Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Windows Server operációs rendszerek alapértelmezett helyi fiókokkal vannak telepítve. Emellett létrehozhat felhasználói fiókokat, hogy megfeleljenek a szervezet követelményeinek.
Ez a referenciacikk a Windows Server alapértelmezett helyi fiókjait ismerteti, amelyek helyileg vannak tárolva a tartományvezérlőn, és amelyeket az Active Directoryban használnak. Nem írja le a tag, önálló kiszolgáló vagy Windows-ügyfél alapértelmezett helyi felhasználói fiókjait. További információ: Helyi fiókok.
Alapértelmezett helyi fiókok az Active Directoryban
Az alapértelmezett helyi fiókok olyan beépített fiókok, amelyek automatikusan jönnek létre Windows Server tartományvezérlő telepítésekor és a tartomány létrehozásakor. Ezeknek az alapértelmezett helyi fiókoknak az Active Directoryban vannak megfelelői. Tartományszintű hozzáféréssel is rendelkeznek, és teljesen elkülönülnek a tagok vagy önálló kiszolgálók alapértelmezett helyi felhasználói fiókjaitól.
Jogosultságokat és engedélyeket rendelhet az alapértelmezett helyi fiókokhoz egy adott tartományvezérlőn, és csak ezen a tartományvezérlőn. Ezek a fiókok helyiek a tartományban. Az alapértelmezett helyi fiókok telepítése után a rendszer a Felhasználók tárolóban tárolja őket az Active Directory – Felhasználók és számítógépek mappában. Ajánlott az alapértelmezett helyi fiókokat a Felhasználói tárolóban tartani, és nem megkísérelni áthelyezni ezeket a fiókokat például egy másik szervezeti egységbe (szervezeti egységbe).
A Felhasználók tároló alapértelmezett helyi fiókjai a következők: Rendszergazda, Vendég és KRBTGT. A HelpAssistant-fiók telepítése távsegítség-munkamenet létrehozásakor történik. Az alábbi szakaszok az alapértelmezett helyi fiókokat és azok Active Directoryban való használatát ismertetik.
Az alapértelmezett helyi fiókok a következő műveleteket hajtják végre:
Hagyja, hogy a tartomány egyedi hitelesítő adatokkal (felhasználónévvel és jelszóval) képviselje, azonosítsa és hitelesítse a fiókhoz rendelt felhasználó identitását. Ajánlott minden felhasználót egyetlen fiókhoz rendelni a maximális biztonság érdekében. Több felhasználó nem oszthat meg egy fiókot. A felhasználói fiók lehetővé teszi, hogy a felhasználó olyan egyedi azonosítóval jelentkezzen be a számítógépekre, hálózatokba és tartományokba, amelyeket a számítógép, a hálózat vagy a tartomány hitelesíthet.
Erőforrásokhoz való hozzáférés engedélyezése (engedélyezése vagy megtagadása). A felhasználó hitelesítő adatainak hitelesítése után a felhasználó jogosult a hálózati és tartományi erőforrások elérésére a felhasználó által az erőforráshoz kifejezetten hozzárendelt jogosultságok alapján.
A felhasználói fiókokon végrehajtott műveletek naplózása.
Az Active Directoryban a rendszergazdák az alapértelmezett helyi fiókokat használják a tartomány- és tagkiszolgálók közvetlen és dedikált felügyeleti munkaállomásokról történő kezelésére. Az Active Directory-fiókok hozzáférést biztosítanak a hálózati erőforrásokhoz. Az Active Directory felhasználói fiókok és számítógépfiókok fizikai entitásokat, például számítógépet vagy személyt jelölhetnek, vagy dedikált szolgáltatásfiókként működhetnek egyes alkalmazásokhoz.
A rendszer minden alapértelmezett helyi fiókot automatikusan hozzárendel egy olyan biztonsági csoporthoz, amely előre konfigurálva van az adott feladatok elvégzéséhez szükséges jogosultságokkal és engedélyekkel. Az Active Directory biztonsági csoportjai kezelhető egységekbe gyűjtik a felhasználói fiókokat, a számítógépfiókokat és más csoportokat. További információ: Active Directory biztonsági csoportok.
Egy Active Directory tartományvezérlőn minden alapértelmezett helyi fiók biztonsági főelemnek van megadva. A biztonsági azonosító egy címtár-objektum, amely a tartományvezérlő erőforrásaihoz hozzáférést biztosító Active Directory szolgáltatások biztonságának és kezelésének biztosítása érdekében szolgál. A rendszerbiztonsági tagok közé tartoznak például a felhasználói fiókok, a számítógépfiókok, a biztonsági csoportok, illetve a felhasználói vagy számítógépfiókok biztonsági környezetében futó szálak vagy folyamatok. További információ: Biztonsági tagok.
A biztonsági alanyt egy egyedi biztonsági azonosító (SID) jelöli. Az Active Directory minden alapértelmezett helyi fiókjához kapcsolódó SID-ket a következő szakaszok ismertetik.
Az alapértelmezett helyi fiókok némelyikét egy háttérfolyamat védi, amely rendszeresen ellenőrzi és alkalmazza az adott biztonsági leírót. A biztonsági leíró egy olyan adatstruktúra, amely egy védett objektumhoz társított biztonsági információkat tartalmaz. Ez a folyamat biztosítja, hogy az alapértelmezett helyi fiókok vagy csoportok biztonsági leírójának módosítására tett sikeres jogosulatlan kísérletek felülíródnak a védett beállításokkal.
Ez a biztonsági leíró megtalálható az AdminSDHolder objektumon. Ha módosítani szeretné az engedélyeket az egyik szolgáltatásadminisztrátorcsoporton vagy annak bármely tagfiókján, módosítania kell az AdminSDHolder objektum biztonsági leíróját, hogy az egységesen érvényesüljön. Ügyeljen a módosítások elvégzésére, mert az összes védett fiókra alkalmazott alapértelmezett beállításokat is módosítja.
Rendszergazdai fiók
A rendszergazdai fiók egy alapértelmezett fiók, amelyet a Windows operációs rendszer minden verziójában használnak minden számítógépen és eszközön. A rendszergazdai fiókot a rendszergazda használja a rendszergazdai hitelesítő adatokat igénylő feladatokhoz. Ez a fiók nem törölhető vagy zárolható, de a fiók átnevezhető vagy letiltható.
A rendszergazdai fiók teljes hozzáférést (teljes hozzáférésű engedélyeket) biztosít a felhasználónak a helyi kiszolgálón található fájlokhoz, könyvtárakhoz, szolgáltatásokhoz és egyéb erőforrásokhoz. A rendszergazdai fiókkal helyi felhasználókat hozhat létre, és felhasználói jogosultságokat és hozzáférés-vezérlési engedélyeket rendelhet hozzá. A fiók használatával bármikor átveheti az irányítást a helyi erőforrások felett egyszerűen a felhasználói jogosultságok és engedélyek módosításával. Bár a fájlok és könyvtárak ideiglenesen védhetők a rendszergazdai fióktól, a fiók bármikor átveheti az irányítást ezen erőforrások felett a hozzáférési engedélyek módosításával.
Fiókcsoporttagság
A rendszergazdai fiók tagsággal rendelkezik az alapértelmezett biztonsági csoportokban, a cikk későbbi részében, a Rendszergazdai fiók attribútumai táblában leírtak szerint.
A biztonsági csoportok biztosítják, hogy az egyes rendszergazdai fiókok módosítása nélkül szabályozhassa a rendszergazdai jogosultságokat. A legtöbb esetben nem kell módosítania a fiók alapbeállításait. Előfordulhat azonban, hogy módosítania kell a speciális beállításokat, például a tagságot bizonyos csoportokban.
Biztonsági szempontok
A kiszolgáló operációs rendszerének telepítése után az első feladat a rendszergazdai fiók tulajdonságainak biztonságos beállítása. Ez magában foglalja egy különösen hosszú, erős jelszó beállítását, valamint a távvezérlési és távoli asztali szolgáltatások profilbeállításainak védelmét.
A rendszergazdai fiók akkor is letiltható, ha nincs rá szükség. A rendszergazdai fiók átnevezése vagy letiltása megnehezíti a rosszindulatú felhasználók hozzáférését a fiókhoz. A rendszergazdai fiók azonban még akkor is használható, ha a rendszergazdai fiók le van tiltva, de a tartományvezérlőhöz való hozzáféréshez továbbra is használható csökkentett módban.
A tartományvezérlőn a rendszergazda fiókból lesz a tartományi rendszergazda fiók. A tartományi rendszergazdai fiók használatával lehet bejelentkezni a tartományvezérlőbe, és ehhez a fiókhoz erős jelszó szükséges. A tartományi rendszergazdai fiók hozzáférést biztosít a tartományi erőforrásokhoz.
Note
A tartományvezérlő kezdeti telepítésekor bejelentkezhet, és a Kiszolgálókezelővel beállíthat egy helyi rendszergazdai fiókot a hozzárendelni kívánt jogosultságokkal és engedélyekkel. Használhat például egy helyi rendszergazdai fiókot az operációs rendszer kezeléséhez az első telepítéskor. Ezzel a módszerrel úgy állíthatja be az operációs rendszert, hogy ne veszítse el a hozzáférést. A telepítés után rendszerint nem kell használnia a fiókot. Helyi felhasználói fiókokat csak az Active Directory Domain Services telepítése előtt hozhat létre a tartományvezérlőn, utána nem.
Amikor az Active Directory telepítve van a tartomány első tartományvezérlőjén, a rendszergazdai fiók létrejön az Active Directoryhoz. A rendszergazdai fiók a tartomány legerősebb fiókja. Tartományszintű hozzáféréssel és felügyeleti jogosultságokkal rendelkezik a számítógép és a tartomány felügyeletéhez, és a tartományra vonatkozó legkiterjedtebb jogosultságokkal és engedélyekkel rendelkezik. Az a személy, aki telepíti az Active Directory Domain Servicest a számítógépre, létrehozza a fiók jelszavát a telepítés során.
Rendszergazdai fiókattribútumok
| Attribute | Value |
|---|---|
| Jól ismert SID/RID | S-1-5-<domain>-500 |
| Típus | User |
| Alapértelmezett tároló | CN=Felhasználók, DC=<domain>, DC= |
| Alapértelmezett tagok | N/A |
| Alapértelmezett tagja | Rendszergazdák, tartományi rendszergazdák, vállalati rendszergazdák, tartományi felhasználók (az összes felhasználói fiók elsődleges csoportazonosítója tartományfelhasználó) Csoportházirend-készítő tulajdonosok és sémaadminisztrátorok az Active Directory Tartományi Felhasználók csoportban |
| Az AdminSdHolder védelem alatt áll? | Yes |
| Biztonságos kilépni az alapértelmezett tárolóból? | Yes |
| Biztonságosan delegálhatja a csoport felügyeletét a nem szolgáltatásbeli rendszergazdáknak? | No |
Vendégfiók
A vendégfiók egy alapértelmezett helyi fiók, amely korlátozott hozzáféréssel rendelkezik a számítógéphez, és alapértelmezés szerint le van tiltva. Alapértelmezés szerint a vendégfiók jelszava üres marad. Az üres jelszó lehetővé teszi a vendégfiók elérését anélkül, hogy a felhasználónak jelszót kellene megadnia.
A vendégfiók lehetővé teszi az alkalmi vagy egyszeri felhasználók számára, akik nem rendelkeznek egyéni fiókkal a számítógépen, hogy korlátozott jogosultságokkal és engedélyekkel jelentkezzenek be a helyi kiszolgálóra vagy tartományba. A vendégfiók engedélyezhető, és szükség esetén beállíthatja a jelszót, de csak a tartomány Rendszergazda csoportjának egy tagja.
Vendégfiók csoporttagság
A vendégfiók tagsággal rendelkezik az alapértelmezett biztonsági csoportokban, amelyeket az alábbi Vendégfiók attribútumok táblában ismertetünk. Alapértelmezés szerint a Vendégfiók az alapértelmezett Vendég csoport egyetlen tagja, amely lehetővé teszi, hogy a felhasználó bejelentkezjen egy kiszolgálóra, valamint a Tartományvendégek globális csoportba, amely lehetővé teszi, hogy a felhasználó bejelentkezjen egy tartományba.
A Rendszergazdák csoport vagy a Tartománygazdák csoport egy tagja beállíthat egy vendégfiókkal rendelkező felhasználót egy vagy több számítógépen.
A vendégfiók biztonsági szempontjai
Mivel a vendégfiók névtelen hozzáférést biztosíthat, ez biztonsági kockázatot jelent. Emellett egy jól ismert SID-sel is rendelkezik. Ezért ajánlott letiltani a vendégfiókot, hacsak nincs szükség a használatára, majd csak korlátozott ideig korlátozott jogosultságokkal és engedélyekkel.
Ha a vendégfiókra van szükség, a vendégfiók engedélyezéséhez a tartományvezérlő rendszergazdájára van szükség. A vendégfiók jelszó kérése nélkül is engedélyezhető, vagy erős jelszóval is engedélyezhető. A rendszergazda korlátozott jogokat és engedélyeket is biztosít a vendégfiókhoz. A jogosulatlan hozzáférés megakadályozása:
Ne adja meg a vendégfióknak a rendszerfelhasználó leállításához való jogot. Amikor egy számítógép leáll vagy elindul, lehetséges, hogy egy vendégfelhasználó vagy bárki, aki helyi hozzáféréssel rendelkezik, például rosszindulatú felhasználó, jogosulatlan hozzáférést szerezhet a számítógéphez.
Ne adja meg a vendégfióknak az eseménynaplók megtekintésének lehetőségét. A vendégfiók engedélyezése után ajánlott gyakran figyelni ezt a fiókot, hogy más felhasználók ne tudják használni a szolgáltatásokat és egyéb erőforrásokat, például azokat az erőforrásokat, amelyeket véletlenül egy korábbi felhasználó hagyott elérhetővé.
Ne használja a vendégfiókot, ha a kiszolgáló külső hálózati hozzáféréssel vagy más számítógépekhez való hozzáféréssel rendelkezik.
Ha úgy dönt, hogy engedélyezi a vendégfiókot, mindenképpen korlátozza annak használatát, és rendszeresen módosítsa a jelszót. A rendszergazdai fiókhoz hasonlóan érdemes lehet átnevezni a fiókot további biztonsági óvintézkedésként.
Emellett a vendégfiók kezeléséért egy rendszergazda felel. A rendszergazda figyeli a vendégfiókot, letiltja a vendégfiókot, ha már nincs használatban, és szükség szerint módosítja vagy eltávolítja a jelszót.
A vendégfiók attribútumairól az alábbi táblázatban talál további információt:
Vendégfiók attribútumai
| Attribute | Value |
|---|---|
| Jól ismert SID/RID | S-1-5-<domain>-501 |
| Típus | User |
| Alapértelmezett tároló | CN=Felhasználók, DC=<domain>, DC= |
| Alapértelmezett tagok | None |
| Alapértelmezett tagja | Vendégek, Tartomány Vendégek |
| Az AdminSdHolder védelem alatt áll? | No |
| Biztonságos kilépni az alapértelmezett tárolóból? | Áthelyezhető, de nem javasoljuk. |
| Biztonságosan delegálhatja a csoport felügyeletét nem szolgáltatásbeli rendszergazdáknak? | No |
HelpAssistant-fiók (távsegítség-munkamenettel telepítve)
A HelpAssistant-fiók egy alapértelmezett helyi fiók, amely távsegítség-munkamenet futtatásakor engedélyezve van. Ez a fiók automatikusan le van tiltva, ha nincs függőben a távsegítség kérése.
A HelpAssistant a távsegítség-munkamenet létrehozásához használt elsődleges fiók. A távsegítség munkamenet a Windows operációs rendszert futtató másik számítógéphez való csatlakozásra szolgál, és meghívással kezdeményezi. A kért távsegítség érdekében a felhasználó e-mailben vagy fájlként meghívót küld a számítógépéről egy olyan személynek, aki segítséget nyújthat. Miután elfogadta a felhasználó távsegítség-munkamenetre szóló meghívását, a rendszer automatikusan létrehozza az alapértelmezett HelpAssistant-fiókot, hogy a segítséget nyújtó személy korlátozott hozzáférést kapjon a számítógéphez. A HelpAssistant-fiókot a Távoli asztali súgó munkamenet-kezelő szolgáltatás kezeli.
A HelpAssistant biztonsági szempontjai
Az alapértelmezett HelpAssistant-fiókhoz tartozó SID-k a következők:
SID: S-1-5--
<domain>13, megjelenítendő név Terminálkiszolgáló felhasználója. Ez a csoport tartalmazza az összes olyan felhasználót, aki egy kiszolgálóra jelentkezik be, ahol engedélyezve vannak a Távoli asztali szolgáltatások. A Windows Server 2008-ban a távoli asztali szolgáltatásokat terminálszolgáltatásoknak nevezzük.SID: S-1-5--
<domain>14, megjelenítendő név Távoli interaktív bejelentkezés. Ez a csoport minden olyan felhasználót tartalmaz, aki távoli asztali kapcsolattal csatlakozik a számítógéphez. Ez a csoport az interaktív csoport egy részhalmaza. A távoli interaktív bejelentkezési SID-t tartalmazó hozzáférési jogkivonatok az interaktív SID-t is tartalmazzák.
A Windows Server operációs rendszer esetében a távsegítség nem kötelező összetevő, amely alapértelmezés szerint nincs telepítve. A távsegítség használatához telepítenie kell a távsegítséget.
A HelpAssistant fiókattribútumairól az alábbi táblázatban talál további információt:
HelpAssistant fiók attribútumai
| Attribute | Value |
|---|---|
| Jól ismert SID/RID | S-1-5-<domain>-13 (terminálkiszolgáló felhasználója), S-1-5-<domain>-14 (Távoli interaktív bejelentkezés) |
| Típus | User |
| Alapértelmezett tároló | CN=Felhasználók, DC=<domain>, DC= |
| Alapértelmezett tagok | None |
| Alapértelmezett tagja | Tartományi vendégek Guests |
| Az AdminSdHolder védelem alatt áll? | No |
| Biztonságos kilépni az alapértelmezett tárolóból? | Áthelyezhető, de nem javasoljuk. |
| Biztonságosan delegálhatja a csoport felügyeletét nem szolgáltatásbeli rendszergazdáknak? | No |
KRBTGT-fiók
A KRBTGT-fiók egy helyi alapértelmezett fiók, amely a Key Distribution Center (KDC) szolgáltatás szolgáltatásfiókjaként működik. Ez a fiók nem törölhető, és a fiók neve nem módosítható. A KRBTGT-fiók nem engedélyezhető az Active Directoryban.
A KRBTGT a Windows Server tartományok számára a KDC által használt biztonsági azonosítónév, ahogyan azt az RFC 4120 meghatározza. A KRBTGT-fiók a KRBTGT biztonsági tag entitása, és automatikusan létrejön egy új tartomány létrehozásakor.
A Windows Server Kerberos-hitelesítés egy szimmetrikus kulccsal kódolt speciális Kerberos-jegykiadó jegy (TGT) használatával érhető el. Ez a kulcs annak a kiszolgálónak vagy szolgáltatásnak a jelszavából származik, amelyhez hozzáférést kérnek. A KRBTGT-fiók TGT-jelszavát csak a Kerberos szolgáltatás ismeri. Munkamenetjegy igényléséhez be kell mutatnia a TGT-t a KDC-nek. A TGT-t a KDC által adják ki a Kerberos-ügyfélnek.
A KRBTGT-fiók karbantartási szempontjai
A rendszer erős jelszót rendel a KRBTGT-hez és a bizalmi fiókokhoz automatikusan. Ezeket a jelszavakat normál ütemezés szerint kell módosítania, ahogyan bármely emelt szintű szolgáltatásfiók esetében tenné. A KDC-fiók jelszavával titkos kulcsot hozhat létre a kibocsátott TGT-kérelmek titkosításához és visszafejtéséhez. A tartománymegbízhatósági fiók jelszava egy tartományközi kulcs lekérésére szolgál az átirányítási jegyek titkosításához.
A jelszó alaphelyzetbe állításához vagy a Tartománygazdák csoport tagjaként kell lennie, vagy delegálva kell lennie a megfelelő jogosultsággal. Emellett a helyi Rendszergazdák csoport tagjának kell lennie, vagy rendelkeznie kell a megfelelő hatósággal.
A KRBTGT-jelszó alaphelyzetbe állítása után győződjön meg arról, hogy a (Kerberos) kulcs 9-Distribution-Center eseményforrás eseményazonosítója be van írva a rendszer eseménynaplójába.
A KRBTGT-fiók biztonsági szempontjai
Ajánlott a KRBTGT-fiók jelszavának alaphelyzetbe állítása is, hogy az újonnan visszaállított tartományvezérlő ne replikáljon sérült tartományvezérlővel. Ebben az esetben, ha egy nagy erdő helyreállításáról van szó, amely több helyszínen elterül, nem garantálható, hogy az összes tartományvezérlő le van állítva, és ha leállították őket, akkor nem indítják újra, mielőtt az összes megfelelő helyreállítási lépést végrehajtanák. A KRBTGT-fiók alaphelyzetbe állítása után egy másik tartományvezérlő nem tudja replikálni ezt a fiókjelszót egy régi jelszó használatával.
A szervezetnek, amely a KRBTGT-fiók tartomány veszélyeztetését gyanítja, fontolóra kell vennie a professzionális incidenskezelési szolgáltatások igénybevételét. A fiók tulajdonjogának visszaállítására gyakorolt hatás tartományszintű, munkaigényes, és nagyobb helyreállítási erőfeszítések részeként kell elvégezni.
A KRBTGT-jelszó az a kulcs, amelybe a Kerberosba vetett bizalom összefonódik. A KRBTGT-jelszó alaphelyzetbe állítása hasonló a legfelső szintű hitelesítésszolgáltatói tanúsítvány új kulccsal való megújításához, ami azonnal bizalmatlanná teszi a régi kulcsot, ami szinte az összes későbbi Kerberos-műveletet érinti.
Minden fióktípushoz (felhasználókhoz, számítógépekhez és szolgáltatásokhoz):
A már kiadott és elosztott TGT-k érvénytelenek lesznek, mert a tartományvezérlők elutasítják őket. Ezek a jegyek titkosítva vannak a KRBTGT-vel, hogy bármely tartományvezérlő érvényesíthesse őket. Amikor a jelszó megváltozik, a jegyek érvénytelenek lesznek.
A bejelentkezett felhasználók által (a szolgáltatásjegyeik alapján) egy erőforrásba (például fájlmegosztásba, SharePoint-webhelybe vagy Exchange-kiszolgálóba) bejelentkezett összes jelenleg hitelesített munkamenet jó, amíg a szolgáltatásjegy újrahitelesítéséhez nem szükséges.
Az NTLM-hitelesített kapcsolatokra nincs hatással.
Mivel nem lehet előrejelezni azokat a konkrét hibákat, amelyek egy éles üzemi környezetben lévő adott felhasználóra vonatkoznak, feltételezni kell, hogy az összes számítógép és felhasználó érintett lesz.
Important
A számítógép újraindítása az egyetlen megbízható módszer a funkciók helyreállítására, mivel ez azt eredményezi, hogy a számítógépfiók és a felhasználói fiókok is újra bejelentkeznek. Az ismételt bejelentkezés új TGT-ket kér, amelyek az új KRBTGT-vel érvényesek, és kijavítják a KRBTGT-tel kapcsolatos működési problémákat a számítógépen.
Írásvédett tartományvezérlők és a KRBTGT-fiók
Az RODC a fiókirodához tartozó kulcselosztó központként (KDC) van hirdetve. Az RODC más KRBTGT-fiókot és jelszót használ, mint a KDC a írható tartományvezérlőn, amikor aláírja vagy titkosítja a TGT-kérelmeket. A fiók sikeres hitelesítése után az RODC meghatározza, hogy egy felhasználó hitelesítő adatai vagy a számítógép hitelesítő adatai replikálhatók-e a írható tartományvezérlőről az RODC-be a jelszóreplikációs házirend használatával.
Miután a hitelesítő adatok gyorsítótárazva lettek az RODC-ben, az rodc elfogadhatja a felhasználó bejelentkezési kéréseit, amíg a hitelesítő adatok nem változnak. Ha egy TGT-t az RODC KRBTGT-fiókjával írták alá, az RODC felismeri, hogy rendelkezik a hitelesítő adatok gyorsítótárazott másolatával. Ha egy másik tartományvezérlő aláírja a TGT-t, az rodc továbbítja a kéréseket egy írható tartományvezérlőnek.
KRBTGT-fiókattribútumok
A KRBTGT-fiókattribútumokkal kapcsolatos információért tekintse meg a következő táblázatot.
| Attribute | Value |
|---|---|
| Jól ismert SID/RID | S-1-5-<domain>-502 |
| Típus | User |
| Alapértelmezett tároló | CN=Felhasználók, DC=<domain>, DC= |
| Alapértelmezett tagok | None |
| Alapértelmezett tagja | Tartományfelhasználók csoport. (Az összes felhasználói fiók elsődleges csoportazonosítója tartományfelhasználó.) |
| Az AdminSdHolder védelem alatt áll? | Yes |
| Biztonságos kilépni az alapértelmezett tárolóból? | Áthelyezhető, de nem javasoljuk. |
| Biztonságosan delegálhatja a csoport felügyeletét nem szolgáltatásbeli rendszergazdáknak? | No |
Alapértelmezett helyi fiókok beállításai az Active Directoryban
Az Active Directory minden alapértelmezett helyi fiókja több fiókbeállítással rendelkezik, amelyekkel konfigurálhatja a jelszóbeállításokat és a biztonsági információkat az alábbi táblázatban leírtak szerint:
| Fiókbeállítás | Description |
|---|---|
| A felhasználónak a következő bejelentkezéskor módosítania kell a jelszót | Jelszómódosítás kényszerítése, amikor a felhasználó legközelebb bejelentkezik a hálózatra. Ezt a lehetőséget akkor használja, ha meg szeretné győződni arról, hogy a felhasználó az egyetlen személy, aki ismeri a jelszavát. |
| A felhasználó nem módosíthatja a jelszót | Megakadályozza, hogy a felhasználó módosítsa a jelszót. Ezt a lehetőséget akkor használja, ha fenn szeretné tartani az irányítást egy felhasználói fiók felett, például egy vendég vagy egy ideiglenes fiók felett. |
| A jelszó soha nem jár le | Megakadályozza a felhasználói jelszó lejáratát. Ajánlott ezt a lehetőséget szolgáltatásfiókokkal és erős jelszavakkal engedélyezni. |
| Jelszavak tárolása reverzibilis titkosítással | Támogatást nyújt azoknak az alkalmazásoknak, amelyek hitelesítés céljából olyan protokollokat használnak, amelyek a felhasználó jelszavának egyszerű szöveges formáját igénylik. Erre a beállításra akkor van szükség, ha a Challenge Handshake Authentication Protocol (CHAP) protokollt használja az Internet Authentication Servicesben (IAS), és ha kivonatoló hitelesítést használ az Internet Information Servicesben (IIS). |
| A fiók le van tiltva | Megakadályozza, hogy a felhasználó bejelentkezik a kijelölt fiókkal. Rendszergazdaként használhatja a letiltott fiókokat sablonként a gyakori felhasználói fiókokhoz. |
| Intelligens kártya szükséges az interaktív bejelentkezéshez | A felhasználónak rendelkeznie kell egy intelligens kártyával, amellyel interaktívan bejelentkezhet a hálózatra. A felhasználónak rendelkeznie kell egy intelligenskártya-olvasóval is a számítógéphez csatolva, és érvényes személyi azonosítóval (PIN-kóddal) kell rendelkeznie az intelligens kártyához. Ha ezt az attribútumot alkalmazza a fiókra, a hatás a következő: |
| A fiók megbízható a delegáláshoz | Lehetővé teszi, hogy a fiók alatt futó szolgáltatás műveleteket hajtson végre a hálózaton lévő többi felhasználói fiók nevében. A delegáláshoz megbízható felhasználói fiók (más néven szolgáltatásfiók) alatt futó szolgáltatások megszemélyesíthetik az ügyfelet, hogy hozzáférjenek az erőforrásokhoz, akár azon a számítógépen, amelyen a szolgáltatás fut, akár más számítógépeken. Egy Windows Server 2003 működési szintre beállított erdőben például ez a beállítás a Delegálás lapon található. Csak olyan fiókokhoz érhető el, amelyekhez szolgáltatásnév-neveket (SPN-eket) rendeltek, amelyeket a setspn Windows támogatási eszközeinek parancsával állítottak be. Ez a beállítás biztonsági szempontból érzékeny, ezért óvatosan kell hozzárendelni. |
| A fiók bizalmas, és nem delegálható | Egy felhasználói fiók, például egy vendégfiók vagy egy ideiglenes fiók feletti irányítást biztosít. Ez a beállítás akkor használható, ha ezt a fiókot nem lehet más fiók delegálásához hozzárendelni. |
| DES-titkosítási típusok használata ehhez a fiókhoz | Támogatja az adattitkosítási szabványt (DES). A DES több titkosítási szintet támogat, beleértve a Microsoft Point-to-Point Encryption (MPPE) Standard (40 bites és 56 bites), az MPPE standard (56 bites), az MPPE Strong (128 bites), az Internet Protocol Security (IPSec) DES (40 bites), az IPSec 56 bites DES és az IPSec Triple DES (3DES) protokollt. |
| Nincs szükség Kerberos-előhitelesítésre | Támogatja a Kerberos-protokoll alternatív implementációit. Mivel az előhitelesítés további biztonságot nyújt, körültekintően járjon el, amikor engedélyezi ezt a beállítást. A Windows 2000 vagy a Windows Server 2003 rendszert futtató tartományvezérlők más mechanizmusokkal is szinkronizálhatják az időt. |
Note
A DES alapértelmezés szerint nincs engedélyezve a Windows Server operációs rendszerekben (a Windows Server 2008 R2-től kezdve) vagy a Windows-ügyfél operációs rendszereiben (a Windows 7-től kezdve). Ezekben az operációs rendszerekben a számítógépek alapértelmezés szerint nem használnak DES-CBC-MD5 vagy DES-CBC-CRC titkosítási csomagokat. Ha a környezet DES-t igényel, ez a beállítás befolyásolhatja a környezet ügyfélszámítógépeivel, szolgáltatásaival és alkalmazásaival való kompatibilitást.
További információ: A Kerberos biztonságos üzembe helyezése a DES lekeresésével.
Alapértelmezett helyi fiókok kezelése az Active Directoryban
Az alapértelmezett helyi fiókok telepítése után ezek a fiókok a Felhasználók tárolóban találhatók az Active Directory – Felhasználók és számítógépek mappában. Alapértelmezett helyi fiókokat az Active Directory – Felhasználók és számítógépek Microsoft Felügyeleti konzol (MMC) és parancssori eszközök használatával hozhat létre, tilthat le, állíthat alaphelyzetbe és törölhet.
Az Active Directory -felhasználók és -számítógépek használatával jogosultságokat és engedélyeket rendelhet egy adott helyi tartományvezérlőhöz, és csak az adott tartományvezérlőhöz, hogy korlátozza a helyi felhasználók és csoportok bizonyos műveletek végrehajtását. A jogosultság feljogosítja a felhasználót bizonyos műveletek végrehajtására a számítógépen, például fájlok és mappák biztonsági mentésére vagy a számítógép leállítására. Ezzel szemben a hozzáférési engedély egy objektumhoz, általában egy fájlhoz, mappához vagy nyomtatóhoz társított szabály, amely szabályozza, hogy mely felhasználók férhetnek hozzá az objektumhoz és milyen módon.
További információ a helyi felhasználói fiókok Active Directoryban való létrehozásáról és kezeléséről: Helyi felhasználók kezelése.
Az Active Directory felhasználók és számítógépek használata a tartományvezérlőn lehetővé teszi, hogy a hálózaton olyan távoli számítógépeket célozzon meg, amelyek nem tartományvezérlők.
A Security Compliance Manager (SCM) eszközzel terjeszthető tartományvezérlő-konfigurációkra vonatkozó javaslatokat kaphat a Microsofttól. További információ: Microsoft Security Compliance Manager.
Az alapértelmezett helyi felhasználói fiókok némelyikét egy háttérfolyamat védi, amely rendszeres időközönként ellenőrzi és alkalmazza az adott biztonsági leírót, amely egy olyan adatszerkezet, amely egy védett objektumhoz társított biztonsági információkat tartalmaz. Ez a biztonsági leíró megtalálható az AdminSDHolder objektumon.
Ez azt jelenti, hogy ha módosítani szeretné egy szolgáltatásadminisztrátorcsoport vagy annak bármely tagfiókja engedélyeit, az AdminSDHolder objektum biztonsági leíróját is módosítania kell. Ez a megközelítés biztosítja az engedélyek következetes alkalmazását. A módosítások végrehajtásakor legyen óvatos, mert ez a művelet az összes védett rendszergazdai fiókra alkalmazott alapértelmezett beállításokat is befolyásolhatja.
Bizalmas tartományi fiókok korlátozása és védelme
A tartományfiókok a tartományi környezetben való korlátozásához és védelméhez szükséges, hogy az alábbi ajánlott eljárásokat fogadja el és alkalmazza:
Szigorúan korlátozza a tagságot a Rendszergazdák, a Tartományi rendszergazdák és a Vállalati rendszergazdák csoportra.
Szigorúan szabályozhatja, hogy hol és hogyan használják a tartományi fiókokat.
A rendszergazdák, tartománygazdák és vállalati rendszergazdák csoport tagfiókjai egy tartományban vagy erdőben nagy értékű célpontok a rosszindulatú felhasználók számára. A kitettségek korlátozásához ajánlott szigorúan korlátozni a rendszergazdai csoportok tagságát a legkisebb számú fiókra. A csoportok tagságának korlátozása csökkenti annak a lehetőségét, hogy a rendszergazdák véletlenül visszaélnek ezekkel a hitelesítő adatokkal, és biztonsági rést hoznak létre, amelyet a rosszindulatú felhasználók kihasználhatnak.
Emellett ajánlott eljárás szigorúan szabályozni, hogy hol és hogyan használják a bizalmas tartományi fiókokat. Korlátozza a tartományi rendszergazdai fiókok és más rendszergazdai fiókok használatát, hogy megakadályozza, hogy a felügyelt rendszerekkel azonos szinten védett felügyeleti rendszerekbe és munkaállomásokra jelentkezzenek be. Ha a rendszergazdai fiókok nincsenek ilyen módon korlátozva, minden munkaállomás, ahonnan a tartományi rendszergazda bejelentkezik, egy másik helyet biztosít, amelyet a rosszindulatú felhasználók kihasználhatnak.
Ezeknek az ajánlott eljárásoknak a megvalósítása a következő feladatokra van elkülönítve:
- Rendszergazdai fiókok elkülönítése a felhasználói fiókoktól
- Rendszergazdai bejelentkezési hozzáférés korlátozása kiszolgálókhoz és munkaállomásokhoz
- Bizalmas rendszergazdai fiókok fiókdelegálási jogának letiltása
Annak érdekében, hogy olyan eseteket biztosítson, amelyekben a tartományi környezettel kapcsolatos integrációs kihívások várhatók, az egyes feladatokat a minimális, jobb és ideális megvalósítás követelményei szerint írják le. Az éles környezet minden jelentős változásához hasonlóan a módosítások implementálása és üzembe helyezése előtt győződjön meg arról, hogy ezeket a módosításokat is alaposan teszteli. Ezután úgy állítsa be az üzembe helyezést, hogy technikai problémák esetén visszaállítsa a módosítást.
Rendszergazdai fiókok elkülönítése a felhasználói fiókoktól
Korlátozza a tartományi rendszergazdák és más bizalmas fiókok használatát, hogy ne használják őket a megbízhatósági kiszolgálók és munkaállomások alacsonyabb szintű bejelentkezésére. A rendszergazdai fiókok korlátozása és védelme a rendszergazdai fiókok standard felhasználói fiókoktól való elkülönítésével, a felügyeleti feladatok más feladatoktól való elkülönítésével és a fiókok használatának korlátozásával. Hozzon létre dedikált fiókokat a rendszergazdai hitelesítő adatokat igénylő rendszergazdák számára adott rendszergazdai feladatok elvégzéséhez, majd hozzon létre külön fiókokat más szabványos felhasználói feladatokhoz az alábbi irányelveknek megfelelően:
Kiemelt fiók: Rendszergazdai fiókok lefoglalása csak a következő rendszergazdai feladatok elvégzéséhez:
Minimum: Hozzon létre külön fiókokat tartományi rendszergazdáknak, vállalati rendszergazdáknak vagy azzal egyenértékűnek megfelelő rendszergazdai jogosultságokkal a tartományban vagy az erdőben. Bizalmas rendszergazdai jogosultságokkal rendelkező fiókokat csak tartományi adatok és tartományvezérlők felügyeletére használhat.
Jobb: Hozzon létre külön fiókokat a csökkentett rendszergazdai jogosultságokkal rendelkező rendszergazdák számára, például a munkaállomás-rendszergazdáknak szánt fiókokat, valamint a kijelölt Active Directory szervezeti egységeken (SZERVEZETI-kkel) szemben felhasználói jogosultságokkal rendelkező fiókokat.
Ideális: Hozzon létre több, különálló fiókot egy olyan rendszergazda számára, aki több különböző megbízhatósági szintet igénylő feladatokkal rendelkezik. Állítsa be az egyes rendszergazdai fiókokat különböző felhasználói jogosultságokkal, például a munkaállomások felügyeletéhez, a kiszolgálófelügyelethez és a tartományi felügyelethez, hogy a rendszergazda szigorúan a feladataik alapján jelentkezzen be a megadott munkaállomásokra, kiszolgálókra és tartományvezérlőkre.
Standard felhasználói fiók: Szabványos felhasználói jogosultságok biztosítása szabványos felhasználói feladatokhoz, például e-mailekhez, webböngészéshez és üzletági (LOB) alkalmazások használatához. Ezeket a fiókokat nem szabad rendszergazdai jogosultságokkal ruházni.
Important
Győződjön meg arról, hogy a bizalmas rendszergazdai fiókok nem férnek hozzá az e-mailekhez vagy nem böngészhetnek az interneten az alábbi szakaszban leírtak szerint.
A kiemelt hozzáféréssel kapcsolatos további információkért lásd: Privileged access devices.
Rendszergazdai bejelentkezési hozzáférés korlátozása kiszolgálókhoz és munkaállomásokhoz
Ajánlott eljárás, hogy korlátozzuk, a rendszergazdák ne használják a bizalmas rendszergazdai fiókokat alacsonyabb megbízhatóságú kiszolgálókra és munkaállomásokra való bejelentkezéshez. Ez a korlátozás megakadályozza, hogy a rendszergazdák véletlenül megnövelik a hitelesítő adatok ellopásának kockázatát azáltal, hogy bejelentkeznek egy alacsonyabb megbízhatóságú számítógépre.
Important
Győződjön meg arról, hogy helyi hozzáféréssel rendelkezik a tartományvezérlőhöz, vagy létrehozott legalább egy dedikált felügyeleti munkaállomást.
Korlátozza a bejelentkezési hozzáférést az alacsonyabb megbízhatóságú kiszolgálókhoz és munkaállomásokhoz az alábbi irányelvekkel:
Minimum: Korlátozza a tartományi rendszergazdák számára, hogy bejelentkezési hozzáféréssel rendelkeznek a kiszolgálókhoz és munkaállomásokhoz. Az eljárás megkezdése előtt azonosítsa a munkaállomásokat és kiszolgálókat tartalmazó tartomány összes szervezeti egységét. A nem azonosított szervezeti egységekben lévő számítógépek nem korlátozzák a bizalmas fiókokkal rendelkező rendszergazdák számára a bejelentkezést.
Jobb: Korlátozza a tartománygazdákat a nem tartományvezérlő kiszolgálóktól és munkaállomásoktól.
Ideális: A tartományi rendszergazdákon kívül korlátozza a kiszolgálói rendszergazdáknak a munkaállomásokra való bejelentkezést.
Note
Ebben az eljárásban ne kapcsolja össze a fiókokat azokkal a szervezeti egységekkel, amelyek olyan munkaállomásokat tartalmaznak, amelyek csak rendszergazdai feladatokat végeznek, és nem biztosítanak internet- vagy e-mail-hozzáférést.
Tartománygazdák munkavégzésének korlátozása munkaállomásokról (minimum)
Tartományi rendszergazdaként nyissa meg a csoportházirend-kezelési konzolt (GPMC).
Nyissa meg a csoportházirend-kezelést, bontsa ki <az erdő>\Tartományok\
<domain>elemet.Kattintson a jobb gombbal a Csoportházirend-objektumok elemre, majd válassza az Új lehetőséget.
Az Új csoportházirend-objektum ablakban nevezze el azt a csoportházirend-objektumot, amely korlátozza a rendszergazdáknak a munkaállomásokra való bejelentkezést, majd válassza az OK gombot.
Kattintson a jobb gombbal az Új csoportházirend-objektum elemre, majd válassza a Szerkesztés parancsot.
Felhasználói jogosultságok konfigurálása a helyi bejelentkezés megtagadásához a tartományi rendszergazdák számára.
Válassza a Számítógép-konfigurációs>házirendek>Windows-beállítások>helyi házirendjei lehetőséget, válassza a Felhasználói jogok hozzárendelése lehetőséget, majd tegye a következőket:
Kattintson duplán a Megtagadás helyi bejelentkezés elemre, majd válassza a Szabályzatbeállítások definiálása lehetőséget.
Válassza a Felhasználó vagy csoport hozzáadása lehetőséget, válassza a Tallózás lehetőséget, írja be a Vállalati rendszergazdák parancsot, majd kattintson az OK gombra.
Válassza a Felhasználó vagy csoport hozzáadása lehetőséget, válassza a Tallózás lehetőséget, írja be a Tartománygazdák parancsot, majd kattintson az OK gombra.
Tip
Igény szerint hozzáadhat minden olyan csoportot, amely kiszolgáló-rendszergazdákat tartalmaz, akiket korlátozni szeretne a munkaállomásokra való bejelentkezéstől.
Note
A lépés végrehajtása problémákat okozhat az ütemezett feladatként futó rendszergazdai tevékenységekkel vagy a Tartományi rendszergazdák csoport fiókokkal rendelkező szolgáltatásaival. A tartományi rendszergazdai fiókok munkaállomásokon történő futtatásának gyakorlata jelentős kockázatot jelent a hitelesítő adatok ellopására irányuló támadások esetén, ezért az ütemezett feladatok vagy szolgáltatások futtatásának alternatív eszközeivel kell felváltani.
d. A konfiguráció befejezéséhez válassza az OK gombot.
Kapcsolja össze a csoportházirend-objektumot az első munkaállomások szervezeti egységével. Navigáljon az <erdő>\Domains\
<domain>\OU útvonalra, és tegye a következőket:a. Kattintson a jobb gombbal a munkaállomás szervezeti egységen, majd válasszon létező csoportházirend-objektum összekapcsolása lehetőséget.
b. Válassza ki az imént létrehozott csoportházirend-objektumot, majd kattintson az OK gombra.
Tesztelje a vállalati alkalmazások funkcióit a munkaállomásokon az első szervezeti egységben, és oldja meg az új szabályzat által okozott problémákat.
Csatolja az összes többi munkaállomást tartalmazó szervezeti egységeket.
Ne hozzon létre azonban hivatkozást a felügyeleti munkaállomás szervezeti egységére, ha olyan felügyeleti munkaállomásokhoz van létrehozva, amelyek csak adminisztrációs feladatokra vannak kijelölve, és nem férnek hozzá az internethez vagy az e-mailhez.
Important
Ha később kibővíti ezt a megoldást, ne tiltsa le a tartományi felhasználók csoport bejelentkezési jogosultságát. A Tartományfelhasználók csoport a tartomány összes felhasználói fiókját tartalmazza, beleértve a felhasználókat, a tartományi rendszergazdákat és a vállalati rendszergazdákat.
Bizalmas rendszergazdai fiókok fiókdelegálási jogának letiltása
Bár a felhasználói fiókok alapértelmezés szerint nem delegálásra vannak megjelölve, az Active Directory-tartományban lévő fiókok megbízhatók lehetnek a delegáláshoz. Ez azt jelenti, hogy egy delegálásra megbízható szolgáltatás vagy számítógép megszemélyesíthet egy fiókot, amely hozzá hitelesíti magát, hogy hozzáférjen más erőforrásokhoz a hálózaton keresztül.
A bizalmas fiókok, például az Active Directory rendszergazdák, tartományi rendszergazdák vagy vállalati rendszergazdák csoportjának tagjaihoz tartozó fiókok esetében a delegálás jelentős jogosultság-eszkalálási kockázatot jelenthet. Ha például a Tartománygazdák csoport egyik fiókjával bejelentkezik egy megbízható delegálásra megbízható tagkiszolgálóra, akkor a kiszolgáló hozzáférést kérhet az erőforrásokhoz a Tartománygazdák fiók környezetében, és a tagkiszolgáló feltörését tartományi biztonsági résre eszkalálhatja.
Ajánlott úgy konfigurálni a felhasználói objektumokat az Active Directory összes bizalmas fiókjához, hogy bejelöli a Fiók bizalmas, és nem delegálható jelölőnégyzetet a Fiókbeállítások csoportban, hogy megakadályozza a fiókok delegálását. További információ: Beállítások az Active Directory alapértelmezett helyi fiókjaihoz.
Mint minden konfigurációmódosítás esetén, ezt az engedélyezett beállítást is tesztelje teljes mértékben annak érdekében, hogy a implementálás előtt megfelelően teljesítsen.
Tartományvezérlők védelme és kezelése
Ajánlott szigorúan érvényesíteni a környezet tartományvezérlőire vonatkozó korlátozásokat. Ez biztosítja, hogy a tartományvezérlők:
- Csak a szükséges szoftvereket futtassa.
- A szoftver rendszeres frissítésének megkövetelése.
- A rendszer a megfelelő biztonsági beállításokkal van konfigurálva.
A tartományvezérlők biztonságossá tételének és kezelésének egyik aspektusa az alapértelmezett helyi felhasználói fiókok teljes védelme. Elsődleges fontosságú az összes bizalmas tartományi fiók korlátozása és védelme az előző szakaszokban leírtak szerint.
Mivel a tartományvezérlők a tartományban lévő összes fiók hitelesítőadat-jelszókivonatát tárolják, a rosszindulatú felhasználók számára nagy értékű célpontok. Ha a tartományvezérlőket nem megfelelően kezelik és védik szigorúan kikényszerített korlátozásokkal, rosszindulatú felhasználók veszélyeztethetik őket. Egy rosszindulatú felhasználó például ellophat bizalmas tartományi rendszergazdai hitelesítő adatokat egy tartományvezérlőről, majd ezekkel a hitelesítő adatokkal támadhatja meg a tartományt és az erdőt.
Emellett a tartományvezérlőkre telepített alkalmazások és felügyeleti ügynökök olyan eszkalálódási pályát biztosíthatnak, amellyel a rosszindulatú felhasználók veszélyeztethetik a szolgáltatás felügyeleti szolgáltatását vagy rendszergazdáit. A tartományvezérlők és a tartományi rendszergazdai fiókok biztonsága érdekében a szervezet által a tartományvezérlők és a rendszergazdák kezelésére használt felügyeleti eszközök és szolgáltatások egyaránt fontosak. Bizonyosodjon meg arról, hogy ezek a szolgáltatások és rendszergazdák egyenlő erőfeszítéssel vannak teljes mértékben védve.