Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Operační systémy Windows Server se instalují s výchozími místními účty. Kromě toho můžete vytvářet uživatelské účty, které splňují požadavky vaší organizace.
Tento referenční článek popisuje výchozí místní účty Windows Serveru uložené místně na řadiči domény a používané ve službě Active Directory. Nepopisuje výchozí místní uživatelské účty pro člena, samostatný server ani klienta Windows. Další informace najdete v tématu Místní účty.
Výchozí místní účty ve službě Active Directory
Výchozí místní účty jsou předdefinované účty, které se vytvoří automaticky při instalaci řadiče domény Windows Serveru a vytvoří se doména. Tyto výchozí místní účty mají protějšky ve službě Active Directory. Mají také přístup pro celou doménu a jsou zcela oddělené od výchozích místních uživatelských účtů pro člena nebo samostatný server.
Můžete přiřadit práva a oprávnění k výchozím místním účtům na konkrétním řadiči domény a pouze na daném řadiči domény. Tyto účty jsou místní pro doménu. Po instalaci výchozích místních účtů jsou uloženy v kontejneru Uživatelé ve službě Uživatelé a počítače služby Active Directory. Osvědčeným postupem je zachovat výchozí místní účty v kontejneru Uživatele a nepokoušejte se tyto účty přesunout do jiné organizační jednotky (OU).
Mezi výchozí místní účty v kontejneru Users patří: Správce, Host a KRBTGT. Účet HelpAssistant se nainstaluje při navázání relace vzdálené pomoci. Následující části popisují výchozí místní účty a jejich použití ve službě Active Directory.
Výchozí místní účty provádějí následující akce:
Nechte doménu reprezentovat, identifikovat a ověřit identitu uživatele, který je přiřazen k účtu pomocí jedinečných přihlašovacích údajů (uživatelské jméno a heslo). Osvědčeným postupem je přiřadit každého uživatele k jednomu účtu, aby se zajistilo maximální zabezpečení. Jeden účet nesmí sdílet více uživatelů. Uživatelský účet umožňuje uživateli přihlásit se k počítačům, sítím a doménám pomocí jedinečného identifikátoru, který může ověřit počítač, síť nebo doména.
Autorizovat (udělit nebo odepřít) přístup k prostředkům Po ověření přihlašovacích údajů uživatele má uživatel oprávnění pro přístup k síti a prostředky domény na základě explicitně přiřazených práv uživatele k prostředku.
Auditujte akce prováděné na uživatelských účtech.
Ve službě Active Directory používají správci výchozí místní účty ke správě doménových a členských serverů přímo a z vyhrazených pracovních stanic pro správu. Účty služby Active Directory poskytují přístup k síťovým prostředkům. Uživatelské účty služby Active Directory a účty počítače můžou představovat fyzickou entitu, například počítač nebo osobu, nebo pro některé aplikace fungovat jako vyhrazené účty služeb.
Každému výchozímu místnímu účtu se automaticky přiřadí skupina zabezpečení, která je předem nakonfigurovaná s příslušnými právy a oprávněními k provádění konkrétních úloh. Skupiny zabezpečení služby Active Directory shromažďují uživatelské účty, účty počítačů a další skupiny do spravovatelných jednotek. Další informace najdete v tématu Skupiny zabezpečení služby Active Directory.
Na řadiči domény služby Active Directory se každý výchozí místní účet označuje jako objekt zabezpečení. Objekt zabezpečení je objekt adresáře, který slouží k zabezpečení a správě služeb Active Directory, které poskytují přístup k prostředkům řadiče domény. Objekt zabezpečení zahrnuje objekty, jako jsou uživatelské účty, účty počítačů, skupiny zabezpečení nebo vlákna nebo procesy spuštěné v kontextu zabezpečení uživatelského nebo počítačového účtu. Další informace naleznete v tématu Objekty zabezpečení.
Objekt zabezpečení je reprezentován jedinečným identifikátorem zabezpečení (SID). Identifikátory SID, které souvisejí s jednotlivými výchozími místními účty ve službě Active Directory, jsou popsány v dalších částech.
Některé z výchozích místních účtů jsou chráněny procesem na pozadí, který pravidelně kontroluje a používá konkrétní popisovač zabezpečení. Popisovač zabezpečení je datová struktura, která obsahuje informace o zabezpečení přidružené k chráněnému objektu. Tento proces zajistí, že všechny úspěšné neoprávněné pokusy o úpravu popisovače zabezpečení v jednom z výchozích místních účtů nebo skupin budou přepsány chráněnými nastaveními.
Tento popisovač zabezpečení se nachází v objektu AdminSDHolder. Pokud chcete upravit oprávnění pro některou ze skupin správců služeb nebo u některého z jejích členských účtů, musíte upravit popisovač zabezpečení u objektu AdminSDHolder, aby se zajistilo, že se používá konzistentně. Při provádění těchto úprav buďte opatrní, protože také měníte výchozí nastavení, která se použijí u všech vašich chráněných účtů.
Účet správce
Účet správce je výchozí účet, který se používá ve všech verzích operačního systému Windows na všech počítačích a zařízeních. Účet správce používá správce systému pro úlohy, které vyžadují přihlašovací údaje správce. Tento účet nejde odstranit ani uzamknout, ale účet je možné přejmenovat nebo zakázat.
Účet správce poskytuje uživateli úplný přístup (oprávnění úplné řízení) souborů, adresářů, služeb a dalších prostředků, které jsou na místním serveru. Účet správce lze použít k vytvoření místních uživatelů a k přiřazení uživatelských práv a oprávnění řízení přístupu. Účet lze také použít k převzetí kontroly nad místními prostředky kdykoli jednoduše změnou uživatelských práv a oprávnění. Přestože soubory a adresáře lze dočasně chránit z účtu správce, může účet kdykoli převzít kontrolu nad těmito prostředky změnou přístupových oprávnění.
Členství ve skupině účtů
Účet správce má členství ve výchozích skupinách zabezpečení, jak je popsáno v tabulce atributů účtu správce dále v tomto článku.
Skupiny zabezpečení zajišťují, že můžete řídit práva správce, aniž byste museli měnit každý účet správce. Ve většině případů nemusíte měnit základní nastavení tohoto účtu. Možná ale budete muset změnit jeho upřesňující nastavení, například členství v konkrétních skupinách.
Bezpečnostní aspekty
Po instalaci serverového operačního systému je vaším prvním úkolem bezpečně nastavit vlastnosti účtu správce. To zahrnuje nastavení zvlášť dlouhého, silného hesla a zabezpečení nastavení profilu pro vzdálené ovládání a vzdálenou plochu.
Účet správce je také možné zakázat, když se nevyžaduje. Přejmenování nebo zakázání účtu správce znesnadňuje uživatelům se zlými úmysly získat přístup k účtu. I když je však účet správce zakázaný, můžete ho použít k získání přístupu k řadiči domény pomocí nouzového režimu.
Na řadiči domény se účet Správce stane účtem Správce domény. Účet Správce domény slouží k přihlášení k řadiči domény a tento účet vyžaduje silné heslo. Účet Správce domény vám poskytuje přístup k prostředkům domény.
Poznámka:
Po počáteční instalaci řadiče domény se můžete přihlásit a použít Správce serveru k nastavení místního účtu správce s právy a oprávněními, která chcete přiřadit. Můžete například použít místní účet správce ke správě operačního systému při první instalaci. Pomocí tohoto přístupu můžete nastavit operační systém bez uzamčení. Obecně platí, že po instalaci nemusíte účet používat. Místní uživatelské účty můžete vytvořit na řadiči domény pouze před instalací služby Active Directory Domain Services, nikoli potom.
Když je služba Active Directory nainstalovaná na prvním řadiči domény v doméně, vytvoří se pro službu Active Directory účet správce. Účet správce je nejvýkonnější účet v doméně. Má udělená přístupová práva pro celou doménu a oprávnění správce ke správě počítače a domény a má pro doménu nejrozsáhlejší práva a oprávnění. Osoba, která na počítač nainstaluje službu Active Directory Domain Services, vytvoří heslo pro tento účet během instalace.
Atributy účtu správce
| Vlastnost | Hodnota |
|---|---|
| Dobře známý identifikátor SID/RID | S-1-5-<domain>-500 |
| Typ | Uživatel |
| Výchozí kontejner | CN=Users, DC=<domain>, DC= |
| Výchozí členové | není k dispozici |
| Výchozí člen | Administrátoři, Správci domény, Podnikoví administrátoři, Doménoví uživatelé (ID primární skupiny všech uživatelských účtů je Doménoví uživatelé) Vlastníci zásad skupiny a správci schématu ve skupině Uživatelé domény služby Active Directory |
| Chráněno správcem? | Ano |
| Je bezpečné přesunout se z výchozího kontejneru? | Ano |
| Je bezpečné delegovat správu této skupiny správcům, kteří nejsou správci služeb? | Ne |
Účet hosta
Účet Host je výchozí místní účet, který má omezený přístup k počítači a je ve výchozím nastavení zakázaný. Ve výchozím nastavení je heslo účtu hosta prázdné. Prázdné heslo umožňuje přístup k účtu hosta, aniž by uživatel musel zadat heslo.
Účet Host umožňuje občasným nebo jednorázovým uživatelům, kteří nemají v počítači individuální účet, se přihlásit k místnímu serveru nebo doméně s omezenými právy a oprávněními. Účet hosta je možné povolit a heslo je možné nastavit v případě potřeby, ale pouze členem skupiny Správce v doméně.
Členství ve skupině účtů hostů
Účet hosta má členství ve výchozích skupinách zabezpečení, které jsou popsány v následující tabulce atributů účtu hosta. Ve výchozím nastavení je účet Host jediným členem výchozí skupiny Hosté, která umožňuje uživateli přihlásit se k serveru a globální skupině Domain Guests, která uživateli umožňuje přihlásit se k doméně.
Člen skupiny Administrators nebo domain Admins může nastavit uživatele s účtem Host na jednom nebo více počítačích.
Důležité informace o zabezpečení účtu hosta
Vzhledem k tomu, že účet hosta může poskytovat anonymní přístup, jedná se o bezpečnostní riziko. Má také dobře známý identifikátor SID. Z tohoto důvodu je osvědčeným postupem ponechat účet hosta zakázaný, pokud se nevyžaduje jeho použití, a pak pouze s omezenými právy a oprávněními po velmi omezenou dobu.
Pokud je vyžadován účet hosta, musí správce na řadiči domény povolit účet hosta. Účet hosta je možné povolit bez vyžadování hesla nebo ho můžete povolit pomocí silného hesla. Správce také uděluje omezená práva a oprávnění pro účet hosta. Jak zabránit neoprávněnému přístupu:
Neudělujte účtu Host uživatelské právo vypnout systém. Když počítač vypne nebo spustí, je možné, že uživatel typu host nebo kdokoli s místním přístupem, například škodlivý uživatel, může získat neoprávněný přístup k počítači.
Neposkytujte účtu hosta možnost zobrazit protokoly událostí. Po povolení účtu Host je osvědčeným postupem tento účet často monitorovat, aby ostatní uživatelé nemohli používat služby a další prostředky, jako jsou prostředky, které byly neúmyslně dostupné předchozím uživatelem.
Nepoužívejte účet Host, pokud má server přístup k externí síti nebo přístup k jiným počítačům.
Pokud se rozhodnete povolit účet hosta, nezapomeňte jeho používání omezit a pravidelně měnit heslo. Stejně jako u účtu správce můžete chtít účet přejmenovat jako další bezpečnostní opatření.
Správce navíc zodpovídá za správu účtu hosta. Správce monitoruje účet hosta, zakáže ho, když se už nepoužívá, a podle potřeby změní nebo odebere heslo.
Podrobnosti o atributech účtu hosta najdete v následující tabulce:
Atributy účtu hosta
| Vlastnost | Hodnota |
|---|---|
| Dobře známý identifikátor SID/RID | S-1-5--<domain>501 |
| Typ | Uživatel |
| Výchozí kontejner | CN=Users, DC=<domain>, DC= |
| Výchozí členové | Žádné |
| Výchozí člen | Hosté, Hosté domény |
| Chráněno správcem? | Ne |
| Je bezpečné přesunout se z výchozího kontejneru? | Lze jej přemístit ven, ale nedoporučujeme to. |
| Je bezpečné delegovat správu této skupiny správcům mimo službu? | Ne |
Účet HelpAssistant (nainstalovaný během relace vzdálené pomoci)
Účet HelpAssistant je výchozí místní účet, který je povolený při spuštění relace vzdálené pomoci. Tento účet se automaticky zakáže, pokud nejsou čekající žádné žádosti o vzdálenou pomoc.
HelpAssistant je primární účet používaný k navázání relace pro vzdálenou pomoc. Relace Vzdálené pomoci slouží k připojení k jinému počítači s operačním systémem Windows a je iniciovaná pozvánkou. V případě nevyžádané vzdálené pomoci pošle uživatel pozvánku ze svého počítače prostřednictvím e-mailu nebo souboru osobě, která může poskytnout pomoc. Po přijetí pozvánky uživatele k relaci vzdálené pomoci se automaticky vytvoří výchozí účet HelpAssistant, který uživateli poskytne omezený přístup k počítači. Účet HelpAssistant spravuje služba Správce relací pomoci se vzdálenou plochou.
Aspekty zabezpečení HelpAssistant
Identifikátory SID, které se týkají výchozího účtu HelpAssistant, zahrnují:
SID: S-1-5-
<domain>-13, zobrazovaný název Uživatel terminálového serveru. Tato skupina zahrnuje všechny uživatele, kteří se přihlašují k serveru s povolenou službou Vzdálená plocha. V systému Windows Server 2008 se služba Vzdálená plocha nazývá Terminálová služba.SID: S-1-5-
<domain>-14, název zobrazení Vzdálené interaktivní přihlášení. Tato skupina zahrnuje všechny uživatele, kteří se připojují k počítači pomocí připojení ke vzdálené ploše. Tato skupina je podmnožinou interaktivní skupiny. Přístupové tokeny, které obsahují identifikátor SID vzdáleného interaktivního přihlášení, obsahují také interaktivní identifikátor SID.
Pro operační systém Windows Server je vzdálená pomoc volitelnou komponentou, která není ve výchozím nastavení nainstalovaná. Než ji budete moct používat, musíte nainstalovat vzdálenou pomoc.
Podrobnosti o atributech účtu HelpAssistant najdete v následující tabulce:
Atributy účtu HelpAssistant
| Vlastnost | Hodnota |
|---|---|
| Dobře známý identifikátor SID/RID | S-1-5--<domain>-13 (uživatel terminálového serveru), S-1-5-<domain>-14 (vzdálené interaktivní přihlášení) |
| Typ | Uživatel |
| Výchozí kontejner | CN=Users, DC=<domain>, DC= |
| Výchozí členové | Žádné |
| Výchozí člen | Hosté domény Hosté |
| Chráněno správcem? | Ne |
| Je bezpečné přesunout se z výchozího kontejneru? | Lze jej přemístit ven, ale nedoporučujeme to. |
| Je bezpečné delegovat správu této skupiny správcům mimo službu? | Ne |
Účet KRBTGT
Účet KRBTGT je místní výchozí účet, který funguje jako účet služby pro službu KDC (Key Distribution Center). Tento účet nejde odstranit a název účtu nejde změnit. Účet KRBTGT nelze ve službě Active Directory povolit.
KRBTGT je také hlavní název zabezpečení používaný službou KDC pro doménu Windows Serveru, jak určuje RFC 4120. Účet KRBTGT je entita pro objekt zabezpečení KRBTGT a vytvoří se automaticky při vytvoření nové domény.
Ověřování protokolem Kerberos pro Windows Server se dosahuje použitím speciálního lístku TGT (Kerberos ticket-grant) šifrovaného symetrickým klíčem. Tento klíč je odvozen od hesla serveru nebo služby, ke které se požaduje přístup. Heslo TGT účtu KRBTGT je známo pouze službou Kerberos. Pokud chcete požádat o lístek relace, musí se průvodce odstraňováním potíží předložit KDC. TGT se vydává klientovi Kerberos z KDC.
Aspekty údržby účtu KRBTGT
Silné heslo se automaticky přiřadí k účtu KRBTGT a důvěřuje jim. Stejně jako všechny účty privilegovaných služeb by organizace měly tato hesla pravidelně měnit. Heslo pro účet KDC slouží k odvození tajného klíče pro šifrování a dešifrování vydaných požadavků TGT. Heslo pro účet důvěryhodnosti domény se používá k odvození klíče mezi sférami pro šifrování lístků referenčních seznamů.
Resetování hesla vyžaduje, abyste buď byli členem skupiny Domain Admins, nebo delegujte příslušnou autoritu. Kromě toho musíte být členem místní skupiny Administrators nebo delegovat příslušnou autoritu.
Po resetování hesla KRBTGT se ujistěte, že se do protokolu událostí systému zapíše ID události 9 ve zdroji událostí (Kerberos)Distribution-Center.
Aspekty zabezpečení účtu KRBTGT
Osvědčeným postupem je také resetovat heslo účtu KRBTGT, aby se zajistilo, že se nově obnovený řadič domény nereplikuje s ohroženým řadičem domény. V případě velké lesní regenerace rozložené mezi více umístění nemůžete zaručit, že jsou všechny řadiče domény vypnuté, a pokud jsou vypnuté, že nemohou být znovu restartovány před provedením všech příslušných kroků obnovení. Po resetování účtu KRBTGT nemůže jiný řadič domény replikovat heslo k tomuto účtu pomocí starého hesla.
Organizace, která má podezření na ohrožení domény účtu KRBTGT, by měla zvážit použití profesionálních služeb reakce na incidenty. Dopad na obnovení vlastnictví účtu je doménově náročný, náročný na práci a měl by být proveden v rámci většího úsilí o obnovení.
Heslo KRBTGT je klíč, ze kterého se veškerá důvěra v protokolu Kerberos svazuje. Resetování hesla KRBTGT je podobné procesu obnovení kořenového certifikátu CA s novým klíčem, kde starému klíči okamžitě přestane být důvěřováno, tím pádem to ovlivní téměř všechny následující operace systému Kerberos.
Pro všechny typy účtů (uživatelé, počítače a služby)
Všechny již vydané a distribuované TGT budou neplatné, protože řadiče domény je zamítnou. Tyto lístky jsou šifrované pomocí KRBTGT, aby je mohl jakýkoli řadič domény ověřit. Po změně hesla se lístky stanou neplatnými.
Všechny aktuálně ověřené relace, které přihlášení uživatelé vytvořili na základě jejich identifikačních lístků, k prostředku (jako je sdílená složka, SharePoint web nebo Exchange server), jsou platné, dokud není vyžadováno opětovné ověření pomocí služebního lístku.
Ověřená připojení NTLM nejsou ovlivněna.
Vzhledem k tomu, že není možné předpovědět konkrétní chyby, ke kterým dojde u libovolného uživatele v provozním prostředí v produkčním prostředí, musíte předpokládat, že budou ovlivněny všechny počítače a uživatelé.
Důležité
Restartování počítače je jediným spolehlivým způsobem obnovení funkčnosti, protože tím dojde k opětovnému přihlášení účtu počítače i uživatelských účtů. Opětovné přihlášení bude vyžadovat nové TGT, které jsou platné u nového KRBTGT, což opraví všechny provozní problémy související s KRBTGT na tomto počítači.
Řadiče domény jen pro čtení a účet KRBTGT
Řadič domény jen pro čtení se inzeruje jako Centrum distribuce klíčů (KDC) pro pobočku. Řadič jen pro čtení (RODC) používá jiný účet a heslo KRBTGT než KDC na zapisovatelném řadiči domény při podepisování nebo šifrování žádostí o lístky pro udělování lístků (TGT). Po úspěšném ověření účtu určuje RODC, zda lze uživatelské nebo počítačové přihlašovací údaje replikovat ze zapisovatelného řadiče domény na RODC podle politiky replikace hesel.
Po uložení přihlašovacích údajů do mezipaměti na řadiči domény jen pro čtení může řadič domény jen pro čtení přijmout žádosti o přihlášení uživatele, dokud se přihlašovací údaje nezmění. Pokud je TGT podepsaný účtem KRBTGT u RODC, rozpozná, že má uloženou kopii přihlašovacích údajů v mezipaměti. Pokud jiný řadič domény podepíše TGT, RODC předá požadavky zapisovatelnému řadiči domény.
Atributy účtu KRBTGT
Podrobnosti o atributech účtu KRBTGT najdete v následující tabulce:
| Vlastnost | Hodnota |
|---|---|
| Dobře známý identifikátor SID/RID | S-1-5--<domain>502 |
| Typ | Uživatel |
| Výchozí kontejner | CN=Users, DC=<domain>, DC= |
| Výchozí členové | Žádné |
| Výchozí člen | Skupina Domain Users (ID primární skupiny všech uživatelských účtů je Domain Users) |
| Chráněno správcem? | Ano |
| Je bezpečné přesunout se z výchozího kontejneru? | Lze jej přemístit ven, ale nedoporučujeme to. |
| Je bezpečné delegovat správu této skupiny správcům mimo službu? | Ne |
Nastavení výchozích místních účtů ve službě Active Directory
Každý výchozí místní účet ve službě Active Directory má několik nastavení účtu, které můžete použít ke konfiguraci nastavení hesel a informací specifických pro zabezpečení, jak je popsáno v následující tabulce:
| Nastavení účtu | Popis |
|---|---|
| Uživatel musí při příštím přihlášení změnit heslo. | Vynutí změnu hesla při příštím přihlášení uživatele k síti. Tuto možnost použijte, pokud chcete zajistit, aby byl uživatel jediným uživatelem, který zná své heslo. |
| Uživatel nemůže změnit heslo | Zabrání uživateli ve změně hesla. Tuto možnost použijte, pokud chcete zachovat kontrolu nad uživatelským účtem, například pro hosta nebo dočasný účet. |
| Platnost hesla nikdy nevyprší | Zabrání vypršení platnosti hesla uživatele. Osvědčeným postupem je povolit tuto možnost s účty služeb a používat silná hesla. |
| Ukládání hesel pomocí reverzibilního šifrování | Poskytuje podporu pro aplikace, které používají protokoly vyžadující znalost formuláře prostého textu hesla uživatele pro účely ověřování. Tato možnost se vyžaduje, když používáte protokol CHAP (Challenge Handshake Authentication Protocol) ve službě IAS (Internet Authentication Services) a při použití ověřování hodnotou hash v Internetové informační službě (IIS). |
| Účet je zakázaný. | Zabrání uživateli v přihlášení pomocí vybraného účtu. Jako správce můžete používat deaktivované účty jako šablony pro běžné uživatelské účty. |
| Pro interaktivní přihlášení se vyžaduje čipová karta. | Vyžaduje, aby uživatel má čipovou kartu pro interaktivní přihlášení k síti. Uživatel musí mít také připojenou čtečku čipových karet k počítači a platné osobní identifikační číslo (PIN) pro čipovou kartu. Pokud je tento atribut použit na účtu, účinek je následující: |
| Účet je důvěryhodný pro delegování. | Umožňuje službě spuštěné pod tímto účtem provádět operace jménem jiných uživatelských účtů v síti. Služba spuštěná pod uživatelským účtem (označovaným také jako účet služby), která je důvěryhodná pro delegování, může zosobnit klienta, aby získal přístup k prostředkům, a to buď v počítači, na kterém je služba spuštěná, nebo na jiných počítačích. Například v doménové struktuře, která je nastavená na funkční úroveň Systému Windows Server 2003, se toto nastavení nachází na kartě Delegování. Je k dispozici pouze pro účty, kterým byly přiřazeny hlavní názvy služby (SPN), které jsou nastavené pomocí setspn příkazu z nástrojů podpory systému Windows. Toto nastavení je citlivé na zabezpečení a mělo by se přiřazovat opatrně. |
| Účet je citlivý a nejde ho delegovat | Poskytuje kontrolu nad uživatelským účtem, například pro účet hosta nebo dočasným účtem. Tuto možnost můžete použít, pokud tento účet není možné přiřadit k delegování jiným účtem. |
| Použití typů šifrování DES pro tento účet | Poskytuje podporu standardu DES (Data Encryption Standard). DES podporuje více úrovní šifrování, včetně standardu Microsoft Point-to-Point Encryption (MPPE) (40bitového a 56bitového), MPPE Strong (128bitového), protokolu Internet Protocol Security (IPSec) DES (40bitového), IPSec 56bitového DES a IPSec Triple DES (3DES). |
| Nevyžadujte předběžnou autentizaci Kerberos. | Poskytuje podporu pro alternativní implementace protokolu Kerberos. Vzhledem k tomu, že předběžné ověřování poskytuje další zabezpečení, při povolování této možnosti buďte opatrní. Řadiče domény se systémem Windows 2000 nebo Windows Server 2003 můžou k synchronizaci času používat jiné mechanismy. |
Poznámka:
V operačních systémech Windows Server (počínaje systémem Windows Server 2008 R2) nebo v klientských operačních systémech Windows (počínaje Systémem Windows 7) není ve výchozím nastavení povolená služba DES. U těchto operačních systémů nebudou počítače ve výchozím nastavení používat šifrovací sady des-CBC-MD5 ani DES-CBC-CRC. Pokud vaše prostředí vyžaduje DES, může toto nastavení ovlivnit kompatibilitu s klientskými počítači nebo službami a aplikacemi ve vašem prostředí.
Další informace najdete v Lov na DES pro bezpečné nasazení protokolu Kerberos.
Správa výchozích místních účtů ve službě Active Directory
Po instalaci výchozích místních účtů se tyto účty nacházejí v kontejneru Uživatelé v Active Directory uživatelé a počítače. Výchozí místní účty můžete vytvářet, zakazovat, resetovat a odstraňovat pomocí konzoly MMC (Active Directory Users and Computers Microsoft Management Console) a pomocí nástrojů příkazového řádku.
Uživatele a počítače služby Active Directory můžete použít k přiřazování práv a oprávnění k zadanému místnímu řadiči domény a k omezení schopnosti místních uživatelů a skupin provádět určité akce. Právo autorizuje uživateli provádění určitých akcí na počítači, jako je zálohování souborů a složek nebo vypnutí počítače. Naproti tomu přístupové oprávnění je pravidlo, které je přidruženo k objektu, obvykle souboru, složce nebo tiskárně, která reguluje, kteří uživatelé mají přístup k objektu a jakým způsobem.
Další informace o vytváření a správě místních uživatelských účtů ve službě Active Directory najdete v tématu Správa místních uživatelů.
Uživatele a počítače služby Active Directory můžete také použít v řadiči domény k cílení vzdálených počítačů, které nejsou řadiči domény v síti.
Od Microsoftu můžete získat doporučení pro konfigurace řadiče domény, které můžete distribuovat pomocí nástroje Správce dodržování předpisů zabezpečení (SCM). Další informace naleznete v tématu Microsoft Security Compliance Manager.
Některé z výchozích místních uživatelských účtů jsou chráněny procesem na pozadí, který pravidelně kontroluje a používá konkrétní popisovač zabezpečení, což je datová struktura, která obsahuje informace o zabezpečení přidružené k chráněnému objektu. Tento popisovač zabezpečení se nachází v objektu AdminSDHolder.
To znamená, že pokud chcete upravit oprávnění pro skupinu správců služeb nebo na některém z jejích členských účtů, musíte také upravit popisovač zabezpečení u objektu AdminSDHolder. Tento přístup zajišťuje, že se oprávnění použijí konzistentně. Při provádění těchto úprav buďte opatrní, protože tato akce může mít vliv také na výchozí nastavení, která se použijí u všech vašich chráněných účtů pro správu.
Omezení a ochrana citlivých účtů domény
Omezení a ochrana účtů domény ve vašem doménovém prostředí vyžaduje, abyste přijali a implementovali následující přístup s osvědčenými postupy:
Přísně omezte členství na skupiny Administrators, Domain Admins a Enterprise Admins.
Přísně řídí, kde a jak se používají doménové účty.
Členské účty ve skupinách Administrators, Domain Admins a Enterprise Admins v doméně nebo doménové struktuře jsou pro uživatele se zlými úmysly vysoce hodnotné. Pokud chcete omezit jakoukoli expozici, je osvědčeným postupem omezit členství na tyto skupiny správců na nejmenší počet účtů. Omezení členství v těchto skupinách snižuje možnost, že správce může neúmyslně zneužít tyto přihlašovací údaje a vytvořit ohrožení zabezpečení, které můžou zneužít uživatelé se zlými úmysly.
Kromě toho je osvědčeným postupem řídit, kde a jak se používají citlivé účty domény. Omezte používání účtů Domain Admins a dalších účtů správců, aby se zabránilo jejich použití k přihlášení k systémům pro správu a pracovním stanicím, které jsou zabezpečené na stejné úrovni jako spravované systémy. Pokud účty správce tímto způsobem nejsou omezeny, každá pracovní stanice, ze které se správce domény přihlásí, poskytuje jiné umístění, které můžou uživatelé se zlými úmysly zneužít.
Implementace těchto osvědčených postupů je oddělená do následujících úloh:
- Oddělení účtů správce od uživatelských účtů
- Omezení přístupu správce k serverům a pracovním stanicím
- Zakázání práva delegování účtu pro citlivé účty správce
Abychom zajistili případy, kdy se očekávají problémy s integrací s doménovým prostředím, je každá úloha popsaná podle požadavků na minimální, lepší a ideální implementaci. Stejně jako u všech významných změn v produkčním prostředí se ujistěte, že tyto změny důkladně otestujete, než je implementujete a nasadíte. Pak nasazení připravte způsobem, který umožňuje vrácení změny zpět, pokud dojde k technickým problémům.
Oddělení účtů správce od uživatelských účtů
Omezte účty Domain Admins a další citlivé účty, aby se zabránilo jejich použití k přihlášení k serverům a pracovním stanicím s nižší důvěryhodností. Omezte a chraňte účty správce oddělením účtů správce od standardních uživatelských účtů, oddělením povinností správy od jiných úloh a omezením používání těchto účtů. Vytvořte vyhrazené účty pro pracovníky pro správu, kteří vyžadují přihlašovací údaje správce k provádění konkrétních úloh správy, a pak vytvořte samostatné účty pro další standardní uživatelské úlohy podle následujících pokynů:
Privilegovaný účet: Přidělte účty správce, aby prováděly pouze následující administrativní povinnosti:
Minimum: Vytvořte samostatné účty pro správce domény, podnikové správce nebo ekvivalent s odpovídajícími právy správce v rámci domény nebo stromu domén. Používejte účty, kterým byla udělena citlivá práva správce, pouze ke správě dat domény a řadičů domény.
Lepší: Vytvořte samostatné účty pro správce, kteří mají omezená práva správce, jako jsou účty pro správce pracovních stanic a účty s uživatelskými právy nad určenými organizačními jednotkami služby Active Directory.
Ideální: Vytvořte více samostatných účtů pro správce, který má několik zodpovědností za práci, které vyžadují různé úrovně důvěryhodnosti. Nastavte každý účet správce s různými uživatelskými právy, například pro správu pracovních stanic, správu serveru a správu domény, aby se správce přihlásil k zadaným pracovním stanicím, serverům a řadičům domény na základě jejich povinností.
Standardní uživatelský účet: Udělte standardní uživatelská práva pro standardní uživatelské úkoly, jako je e-mail, procházení webu a používání obchodních aplikací. Těmto účtům by neměla být udělena práva správce.
Důležité
Ujistěte se, že citlivé účty správce nemají přístup k e-mailu nebo k internetu, jak je popsáno v následující části.
Další informace o privilegovaném přístupu najdete v tématu Zařízení s privilegovaným přístupem.
Omezení přístupu správce k serverům a pracovním stanicím
Osvědčeným postupem je omezit správce na přihlašování k serverům a pracovním stanicím s nižší důvěryhodností pomocí citlivých účtů správce. Toto omezení brání správcům neúmyslně zvýšit riziko krádeže přihlašovacích údajů přihlášením k počítači s nižší důvěryhodností.
Důležité
Ujistěte se, že máte buď místní přístup k řadiči domény, nebo jste vytvořili aspoň jednu vyhrazenou pracovní stanici pro správu.
Pomocí následujících pokynů omezte přístup k přihlašování k serverům a pracovním stanicím s nižší důvěryhodností:
Minimum: Omezte správce domény, aby neměli přihlašovací přístup k serverům a pracovním stanicím. Před zahájením tohoto postupu identifikujte všechny organizační jednotky v doméně, které obsahují pracovní stanice a servery. Všechny počítače v organizačních zařízeních, které nejsou identifikované, neomezí správce s citlivými účty, aby se k nim přihlašovali.
Lepší: Omezte správce domény na serverech a pracovních stanicích, které nejsou řadiči domény.
Ideální: Kromě správců domény omezte také přihlašování správců serveru k pracovním stanicím.
Poznámka:
Pro účely tohoto postupu nepropojujte účty s organizačními jednotkami, které obsahují pracovní stanice pouze pro správce vykonávající správcovské úkony, a neposkytujte přístup k internetu ani k e-mailu.
Omezení správců domény z pracovních stanic (minimálně)
Jako správce domény otevřete konzolu pro správu zásad skupiny (GPMC).
Otevřete správu zásad skupiny a rozbalte <doménovou strukturu>\Domains\
<domain>.Klikněte pravým tlačítkem myši na objekty zásad skupiny a pak vyberte Nový.
V okně Nový objekt zásad skupiny pojmenujte objekt zásad skupiny, který správcům omezuje přihlášení k pracovním stanicím, a pak vyberte OK.
Klikněte pravým tlačítkem myši na Nový objekt zásad skupiny a pak vyberte Upravit.
Nakonfigurujte uživatelská práva pro místní odepření přihlášení pro správce domény.
VyberteZásady> počítače –> nastavení >systému Windows, vyberte Přiřazení uživatelských práv a pak postupujte takto:
a. Poklepejte na tlačítko Odepřít přihlášení místně a pak vyberte Definovat tato nastavení zásad. b) Vyberte Přidat uživatele nebo skupinu, vyberte Procházet, zadejte Podnikové správce a pak vyberte OK. c. Vyberte Přidat uživatele nebo skupinu, vyberte Procházet, zadejte Domain Admins a pak vyberte OK.
Návod
Volitelně můžete přidat všechny skupiny, které obsahují správce serveru, kterým chcete omezit přihlášení k pracovním stanicím.
Poznámka:
Dokončení tohoto kroku může způsobit problémy s úlohami správce, které běží jako naplánované úlohy nebo služby s účty ve skupině Domain Admins. Používání účtů správce domény ke spouštění služeb a úloh na pracovních stanicích vytváří významné riziko útoků na krádež přihlašovacích údajů, a proto by se mělo nahradit alternativními prostředky ke spouštění plánovaných úloh nebo služeb.
d. Konfiguraci dokončete výběrem OK.
Propojte objekt zásad skupiny s první organizační jednotkou pracovních stanic. Přejděte do <forest>\Domains\
<domain>\OU a pak udělejte toto:a. Klikněte pravým tlačítkem myši na organizační jednotky pracovní stanice a pak vyberte Propojit existující objekt zásad skupiny.
b) Vyberte objekt zásadU, který jste právě vytvořili, a pak vyberte OK.
Otestujte funkčnost podnikových aplikací na pracovních stanicích v první organizační jednotce a vyřešte všechny problémy způsobené novou politikou.
Propojte všechny ostatní organizační jednotky, které obsahují pracovní stanice.
Pokud je však organizační jednotka pro správu vytvořena pro pracovní stanice, které jsou vyhrazené jen pro administrativní povinnosti a jsou bez přístupu k internetu nebo e-mailu, nevytvářejte odkaz.
Důležité
Pokud později toto řešení rozšíříte, nezamítejte přihlašovací práva pro skupinu Domain Users. Skupina Domain Users zahrnuje všechny uživatelské účty v doméně, včetně uživatelů, správců domény a podnikových správců.
Zakázání práva delegování účtu pro citlivé účty správce
I když uživatelské účty nejsou ve výchozím nastavení označené pro delegování, můžou být pro delegování důvěryhodné účty v doméně služby Active Directory. To znamená, že služba nebo počítač, který je důvěryhodný pro delegování, může zosobnit účet, který je pro ně ověřený pro přístup k dalším prostředkům v síti.
U citlivých účtů, jako jsou účty patřící členům skupin Administrators, Domain Admins nebo Enterprise Admins ve službě Active Directory, může delegování představovat značné riziko eskalace práv. Pokud se například účet ve skupině Domain Admins používá k přihlášení k napadenému členskému serveru, který je důvěryhodný pro delegování, může tento server požádat o přístup k prostředkům v kontextu účtu Domain Admins a eskalovat ohrožení zabezpečení tohoto člena serveru na ohrožení domény.
Osvědčeným postupem je nakonfigurovat uživatelské objekty pro všechny citlivé účty ve službě Active Directory tak, že vyberete Účet je citlivý a vmožnostech účtu nelze delegovat zaškrtávací políčko, aby se zabránilo delegování účtů. Další informace najdete v tématu Nastavení výchozích místních účtů ve službě Active Directory.
Stejně jako u všech změn konfigurace otestujte toto povolené nastavení plně, abyste před implementací zajistili, že funguje správně.
Zabezpečení a správa řadičů domény
Osvědčeným postupem je striktně vynucovat omezení řadičů domény ve vašem prostředí. Tím zajistíte, že řadiče domény:
- Spusťte jenom požadovaný software.
- Vyžaduje, aby se software pravidelně aktualizoval.
- Jsou nakonfigurovány s odpovídajícími nastaveními zabezpečení.
Jedním z aspektů zabezpečení a správy řadičů domény je zajistit, aby byly výchozí místní uživatelské účty plně chráněné. Je důležité omezit a zabezpečit všechny citlivé účty domény, jak je popsáno v předchozích částech.
Vzhledem k tomu, že řadiče domény ukládají hodnoty hash hesel přihlašovacích údajů všech účtů v doméně, jsou pro uživatele se zlými úmysly vysoce hodnotné. Pokud řadiče domény nejsou dobře spravované a zabezpečené pomocí omezení, která jsou přísně vynucena, mohou být ohroženy škodlivými uživateli. Škodlivý uživatel může například ukrást citlivé přihlašovací údaje správce domény z jednoho řadiče domény a pak tyto údaje použít k útoku na doménu a les.
Nainstalované aplikace a agenti pro správu na řadičích domény můžou navíc poskytovat cestu k eskalaci práv, která můžou uživatelé se zlými úmysly použít k ohrožení služby správy nebo správců této služby. Nástroje a služby pro správu, které vaše organizace používá ke správě řadičů domény a jejich správců, jsou stejně důležité pro zabezpečení řadičů domény a účtů správce domény. Ujistěte se, že tyto služby a správci jsou plně zabezpečeny se stejným úsilím.
Viz také
- bezpečnostní principály
- přehled řízení přístupu