Top Ten biztonsági beállításokat az aktív könyvtár
Active Directory telepítése nem olyan bonyolult. Azonban a telepítés után, meg kell csinálni a sok munkát. Az első szakaszban az Active Directory konfiguráció védelme érdekében szükség van rá. Számos olyan terület van, hogy meg kell figyelni, és a sok beállításokat módosítani kívánt minden, hogy biztosítsa a hálózat. Nézzük meg a kezdeti beállításokat, meg kell kérni, hogy az Active Directory biztonságot nyújt a hálózat, mielőtt belevetik magukat felállítása az egész szerkezetet.
Létrehozhat egy rendszergazda fiókot magadnak
A telepítés után az Active Directory, meg kell tenniük a szükséges lépéseket, hogy megvédje a tulajdon. Nem csak akkor kell védeni az új Active Directory felépítése, akkor létre kell hozni egy olyan világban, melynek segítségével biztonságosan, hogy a beadásra. Ehhez létre kell hozni egy új felhasználói fiókot, hogy fogja használni, hogy kezelje az összes társított Active Directory.
Megjegyzés: Ez azt jelenti, hogy ne használja a beépített rendszergazda fiók beadására Active Directory!
Megjegyzés: Mivel a tagság Domain (Tartománygazdák) rendszergazdák a gyökér domain (első domén az erdőben), akkor lehetősége van hozzáadni vagy eltávolítani a felhasználókat a Sémafelelősök csoport (Sémafelelősök), és a vállalati rendszergazdák (Vállalati rendszergazdák). Tehát nem kell, hogy legyen tagja a csoportnak, amíg nem lesz meg a szükséges műveleteket végeznek, amelyek megkövetelik az ilyen szintű jogokat.
A folyamat létrehozása a felhasználói fiók, meg kell adnia egy hosszú és bonyolult jelszót. Ez segít megvédeni fiókját a hackerek és a hackerek. Ha a jelszó gyenge, akkor nagyon könnyű feltörni a jelszót, és hozzáférhessenek a domainhez.
Szerelése bonyolult és hosszú jelszót a Rendszergazda fiók
- Bárcsak én vezettem egy Porsche 930 Turbo.
- Pizza a legjobb forró olasz kolbászt.
- Nincs jobb, mint a sport NCAA Final Four kosárlabda.
Megjegyezzük, hogy az összes ilyen jelszó nagyon hosszú, és mindegyik használjuk legalább háromféle karakter.
Az átnevezés Rendszergazda fiók az első domén AD
A jelszó megadása politika Default Domain Policy (alapértelmezett tartományi házirend)
Sokat írtak cikkeket, hogyan kell beállítani a jelszót politika a tartományban, hogy csökkentsék a támadási felületet hackerek. Amíg ezeket nem teszi meg, a hálózat sebezhető. Ezért a tartomány politikai alapértelmezésben (Default Domain Policy) házirendbeállításai jelszavakat beállítani az 1. ábrán látható.
Íme néhány magyarázat a beállításokat ezen politikák:
Policy Setting (politikai beállítás)
Minimális érték (minimum érték)
Beállítása fiókzárolás politika (Fiókzárolási Policy) az alapértelmezett tartományi házirend (alapértelmezett tartományi házirend)
Hozzon létre egy fiókzárolás politika régóta vita tárgyát képezi. Voltak két ellentétes oldalán. Az első oldalon bejelentette, hogy a jelszót kell zárni Három sikertelen próbálkozás után a belépéshez. A második oldalon azt állította, hogy a felhasználónak kell gondoskodnia korlátlan számú kísérletet írja be a jelszót, még akkor is, ha nem emlékszik a jelszavára.
Ez a vita meglehetősen egyszerű a természetben, mivel Ez a hátrányai az egyes megközelítés. Ha letilt egy fiókot, miután több sikertelen kísérlet jelszót, a támadó képes blokkolni más fontos számlák, beleértve az informatikai személyzet számlák, főnökeik, stb egy egyszerű script.
A második esetben, ha a felhasználó korlátlan számú kísérletet, hogy adja meg a jelszót, a támadó választhat egy brute force.
A 2. ábra a paramétereket beállítani a fiókzárolás politika (Fiókzárolási Policy).
Létrehozása szervezeti egységek (szervezeti egység) a felhasználói fiókok
Annak érdekében, hogy ellenőrizzék a felhasználói fiókok és a számítógép beállításait, létre kell hoznia egy szervezeti egység (OU) a felhasználói fiókok. Felhasználói fiókok helyezzük egy edénybe alapértelmezés szerint az úgynevezett „Users (felhasználók)”, amely nem köti semmilyen csoportházirend-objektumok (GPO).
Általában nem csak létre kell hozni egy OU a felhasználói fiókokhoz, és hozzon létre egy hierarchiája logikusan felépített OU a felhasználói fiókokhoz. Ez lehetővé teszi, hogy mely GPO beállítások befolyásolják a felhasználói fiókok. OU logikai struktúrák felhasználói fiókok lehetnek az OU:
- Szervezeti egységek, mint HR, IT, pénzügyi menedzsment, stb
- Régiókban, mint az észak-keleti, ázsiai, stb
- Job szerepeket, mint a vezetők, főnökök, tagjai a támogatási osztály.
Hozzon létre egy szervezeti egységet számítógépfiókokat
- Server IIS, az Exchange alkalmazás szerver, stb
- Munkaállomások IT, HR, mobil, stb
Létrehozása GPO, összekapcsolva azt egy új szervezeti egység a számítógép számla
Annak érdekében, hogy a számítógép biztonságát, amikor belépnek a domain, jó lenne, hogy van egy sor biztonsági beállításokat. Ehhez létre kell hozni egy GPO és a link, hogy a szervezeti egység (ek) a számítógép számla, amit most készített. Ezek a beállítások a GPO lehet:
- UAC engedélyezve
- Állítsa vissza a helyi rendszergazda jelszavát
- Ellenőrző tagság a Rendszergazdák csoport
- Controlling névtelen kapcsolatok
- Ellenőrző támogatott hitelesítési protokollok
konfigurálása DNS
A legtöbb vállalat igényel ez a beállítás, de nem mindenkinek. Azonban a legtöbb cég kell, hogy azonnal állítsa be a DNS-t, hogy internet-hozzáférést, hanem hogy megvédje a DNS, amely támogatja AD. Ehhez be kell állítani a DNS, amely támogatja az Active Directory környezetben úgy, hogy át minden olyan kérést, az interneten, egy DNS-szerver, amely támogatja az Internet-hozzáférés. Ehhez a következő beállítások szükségesek:
- Állítsa be az összes tartomány ügyfelei számára a DNS AD
- Állítsa be az AD DNS szerver, hogy adja át a külső DNS-kiszolgáló lekérdezések.
Összes átnevezése rendszergazdai fiókok minden területen
Meg kell átnevezni a Rendszergazda fiók a helyi menedzser Biztonsági fiókok Manager (SAM) az egyes számítógép (szerver és munkaállomás) a tartomány, valamint az egyes új domain ad hozzá az erdőben. Megteheti ezt a segítségével a GPO, a 3. ábrán látható, ami konfiguráció könnyű és hatékony. Megint csak nem menteni egy tapasztalt hacker, de lehetővé teszi egy kicsit, hogy biztosítsa a hálózat.
Miután telepítette és elindította az Active Directory, akkor csak elkezd beállítást. Annak érdekében, hogy van egy biztonságos és stabil Active Directory, el kell végeznie néhány szükséges kiigazításokat annak érdekében, hogy megfelelően működjön és biztonságosan. Meg kell emelni a domain ügyintézés, beleértve a beépített rendszergazdai fiókok és a fiók használható napi irányítását az Active Directory. A szabályozás a számítógépek és a felhasználók a környezetben, akkor be kell állítania a beállításokat, amelyek lehetővé teszik, hogy megvédje a felhasználó jelszavát, és ellenőrzik a számítógépek és a felhasználói fiókok csoportházirend segítségével (Group Policy). Ha követi ezeket a fontos beállításokat, amelyek a biztonságra után az Active Directory telepítés nagyban segíti magát, hogy biztosítsa a biztonságát a hálózat és a cég.