Instalarea Active Directory nu este atât de complicată. Cu toate acestea, după ce îl instalați, trebuie să faceți o mulțime de lucruri. Primul pas al configurației Active Directory este să-l securiziți. Există multe domenii pe care trebuie să le acordați atenție și multe setări pe care trebuie să le schimbați pentru a vă asigura că totul din rețeaua dvs. este în siguranță. Să aruncăm o privire la setările inițiale pe care trebuie să le specificați pentru a face ca Active Directory să fie în siguranță pentru rețeaua dvs., înainte de a vă scufunda în configurația întregii structuri.
Crearea unui cont administrativ pentru dvs.
După instalarea serviciului Active Directory, trebuie să luați măsurile necesare pentru a vă proteja proprietatea. Nu trebuie doar să vă protejați noua structură Active Directory, trebuie să creați o lume prin care să puteți administra în siguranță. Pentru a face acest lucru, trebuie să creați un nou cont de utilizator care va fi utilizat de dvs. pentru a administra tot ce este legat de Active Directory.
Notă: Aceasta înseamnă că nu trebuie să utilizați contul de administrator încorporat pentru a administra Active Directory!
Notă: datorită apartenenței în grupul de administratori de domeniu (Domain Admins) din domeniul rădăcină (primul domeniu din pădure), aveți opțiunea de a adăuga sau de a elimina utilizatori din grupurile Administratori de scheme și Administratori de întreprinderi. Prin urmare, nu este nevoie să fii membru al acestor grupuri până când nu trebuie să faci acțiuni care necesită drepturi la acest nivel.
În procesul de creare a contului dvs. de utilizator, trebuie să specificați o parolă lungă și complexă. Acest lucru va ajuta la protejarea contului de hoți și hackeri. Dacă parola este slabă, va fi foarte ușor să spargeți parola și să obțineți acces la domeniul cu drepturi de administrator.
Setarea unei parole complexe și lungi pentru contul de administrator
- Mi-aș dori să conduc un Porsche 930 Turbo.
- Pizza este cea mai bună cu cârnații italieni fierbinți.
- Nu există un sport mai bun decât baschetul NCAA Final Four.
Rețineți că toate aceste parole sunt foarte lungi și că sunt utilizate cel puțin trei tipuri de caractere.
Redenumirea unui cont de administrator în primul domeniu AD
Stabilirea politicii de parole în politica prestabilită a domeniului
Au fost publicate multe articole despre cum să setați corect politica de parole pentru un domeniu pentru a reduce suprafața atacurilor pentru hackeri. Până când astfel de măsuri nu au fost luate, rețeaua dvs. este vulnerabilă. Prin urmare, în politica implicită de domeniu, setările de politică pentru parole trebuie să fie setate așa cum se arată în Figura 1.
Iată câteva explicații pentru crearea acestor politici:
Stabilirea politicilor
Valoarea minimă
Setarea politicii de blocare a contului în politica implicită a domeniului
Setările politicii de blocare a contului au fost de mult timp subiect de dezbatere. Au existat două laturi opuse. Prima parte a declarat că parola ar trebui blocată după trei încercări nereușite de a intra. Cea de-a doua parte a spus că utilizatorul ar trebui să primească un număr nelimitat de încercări de introducere a parolelor, chiar dacă nu-și amintește deloc parola.
Aceste dezbateri sunt destul de simple, pentru că Există minusuri în fiecare abordare. Dacă blocați un cont după un număr de încercări eșuate de parole, atacatorul poate bloca alte conturi importante, inclusiv conturile de personal IT, sefi, etc. cu un script simplu.
În al doilea caz, atunci când utilizatorul are un număr nelimitat de încercări de a introduce o parolă, un atacator poate ridica parolele prin forță brută.
Figura 2 prezintă setările pentru setarea politicii de blocare a contului.
Crearea unităților organizaționale pentru conturile de utilizator
Pentru a monitoriza conturile de utilizator și setările acestora pe computer, trebuie să creați o unitate organizațională (OU) pentru conturile de utilizator. Conturile de utilizator sunt plasate în mod implicit într-un container denumit "Utilizatori (utilizatori)", care nu pot fi legați de obiecte de politică de grup (GPO).
De obicei, nu trebuie doar să creați o singură OU pentru conturile de utilizator, ci să creați o întreagă ierarhie a UU structurate logic pentru conturile de utilizator. Acest lucru vă va permite să controlați ce setări GPO afectează conturile de utilizator. Structurile OU logice pentru conturile de utilizator pot fi UU pentru:
- Management, cum ar fi resurse umane, IT, management financiar etc.
- Regiuni precum nord-estul, Asia, etc.
- Roluri de lucru, cum ar fi manageri, supervizori, personal de sprijin.
Creați o unitate organizațională pentru conturile de computere
- Servere precum IIS, Exchange, server de aplicații etc.
- Stații de lucru precum IT, resurse umane, mobile etc.
Crearea unui GPO și conectarea acestuia la un OU nou pentru un cont de computer
Pentru a vă asigura că calculatoarele sunt în siguranță atunci când intră în domeniu, ar fi bine să aveți un set de setări de securitate. Pentru a face acest lucru, trebuie să creați un GPO și să îl asociați cu OU (e) pentru contul de computer pe care tocmai l-ați creat. Astfel de setări în GPO pot fi:
- Activarea UAC
- Resetarea parolei administratorului local
- Controlul calității de membru în grupul Administratori
- Monitorizarea conexiunilor anonime
- Controlul protocoalelor de autentificare acceptate
Configurarea DNS
Pentru majoritatea companiilor, această instalare este necesară, dar nu pentru toată lumea. Cu toate acestea, majoritatea companiilor trebuie să configureze imediat DNS-ul pentru a permite accesul la Internet, dar și pentru a proteja DNS pe care îl suportă AD. Pentru aceasta, trebuie să configurați un DNS care să accepte mediul Active Directory, astfel încât să transmită toate solicitările către Internet unui server DNS care acceptă Internetul. Pentru aceasta, aveți nevoie de următoarele setări:
- Configurați toți clienții domeniului să utilizeze DNS AD
- Configurați serverul DNS AD pentru a trimite cereri către serverele DNS externe.
Redenumiți toate conturile de administrator din toate domeniile
Trebuie să redenumiți contul de administrator în managerul Local Manager de Conturi de Securitate (SAM) al fiecărui computer (server și stație de lucru) din domeniu, precum și pentru fiecare domeniu nou pe care îl adăugați în pădure. Puteți face acest lucru folosind GPO prezentat în Figura 3, ceea ce va face configurația simplă și eficientă. Din nou, acest lucru nu vă va salva de la un hacker experimentat, dar vă va permite să vă asigurați puțin rețeaua.
După ce ați instalat și ați pornit serviciul Active Directory, tocmai ați început să configurați. Pentru a vă asigura că aveți un Active Directory stabil și stabil, trebuie să efectuați anumite setări necesare pentru ca totul să funcționeze corect și în siguranță. Trebuie să ridice administrarea domeniului, inclusiv conturile de administrator încorporate și contul care urmează să fie utilizate pentru gestionarea curentă a Active Directory. Pentru a controla utilizatorii și calculatoarele din mediul dvs., trebuie să configurați setări care vă permit să protejeze parola utilizatorului, și să controleze computerele și conturile de utilizator utilizând politica de grup (Group Policy). Dacă urmați aceste setări de securitate importante după instalarea Active Directory, vă veți ajuta foarte mult să vă asigurați rețeaua și compania dvs.
Articole similare
Trimiteți-le prietenilor: