Поделиться через

Приложение D. Защита встроенных учетных записей администратора в Active Directory

Приложение D. Защита встроенных учетных записей администратора в Active Directory

В каждом домене в Active Directory в рамках создания домена создается учетная запись администратора. Эта учетная запись по умолчанию входит в группы "Администраторы домена" и "Администраторы" в домене. Если домен является корневым доменом леса, учетная запись также входит в группу "Администраторы предприятия".

Использование учетной записи администратора домена должно быть зарезервировано только для начальных действий сборки и, возможно, сценариев аварийного восстановления. Чтобы гарантировать, что учетная запись администратора может быть использована для восстановления в случае, если другие учетные записи не могут использоваться, не следует изменять членство по умолчанию учетной записи администратора в любом домене в лесу. Вместо этого необходимо защитить учетную запись администратора в каждом домене в лесу, как описано в следующем разделе и подробно описано в пошаговые инструкции, приведенные ниже.

Примечание.

Это руководство, используемое для отключения учетной записи. Это было удалено, так как технический документ по восстановлению леса использует учетную запись администратора по умолчанию. Причина заключается в том, что это единственная учетная запись, которая разрешает вход без глобального сервера каталога.

Элементы управления для встроенных учетных записей администратора

Для встроенной учетной записи администратора в каждом домене в лесу необходимо настроить следующие параметры:

  • Включите учетную запись с учетом конфиденциальности и не может быть делегирован флаг в учетной записи.

  • Включить смарт-карту требуется для интерактивного флага входа в учетную запись.

  • Настройте объекты групповой политики, чтобы ограничить использование учетной записи администратора в системах, присоединенных к домену:

    • В одном или нескольких объектах групповой политики, которые вы создаете и связываете с рабочими станциями и подразделениями сервера-участников в каждом домене, добавьте учетную запись администратора каждого домена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Параметры windows\Параметры безопасности\Локальные политики\Назначения прав пользователя":

      • Отказ в доступе к компьютеру из сети

      • Отказ во входе в качестве пакетного задания

      • Отказать во входе в качестве службы

      • Запретить вход в систему через службу удаленных рабочих столов

Примечание.

При добавлении учетных записей в этот параметр необходимо указать, настраиваются ли учетные записи локального администратора или учетные записи администратора домена. Например, чтобы добавить учетную запись администратора домена TAILSPINTOYS в эти права, необходимо ввести учетную запись в качестве TAILSPINTOYS\Administrator или перейти к учетной записи администратора для домена TAILSPINTOYS. Если ввести "Администратор" в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики.

Рекомендуется ограничить учетные записи локального администратора на серверах-членах и рабочих станциях таким же образом, как учетные записи администратора на основе домена. Поэтому обычно следует добавить учетную запись администратора для каждого домена в лесу и учетную запись администратора для локальных компьютеров в эти параметры прав пользователя. На следующем снимках экрана показан пример настройки этих прав пользователя для блокировки учетных записей локального администратора и учетной записи администратора домена от выполнения входа, которые не должны потребоваться для этих учетных записей.

Снимок экрана: назначение прав пользователя.

  • Настройка объектов групповой политики для ограничения учетных записей администратора на контроллерах домена

    • В каждом домене в лесу объект групповой политики контроллеров домена по умолчанию или политика, связанная с подразделением контроллеров домена, должна быть изменена, чтобы добавить учетную запись администратора каждого домена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Параметры безопасности\Локальные политики\Назначения прав пользователя":

      • Отказ в доступе к компьютеру из сети

      • Отказ во входе в качестве пакетного задания

      • Отказать во входе в качестве службы

      • Запретить вход в систему через службу удаленных рабочих столов

Примечание.

Эти параметры гарантируют, что встроенная учетная запись администратора домена не может использоваться для подключения к контроллеру домена, хотя учетная запись может входить локально в контроллеры домена. Так как эта учетная запись должна использоваться только в сценариях аварийного восстановления, предполагается, что физический доступ к одному контроллеру домена будет доступен или что другие учетные записи с разрешениями на доступ к контроллерам домена можно использовать удаленно.

  • Настройка аудита учетных записей администратора

    Если учетная запись администратора каждого домена безопасна, необходимо настроить аудит для отслеживания использования или изменения учетной записи. Если учетная запись вошел в систему, ее пароль сбрасывается или любые другие изменения вносятся в учетную запись, оповещения должны отправляться пользователям или командам, ответственным за администрирование Active Directory, в дополнение к командам реагирования на инциденты в вашей организации.

Пошаговые инструкции по защите встроенных учетных записей администраторов в Active Directory

  1. В диспетчер сервера выберите "Сервис" и выберите Пользователи и компьютеры Active Directory.

  2. Чтобы предотвратить атаки, использующие делегирование для использования учетных данных учетной записи в других системах, выполните следующие действия.

    1. Щелкните правой кнопкой мыши учетную запись администратора и выберите пункт "Свойства".

    2. Перейдите на вкладку Учетная запись.

    3. В разделе "Параметры учетной записи" выберите "Учетная запись конфиденциальной" и не может быть делегирован флаг, как показано на следующем снимке экрана, и нажмите кнопку "ОК".

      Снимок экрана: учетная запись является конфиденциальной и не может быть делегирована.

  3. Чтобы включить смарт-карту для интерактивного флага входа в учетную запись, выполните следующие действия.

    1. Щелкните правой кнопкой мыши учетную запись администратора и выберите пункт "Свойства".

    2. Перейдите на вкладку Учетная запись.

    3. В разделе "Параметры учетной записи " выберите смарт-карту для интерактивного флага входа, как указано на следующем снимке экрана, и нажмите кнопку "ОК".

      Снимок экрана, на котором показан флажок

Настройка объектов групповой политики для ограничения учетных записей администратора на уровне домена

Предупреждение

Этот объект групповой политики никогда не должен быть связан на уровне домена, так как он может сделать встроенную учетную запись администратора неиспользуемой даже в сценариях аварийного восстановления.

  1. В диспетчер сервера выберите "Сервис" и выберите "Управление групповыми политиками".

  2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется создать групповую политику).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и выберите "Создать".

  4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и выберите "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики" и выберите "Назначение прав пользователя".

  7. Настройте права пользователя, чтобы предотвратить доступ учетной записи администратора к серверам и рабочим станциям участников через сеть, выполнив следующие действия.

    1. Дважды выберите "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите "Администратор", выберите " Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Снимок экрана: формат DomainName/Username.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  8. Настройте права пользователя, чтобы предотвратить вход учетной записи администратора в качестве пакетного задания, выполнив следующие действия:

    1. Дважды выберите "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите "Администратор", выберите " Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить вход учетной записи администратора в качестве пакетного задания.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  9. Настройте права пользователя, чтобы предотвратить вход учетной записи администратора в качестве службы, выполнив следующие действия:

    1. Дважды выберите "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите "Администратор", выберите " Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить вход учетной записи администратора в качестве службы.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  10. Настройте права пользователя, чтобы предотвратить доступ учетной записи администратора к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия.

    1. Дважды выберите "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите "Администратор", выберите " Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Снимок экрана, на котором показано, как убедиться, что вы настроили права пользователя, чтобы предотвратить доступ учетной записи BA к серверам-членам и рабочим станциям через службы удаленных рабочих столов.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  11. Чтобы выйти из редактора управления групповыми политиками, выберите файл и нажмите кнопку "Выйти".

  12. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочей станции, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применяться объект групповой политики, и выберите ссылку на существующий объект групповой политики.

    3. Выберите созданный объект групповой политики и нажмите кнопку "ОК".

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

Внимание

При добавлении учетной записи администратора в эти параметры необходимо указать, настраивается ли учетная запись локального администратора или учетная запись администратора домена по меткам учетных записей. Например, чтобы добавить учетную запись администратора домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи администратора для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Administrator. Если ввести "Администратор" в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

Этапы проверки

Описанные здесь действия проверки относятся к Windows 8 и Windows Server 2012.

Убедитесь, что для параметра учетной записи интерактивного входа требуется смарт-карта.
  1. С любого сервера-члена или рабочей станции, затронутой изменениями групповой политики, попытайтесь войти в домен в интерактивном режиме с помощью встроенной учетной записи администратора домена. После попытки входа в систему появится диалоговое окно с сообщением о том, что для входа требуется смарт-карта.
Проверка параметров групповой политики "Запрет доступа к этому компьютеру из сети"

Попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики с сервера-члена или рабочей станции, на которые не влияют изменения групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE , выполнив следующие действия:

  1. Войдите в домен с помощью встроенной учетной записи администратора домена.

  2. Щелкните правой кнопкой мыши подсказку "Пуск" и выберите Windows PowerShell (администратор).

  3. При появлении запроса на утверждение повышения прав нажмите кнопку "Да".

  4. В окне PowerShell введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

  5. Должно появиться сообщение о том, что пользователю не предоставлен запрошенный тип входа.

Проверка параметров групповой политики "Запрет входа в качестве пакетного задания"

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. Выберите подсказку "Пуск " и введите блокнот.

  2. В списке результатов выберите Блокнот.

  3. В Блокноте введите dir c:.

  4. Выберите файл и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите< Имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

  1. Выберите подсказку "Пуск", введите планировщик задач и выберите планировщик задач.

  2. В планировщике задач выберите действие и нажмите кнопку "Создать задачу".

  3. В диалоговом окне "Создание задачи" введите <имя> задачи (где <имя> задачи — имя новой задачи).

  4. Выберите вкладку "Действия " и нажмите кнопку "Создать".

  5. В разделе "Действие:" выберите "Пуск программы".

  6. В разделе "Программа или скрипт": выберите "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл" и нажмите кнопку "Открыть".

  7. Нажмите ОК.

  8. Перейдите на вкладку General.

  9. В разделе "Безопасность " выберите "Изменить пользователя" или "Группа".

  10. Введите имя учетной записи администратора на уровне домена, выберите "Проверить имена" и нажмите кнопку "ОК".

  11. Выберите "Запустить", вошедший или нет, и не хранить пароль. Задача будет иметь доступ только к ресурсам локального компьютера.

  12. Нажмите ОК.

  13. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  14. После ввода учетных данных нажмите кнопку "ОК".

  15. Появится диалоговое окно с сообщением о том, что для задачи требуется учетная запись с правами на выполнение пакетного задания.

Проверка параметров групповой политики "Запрет входа в систему как услуга"

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. Выберите подсказку "Пуск", введите службы и выберите "Службы".

  3. Найдите и дважды выберите "Печатать spooler".

  4. Перейдите на вкладку "Вход".

  5. В разделе "Вход как:" выберите эту учетную запись.

  6. Выберите "Обзор", введите имя учетной записи администратора на уровне домена, выберите "Проверить имена" и нажмите кнопку "ОК".

  7. В разделе "Пароль" и "Подтвердить пароль": введите пароль учетной записи администратора и нажмите кнопку "ОК".

  8. Нажмите кнопку "ОК " еще три раза.

  9. Щелкните правой кнопкой мыши службу "Печатать spooler" и выберите "Перезапустить".

  10. При перезапуске службы диалоговое окно сообщит о том, что не удалось запустить службу spooler печати.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. Выберите подсказку "Пуск", введите службы и выберите "Службы".

  3. Найдите и дважды выберите "Печатать spooler".

  4. Перейдите на вкладку "Вход".

  5. В разделе "Вход как:" выберите учетную запись локальной системы и нажмите кнопку "ОК".

Проверка параметров групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. Выберите "Пуск ", а затем введите подключение к удаленному рабочему столу и выберите "Подключение к удаленному рабочему столу".

  2. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и нажмите кнопку "Подключить". (Можно также ввести IP-адрес вместо имени компьютера.)

  3. При появлении запроса укажите учетные данные для имени учетной записи администратора на уровне домена.

  4. Подключение к удаленному рабочему столу запрещено.