после трех неудачных попыток ввода. Вторая сторона заявляла, что пользователю необходимо предоставить неограниченное количество попыток ввода паролей, даже если они вовсе не помнят свой пароль.Эти дебаты достаточно просты по свой природе, т.к. свои минусы есть в каждом подходе. Если блокировать учетную запись после нескольких неудачных попыток ввода пароля, то злоумышленник может заблокировать другие важные учетные записи, включая учетные записи сотрудников IT, начальников и т.п. с помощью простого сценария.Во втором случае, когда у пользователя есть неограниченное количество попыток ввода пароля, злоумышленник может подобрать пароли методом перебора.Лично я считаю, что лучше и более безопасно предоставить пользователю неограниченное количество попыток ввода пароля. Если вы соблюдаете ограничения на сложность и длину пароля, то будет почти невозможно подобрать ваш пароль. Поэтому я предлагаю предоставить около 100 попыток ввода пароля, прежде чем учетная запись будет заблокирована.На рисунке 2 показаны параметры для настройки политики блокировки учетной записи (Account Lockout Policy).
Рисунок 2Создание организационных единиц (Organizational Unit) для учетных записей пользователей Для того чтобы контролировать учетные записи пользователей и их настройки на компьютере, вы должны создать организационную единицу (OU) для учетных записей пользователей. Учетные записи пользователей по умолчанию размещаются в контейнере под названием 'Users (пользователи)', с которым нельзя связать никакие объекты политики группы (GPO).Обычно вам не только понадобиться создать единую OU для учетных записей пользователей, а создать целую иерархию логически структурированных OU для учетных записей пользователей. Это позволит вам контролировать то, какие настройки GPO влияют на какие учетные записи пользователей. Логическими структурами OU для учетных записей пользователей могут быть OU для:Управлений, таких как HR, IT, финансовое управление и т.п. Регионов, таких как северо-восток, Азия и т.п. Рабочих ролей, таких как менеджеры, начальники, сотрудники отдела поддержки. Создание организационной единицы для учетных записей компьютеров Вы также захотите создать OU для учетных записей компьютеров, по тем же самым причинам, что и для учетных записей пользователей. Здесь вам необходимо выделить различные типы компьютеров, которые могут попадать в такие различные категории:Сервера, как IIS, Exchange, сервера приложений и т.п. Рабочие станции, как IT, HR, мобильные и т.п. Создание GPO и его привязка к новой OU для учетной записи компьютера Чтобы убедиться, что компьютеры в безопасности, когда они попадают в домен, неплохо было бы иметь набор настроек для безопасности. Для этого вы должны создать GPO и связать его с OU(s) для учетной записи компьютера, которую вы только что создали. Такими настройками в GPO могут быть:Включение UAC Сброс пароля локального администратора Контроль членства в группе администраторов Контроль анонимных подключений Контроль поддерживаемых протоколов аутентификации Настройка DNS Для большинства компаний нужна данная установка, но не для всех. Однако, большинству компаний необходимо немедленно настроить свой DNS, чтобы разрешить доступ в Интернет, но также защитить DNS, который поддерживает AD. Для этого вы должны настроить DNS, который поддерживает среду Active Directory таким образом, чтобы он передавал все запросы к Интернет на сервер DNS, который поддерживает интернет. Для этого нужны следующие настройки:Настроить всех клиентов домена на использование DNS AD Настроить сервера DNS AD на передачу запросов на внешние сервера DNS. Переименование всех учетных записей администраторов во всех доменах Вы должны переименовать учетную запись администратора в локальном менеджере Security Accounts Manager (SAM) каждого компьютера (сервера и рабочей станции) в домене, а также для каждого нового домена, который вы добавляете в лес. Вы можете сделать это с помощью GPO, изображенной на рисунке 3, который сделает конфигурацию простой и эффективной. И снова это не убережет вас от опытного хакера, но позволит немного обезопасить вашу сеть.
Рисунок 3РезюмеПосле того, как вы установили и запустили Active Directory, вы лишь приступаете к настройке. Чтобы убедиться, что у вас безопасная и стабильная Active Directory, вы должны выполнить некоторые необходимые настройки, чтобы все работало правильно и безопасно. Вы должны затронуть администрирование домена, включая встроенную учетную запись администратора и учетные записи, которые будут использоваться для повседневного управления Active Directory. Для контроля пользователей и компьютеров в среде вы должны выполнить настройки, которые позволяют вам защитить пароль пользователя, а также контролировать компьютеры и учетные записи пользователей с помощью политик групп (Group Policy). Если вы выполните эти важные настройки, касающиеся безопасности после установки Active Directory, то вы сильно себе поможете в обеспечении безопасности вашей сети и вашей компании.
Автор: Дерек Мелбер