Приложение З. Защита учетных записей и групп локальных администраторов

Приложение З. Защита учетных записей и групп локальных администраторов

Во всех версиях Windows в настоящее время в основной поддержке учетная запись локального администратора отключена по умолчанию, что делает учетную запись непригодной для передачи хэша и других атак кражи учетных данных. Однако в средах, содержащих устаревшие операционные системы или в которых включены учетные записи локального администратора, эти учетные записи можно использовать как описано ранее для распространения компрометации на серверах-членах и рабочих станциях. Каждая учетная запись локального администратора и группа должны быть защищены, как описано в пошаговые инструкции, приведенные ниже.

Подробные сведения о защите встроенных групп администраторов (BA) см. в разделе "Реализация административных моделей с наименьшими привилегиями".

Элементы управления для учетных записей локального администратора

Для учетной записи локального администратора в каждом домене в лесу необходимо настроить следующие параметры:

• Настройка объектов групповой политики для ограничения использования учетной записи администратора домена в системах, присоединенных к домену

  • В одном или нескольких объектах групповой политики, которые вы создаете и связываете с рабочими станциями и подразделениями сервера в каждом домене, добавьте учетную запись администратора в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначения прав пользователей:

    • Отказ в доступе к компьютеру из сети

    • Отказ во входе в качестве пакетного задания

    • Отказать во входе в качестве службы

    • Запретить вход в систему через службу удаленных рабочих столов

Пошаговые инструкции по защите групп локальных администраторов

Настройка объектов групповой политики для ограничения учетной записи администратора в системах, присоединенных к домену

1. В диспетчер сервера щелкните "Сервис" и щелкните "Управление групповыми политиками".

2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором нужно задать групповую политику).

3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и нажмите кнопку "Создать".

   

4. В диалоговом окне "Создать объект групповой политики" введите< имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

   

5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и нажмите кнопку "Изменить".

6. Перейдите к разделу "Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики" и щелкните "Назначение прав пользователя".

   

7. Настройте права пользователя, чтобы предотвратить доступ учетной записи локального администратора к серверам и рабочим станциям участников через сеть, выполнив следующие действия.

   1. Дважды щелкните "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя или группу", введите имя пользователя локальной учетной записи администратора и нажмите кнопку "ОК". Это имя пользователя будет администратором, по умолчанию при установке Windows.

      

   3. Щелкните OK.

      Внимание

      При добавлении учетной записи администратора в эти параметры необходимо указать, настраивается ли учетная запись локального администратора или учетная запись администратора домена по меткам учетных записей. Например, чтобы добавить учетную запись администратора домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи администратора для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Administrator. Если вы вводите администратора в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

8. Настройте права пользователя, чтобы предотвратить вход учетной записи локального администратора в качестве пакетного задания, выполнив следующие действия:

   1. Дважды щелкните "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя или группу", введите имя пользователя локальной учетной записи администратора и нажмите кнопку "ОК". Это имя пользователя будет администратором, по умолчанию при установке Windows.

      

   3. Щелкните OK.

      Внимание

      При добавлении учетной записи администратора в эти параметры укажите, настраиваете ли учетную запись локального администратора или учетную запись администратора домена по меткам учетных записей. Например, чтобы добавить учетную запись администратора домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи администратора для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Administrator. Если вы вводите администратора в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

9. Настройте права пользователя, чтобы предотвратить вход учетной записи локального администратора в качестве службы, выполнив следующие действия.

   1. Дважды щелкните "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

   2. Нажмите кнопку "Добавить пользователя или группу", введите имя пользователя локальной учетной записи администратора и нажмите кнопку "ОК". Это имя пользователя будет администратором, по умолчанию при установке Windows.

      

   3. Щелкните OK.

      Внимание

      При добавлении учетной записи администратора в эти параметры укажите, настраиваете ли учетную запись локального администратора или учетную запись администратора домена по меткам учетных записей. Например, чтобы добавить учетную запись администратора домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи администратора для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Administrator. Если вы вводите администратора в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

10. Настройте права пользователя, чтобы предотвратить доступ учетной записи локального администратора к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия:

    1. Дважды щелкните "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Нажмите кнопку "Добавить пользователя или группу", введите имя пользователя локальной учетной записи администратора и нажмите кнопку "ОК". Это имя пользователя будет администратором, по умолчанию при установке Windows.

       

    3. Щелкните OK.

       Внимание

       При добавлении учетной записи администратора в эти параметры укажите, настраиваете ли учетную запись локального администратора или учетную запись администратора домена по меткам учетных записей. Например, чтобы добавить учетную запись администратора домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи администратора для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Administrator. Если вы вводите администратора в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

11. Чтобы выйти из редактора управления групповыми политиками, нажмите кнопку "Файл" и нажмите кнопку " Выйти".

12. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочих станций, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применен объект групповой политики, и щелкните ссылку на существующий объект групповой политики.

       

    3. Выберите созданный объект групповой политики и нажмите кнопку "ОК".

       

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

Этапы проверки

Проверка параметров групповой политики "Запрет доступа к этому компьютеру из сети"

На любом сервере-члене или рабочей станции, не затронутых изменениями групповой политики (например, сервером перехода), попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE .

1. Войдите локально на любой сервер-член или рабочую станцию, не затронутые изменениями групповой политики.

2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

3. В поле поиска введите командную строку правой кнопкой мыши и нажмите кнопку "Запустить от имени администратора", чтобы открыть командную строку с повышенными привилегиями.

4. Когда появится запрос на утверждение повышения прав, нажмите кнопку "Да".

   

5. В окне командной строки введите net use \\<Server Name>\c$ /user:<Server Name>\Administrator<имя сервера-члена> или рабочей станции, к которой вы пытаетесь получить доступ через сеть.

   Примечание.

   Учетные данные локального администратора должны находиться в той же системе, к которую вы пытаетесь получить доступ через сеть.

6. На следующем снимка экрана показано сообщение об ошибке, которое должно появиться.

   

Проверка параметров групповой политики "Запрет входа в качестве пакетного задания"

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

2. В поле поиска введите блокнот и нажмите кнопку "Блокнот".

3. В Блокноте введите dir c:.

4. Нажмите кнопку " Файл" и нажмите кнопку "Сохранить как".

5. В поле "Имя файла" введите <Filename>.bat (где <имя файла> — имя нового пакетного файла).

Планирование задачи

1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

2. В поле поиска введите планировщик задач и нажмите кнопку "Планировщик задач".

   Примечание.

   На компьютерах под управлением Windows 8 в поле поиска введите задачи расписания и щелкните "Расписание задач".

3. Нажмите кнопку " Действие" и нажмите кнопку "Создать задачу".

4. В диалоговом окне "Создание задачи" введите< имя> задачи (где <имя> задачи — имя новой задачи).

5. Перейдите на вкладку "Действия " и нажмите кнопку "Создать".

6. В поле "Действие" нажмите кнопку "Пуск программы".

7. В поле "Программа или скрипт" нажмите кнопку "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл" и нажмите кнопку "Открыть".

8. Щелкните OK.

9. Перейдите на вкладку Общие.

10. В поле "Параметры безопасности" нажмите кнопку "Изменить пользователя" или "Группа".

11. Введите имя локальной учетной записи администратора системы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

12. Выберите "Запустить", вошедший или нет, и не хранить пароль. Задача будет иметь доступ только к ресурсам локального компьютера.

13. Щелкните OK.

14. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

15. После ввода учетных данных нажмите кнопку "ОК".

16. Появится диалоговое окно, аналогичное приведенному ниже.

    

Проверка параметров групповой политики "Запрет входа в систему как услуга"

1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

3. В поле поиска введите службы и щелкните "Службы".

4. Найдите и дважды щелкните "Печатать spooler".

5. Откройте вкладку Вход.

6. В разделе "Вход в качестве поля" щелкните "Эта учетная запись".

7. Нажмите кнопку "Обзор", введите учетную запись локального администратора системы, нажмите кнопку "Проверить имена" и нажмите кнопку "ОК".

8. В полях "Пароль" и "Подтверждение пароля" введите пароль выбранной учетной записи и нажмите кнопку "ОК".

9. Нажмите кнопку "ОК " еще три раза.

10. Щелкните правой кнопкой мыши "Печатать spooler" и нажмите кнопку "Перезапустить".

11. При перезапуске службы появится диалоговое окно, аналогичное приведенному ниже.

    

Восстановление изменений в службе spooler принтера

1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

2. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

3. В поле поиска введите службы и щелкните "Службы".

4. Найдите и дважды щелкните "Печатать spooler".

5. Откройте вкладку Вход.

6. В поле "Вход как", выберите "Локальная системная учетная запись" и нажмите кнопку "ОК".

Проверка параметров групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

1. С помощью мыши переместите указатель в правый верхний или правый нижний угол экрана. Когда появится панель "Шармы", нажмите кнопку "Поиск".

2. В поле поиска введите подключение к удаленному рабочему столу и нажмите кнопку "Подключение к удаленному рабочему столу".

3. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и нажмите кнопку "Подключить". (Можно также ввести IP-адрес вместо имени компьютера.)

4. При появлении запроса укажите учетные данные для учетной записи локального администратора системы.

5. Появится диалоговое окно, аналогичное приведенному ниже.