Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Systemy operacyjne Windows Server są instalowane z domyślnymi kontami lokalnymi. Ponadto można tworzyć konta użytkowników, aby spełnić wymagania organizacji.
W tym artykule opisano domyślne konta lokalne systemu Windows Server przechowywane lokalnie na kontrolerze domeny i używane w usłudze Active Directory. Nie opisuje domyślnych kont użytkowników lokalnych dla komputera będącego członkiem, serwera autonomicznego ani komputera klienckiego z systemem Windows. Aby uzyskać więcej informacji, zobacz Konta lokalne.
Domyślne konta lokalne w usłudze Active Directory
Domyślne konta lokalne to wbudowane konta tworzone automatycznie po zainstalowaniu kontrolera domeny systemu Windows Server i utworzeniu domeny. Te domyślne konta lokalne mają odpowiedniki w usłudze Active Directory. Mają również dostęp do całej domeny i są całkowicie oddzielone od domyślnych kont użytkowników lokalnych dla serwera członkowskiego lub autonomicznego.
Uprawnienia i autoryzacje można przypisać do domyślnych kont lokalnych na konkretnym kontrolerze domeny i tylko na tym kontrolerze domeny. Te konta są lokalne w domenie. Po zainstalowaniu domyślnych kont lokalnych są one przechowywane w kontenerze Użytkownicy i komputery usługi Active Directory. Najlepszym rozwiązaniem jest zachowanie domyślnych kont lokalnych w kontenerze Użytkownik, a nie próba przeniesienia tych kont do innej jednostki organizacyjnej (OU).
Domyślne konta lokalne w kontenerze Users obejmują: Administrator, Gość i KRBTGT. Konto HelpAssistant jest instalowane po ustanowieniu sesji pomocy zdalnej. W poniższych sekcjach opisano domyślne konta lokalne i ich użycie w usłudze Active Directory.
Domyślne konta lokalne wykonują następujące akcje:
Pozwól domenie reprezentować, identyfikować i uwierzytelniać tożsamość użytkownika przypisanego do konta przy użyciu unikatowych poświadczeń (nazwy użytkownika i hasła). Najlepszym rozwiązaniem jest przypisanie każdego użytkownika do jednego konta w celu zapewnienia maksymalnego bezpieczeństwa. Wielu użytkowników nie może udostępniać jednego konta. Konto użytkownika umożliwia użytkownikowi logowanie się na komputerach, sieciach i domenach przy użyciu unikatowego identyfikatora, który może zostać uwierzytelniony przez komputer, sieć lub domenę.
Autoryzowanie (udzielanie lub odmawianie) dostępu do zasobów. Po uwierzytelnieniu poświadczeń użytkownika użytkownik jest autoryzowany do uzyskiwania dostępu do zasobów sieci i domeny na podstawie jawnie przypisanych praw użytkownika do zasobu.
Przeprowadź inspekcję akcji wykonywanych na kontach użytkowników.
W usłudze Active Directory administratorzy używają domyślnych kont lokalnych do zarządzania serwerami domeny i członkami bezpośrednio i z dedykowanych stacji roboczych administracyjnych. Konta usługi Active Directory zapewniają dostęp do zasobów sieciowych. Konta użytkowników usługi Active Directory i konta komputerów mogą reprezentować jednostkę fizyczną, taką jak komputer lub osoba, lub pełnić rolę dedykowanych kont usług dla niektórych aplikacji.
Każde domyślne konto lokalne jest automatycznie przypisywane do grupy zabezpieczeń, która jest wstępnie skonfigurowana z odpowiednimi uprawnieniami i uprawnieniami do wykonywania określonych zadań. Grupy zabezpieczeń usługi Active Directory zbierają konta użytkowników, konta komputerów i inne grupy w jednostkach, którymi można zarządzać. Aby uzyskać więcej informacji, zobacz Grupy zabezpieczeń usługi Active Directory.
Na kontrolerze domeny usługi Active Directory każde domyślne konto lokalne jest określane jako podmiot zabezpieczeń. Podmiot zabezpieczeń to obiekt katalogu używany do zabezpieczania usług Active Directory i zarządzania nimi, które zapewniają dostęp do zasobów kontrolera domeny. Podmiot zabezpieczeń obejmuje obiekty, takie jak konta użytkowników, konta komputerów, grupy zabezpieczeń lub wątki lub procesy uruchamiane w kontekście zabezpieczeń konta użytkownika lub komputera. Aby uzyskać więcej informacji, zobacz Podmioty zabezpieczeń.
Podmiot zabezpieczeń jest reprezentowany przez unikatowy identyfikator zabezpieczeń (SID). Identyfikatory SID powiązane z każdym z domyślnych kont lokalnych w usłudze Active Directory są opisane w następnych sekcjach.
Niektóre domyślne konta lokalne są chronione przez proces w tle, który okresowo sprawdza i stosuje określony deskryptor zabezpieczeń. Deskryptor zabezpieczeń to struktura danych zawierająca informacje o zabezpieczeniach skojarzone z chronionym obiektem. Ten proces gwarantuje, że każda pomyślna nieautoryzowana próba zmodyfikowania deskryptora zabezpieczeń na jednym z domyślnych kont lokalnych lub grup zostanie zastąpiona ustawieniami chronionymi.
Ten deskryptor zabezpieczeń znajduje się w obiekcie AdminSDHolder. Jeśli chcesz zmodyfikować uprawnienia do jednej z grup administratorów usługi lub dowolnego z jego kont członkowskich, musisz zmodyfikować deskryptor zabezpieczeń w obiekcie AdminSDHolder, aby upewnić się, że jest on stosowany spójnie. Podczas wprowadzania tych modyfikacji należy zachować ostrożność, ponieważ zmieniasz również ustawienia domyślne, które są stosowane do wszystkich kont chronionych.
Konto administratora
Konto administratora to domyślne konto używane we wszystkich wersjach systemu operacyjnego Windows na każdym komputerze i urządzeniu. Konto administratora jest używane przez administratora systemu do zadań wymagających poświadczeń administracyjnych. Nie można usunąć ani zablokować tego konta, ale można zmienić nazwę lub wyłączyć konto.
Konto administratora zapewnia użytkownikowi pełny dostęp (uprawnienia pełna kontrola) do plików, katalogów, usług i innych zasobów, które znajdują się na tym serwerze lokalnym. Możesz użyć konta administratora, aby utworzyć użytkowników lokalnych i przypisać prawa użytkownika i uprawnienia kontroli dostępu. Możesz również użyć konta, aby w dowolnym momencie przejąć kontrolę nad zasobami lokalnymi, zmieniając prawa użytkownika i uprawnienia. Mimo że pliki i katalogi mogą być tymczasowo chronione przed kontem administratora, konto może przejąć kontrolę nad tymi zasobami w dowolnym momencie, zmieniając uprawnienia dostępu.
Członkostwo w grupie kont
Konto administratora ma członkostwo w domyślnych grupach zabezpieczeń, zgodnie z opisem w tabeli Atrybuty konta administratora w dalszej części tego artykułu.
Grupy zabezpieczeń zapewniają możliwość kontrolowania praw administratora bez konieczności zmiany każdego konta administratora. W większości przypadków nie trzeba zmieniać podstawowych ustawień tego konta. Może jednak być konieczne zmianę ustawień zaawansowanych, takich jak członkostwo w określonych grupach.
Zagadnienia dotyczące zabezpieczeń
Po zainstalowaniu systemu operacyjnego serwera pierwszym zadaniem jest bezpieczne skonfigurowanie właściwości konta administratora. Obejmuje to skonfigurowanie szczególnie długiego, silnego hasła oraz zabezpieczenia ustawień profilu Zdalne sterowanie i usługi pulpitu zdalnego.
Konto administratora można również wyłączyć, gdy nie jest wymagane. Zmiana nazwy lub wyłączenie konta administratora utrudnia złośliwym użytkownikom próbę uzyskania dostępu do konta. Jednak nawet jeśli konto administratora jest wyłączone, nadal może służyć do uzyskiwania dostępu do kontrolera domeny przy użyciu trybu bezpiecznego.
Na kontrolerze domeny konto administratora staje się kontem administratora domeny. Konto administratora domeny służy do logowania się do kontrolera domeny, a to konto wymaga silnego hasła. Konto administratora domeny zapewnia dostęp do zasobów domeny.
Uwaga
Po początkowym zainstalowaniu kontrolera domeny można zalogować się i użyć Menedżera serwera do skonfigurowania konta administratora lokalnego z uprawnieniami i uprawnieniami, które chcesz przypisać. Na przykład możesz użyć konta administratora lokalnego do zarządzania systemem operacyjnym podczas pierwszej instalacji. Korzystając z tego podejścia, można skonfigurować system operacyjny bez blokowania. Ogólnie rzecz biorąc, po zakończeniu instalacji nie trzeba używać konta. Konta użytkowników lokalnych można utworzyć na kontrolerze domeny tylko przed zainstalowaniem usług Active Directory Domain Services, a nie później.
Po zainstalowaniu usługi Active Directory na pierwszym kontrolerze domeny w domenie konto administratora jest tworzone dla usługi Active Directory. Konto administratora jest najbardziej zaawansowanym kontem w domenie. Ma on dostęp do całej domeny oraz uprawnienia administracyjne do zarządzania komputerem i domeną, a także dysponuje najszerszymi prawami i uprawnieniami w domenie. Osoba, która instaluje usługi Active Directory Domain Services na komputerze, tworzy hasło dla tego konta podczas instalacji.
Atrybuty konta administratora
| [No changes needed]) | Wartość |
|---|---|
| Powszechnie znany SID/RID | S-1-5-<domain>-500 |
| Typ | Użytkownik |
| Kontener domyślny | CN=Users, DC=<domain>, DC= |
| Domyślni członkowie | N/A |
| Domyślny członek | Administratorzy, administratorzy domeny, administratorzy przedsiębiorstwa, użytkownicy domeny (identyfikator grupy podstawowej wszystkich kont użytkowników to Użytkownicy domeny) Właściciele tworzący zasady grup i administratorzy schematu w grupie Użytkownicy domeny Active Directory |
| Chronione przez AdminSdHolder? | Tak |
| Czy przeniesienie się z domyślnego kontenera jest bezpieczne? | Tak |
| Bezpieczne delegowanie zarządzania tą grupą do administratorów nieusługowych? | Nie. |
Konto gościa
Konto gościa jest domyślnym kontem lokalnym, które ma ograniczony dostęp do komputera i jest domyślnie wyłączone. Domyślnie hasło konta gościa jest puste. Puste hasło umożliwia dostęp do konta gościa bez konieczności wprowadzania hasła przez użytkownika.
Konto gościa umożliwia sporadycznym lub jednorazowym użytkownikom, którzy nie mają indywidualnego konta na komputerze, aby zalogować się do serwera lokalnego lub domeny z ograniczonymi prawami i uprawnieniami. Konto gościa można włączyć, a hasło można skonfigurować w razie potrzeby, ale tylko przez członka grupy Administrator w domenie.
Członkostwo w grupie kont gościa
Konto gościa ma członkostwo w domyślnych grupach zabezpieczeń opisanych w poniższej tabeli atrybutów konta gościa. Domyślnie konto gościa jest jedynym członkiem domyślnej grupy Goście, która umożliwia użytkownikowi logowanie się na serwerze oraz grupę globalną Gości domeny, która umożliwia użytkownikowi logowanie się do domeny.
Członek grupy Administratorzy lub Administratorzy domeny może skonfigurować użytkownika z kontem gościa na co najmniej jednym komputerze.
Zagadnienia dotyczące zabezpieczeń konta gościa
Ponieważ konto gościa może zapewnić anonimowy dostęp, stanowi zagrożenie bezpieczeństwa. Ma również identyfikator SID, który jest dobrze znany. Z tego powodu najlepszym rozwiązaniem jest pozostawienie wyłączonego konta gościa, chyba że jest wymagane jego użycie, a następnie tylko z ograniczonymi prawami i uprawnieniami przez bardzo ograniczony okres czasu.
Jeśli konto gościa jest wymagane, administrator na kontrolerze domeny jest wymagany do włączenia konta gościa. Konto gościa można włączyć bez wymagania hasła lub można je włączyć przy użyciu silnego hasła. Administrator udziela również ograniczonych praw i uprawnień dla konta gościa. Aby zapobiec nieautoryzowanemu dostępowi:
Nie udzielaj konta gościa w prawo Zamknij użytkownika systemowego . Po zamknięciu lub uruchomieniu komputera możliwe jest, że użytkownik-gość lub każda osoba mająca dostęp lokalny, taki jak złośliwy użytkownik, może uzyskać nieautoryzowany dostęp do komputera.
Nie udostępniaj konta gościa z możliwością wyświetlania dzienników zdarzeń. Po włączeniu konta gościa najlepszym rozwiązaniem jest częste monitorowanie tego konta w celu zapewnienia, że inni użytkownicy nie mogą korzystać z usług i innych zasobów, takich jak zasoby, które zostały przypadkowo pozostawione dostępne przez poprzedniego użytkownika.
Nie używaj konta gościa, gdy serwer ma dostęp do sieci zewnętrznej lub dostęp do innych komputerów.
Jeśli zdecydujesz się włączyć konto gościa, pamiętaj, aby ograniczyć jego użycie i regularnie zmieniać hasło. Podobnie jak w przypadku konta administratora, możesz zmienić nazwę konta na dodatkowe środki ostrożności.
Ponadto administrator jest odpowiedzialny za zarządzanie kontem gościa. Administrator monitoruje konto gościa, wyłącza konto gościa, gdy nie jest już używane, i zmienia lub usuwa hasło zgodnie z potrzebami.
Aby uzyskać szczegółowe informacje o atrybutach konta gościa, zobacz następującą tabelę:
Atrybuty konta gościa
| [No changes needed]) | Wartość |
|---|---|
| Powszechnie znany SID/RID | S-1-5-<domain>-501 |
| Typ | Użytkownik |
| Kontener domyślny | CN=Users, DC=<domain>, DC= |
| Domyślni członkowie | Żaden |
| Domyślny członek | Goście, goście domeny |
| Chronione przez AdminSdHolder? | Nie. |
| Czy przeniesienie się z domyślnego kontenera jest bezpieczne? | Można to przenieść, ale nie zalecamy. |
| Czy bezpiecznie delegować zarządzanie tą grupą do administratorów innych niż usługi? | Nie. |
Konto HelpAssistant (zainstalowane z sesją pomocy zdalnej)
Konto HelpAssistant jest domyślnym kontem lokalnym, które jest włączone po uruchomieniu sesji pomocy zdalnej. To konto jest automatycznie wyłączone, gdy żadne żądania pomocy zdalnej nie oczekują.
HelpAssistant to konto podstawowe używane do ustanawiania sesji pomocy zdalnej. Sesja pomocy zdalnej służy do nawiązywania połączenia z innym komputerem z systemem operacyjnym Windows i jest inicjowany przez zaproszenie. W celu uzyskania pomocy zdalnej użytkownik wysyła zaproszenie z komputera za pośrednictwem poczty e-mail lub jako pliku do osoby, która może udzielić pomocy. Po zaakceptowaniu zaproszenia użytkownika do sesji Pomocy zdalnej, domyślne konto HelpAssistant jest automatycznie tworzone, aby dać osobie świadczącej pomoc ograniczony dostęp do komputera. Konto HelpAssistant jest zarządzane przez usługę Menadżer sesji Zdalnego Pulpitu.
Zagadnienia dotyczące zabezpieczeń HelpAssistant
Identyfikatory SID odnoszące się do domyślnego konta HelpAssistant obejmują:
IDENTYFIKATOR SID: S-1-5-
<domain>-13, nazwa wyświetlana Użytkownik Serwera Terminalu. Ta grupa obejmuje wszystkich użytkowników, którzy logowali się na serwerze z włączonymi usługami pulpitu zdalnego. W systemie Windows Server 2008 usługi pulpitu zdalnego są nazywane usługami terminali.IDENTYFIKATOR SID: S-1-5-
<domain>-14, nazwa wyświetlana Zdalne Interaktywne Logowanie. Ta grupa obejmuje wszystkich użytkowników, którzy łączą się z komputerem przy użyciu połączenia pulpitu zdalnego. Ta grupa jest podzbiorem grupy interaktywnej. Tokeny dostępu zawierające identyfikator SID zdalnego logowania interaktywnego również zawierają identyfikator SID logowania interaktywnego.
W przypadku systemu operacyjnego Windows Server pomoc zdalna jest opcjonalnym składnikiem, który nie jest instalowany domyślnie. Aby można było go użyć, należy zainstalować pomoc zdalną.
Aby uzyskać szczegółowe informacje o atrybutach konta HelpAssistant, zobacz następującą tabelę:
Atrybuty konta HelpAssistant
| [No changes needed]) | Wartość |
|---|---|
| Powszechnie znany SID/RID | S-1-5--<domain>13 (użytkownik serwera terminalu), S-1-5-<domain>-14 (zdalne logowanie interakcyjne) |
| Typ | Użytkownik |
| Kontener domyślny | CN=Users, DC=<domain>, DC= |
| Domyślni członkowie | Żaden |
| Domyślny członek | Goście domeny Goście |
| Chronione przez AdminSdHolder? | Nie. |
| Czy przeniesienie się z domyślnego kontenera jest bezpieczne? | Można to przenieść, ale nie zalecamy. |
| Czy bezpiecznie delegować zarządzanie tą grupą do administratorów innych niż usługi? | Nie. |
Konto KRBTGT
Konto KRBTGT to lokalne konto domyślne, które działa jako konto usługi dla usługi Centrum dystrybucji kluczy (KDC). Nie można usunąć tego konta i nie można zmienić nazwy konta. Nie można włączyć konta KRBTGT w usłudze Active Directory.
KRBTGT jest również główną nazwą zabezpieczeń używaną przez centrum dystrybucji kluczy dla domeny systemu Windows Server, zgodnie z specyfikacją RFC 4120. Konto KRBTGT jest jednostką podmiotu zabezpieczeń KRBTGT i jest tworzone automatycznie po utworzeniu nowej domeny.
Uwierzytelnianie Kerberos w systemie Windows Server osiągane jest poprzez użycie specjalnego biletu przydzielania (TGT) protokołu Kerberos zaszyfrowanego kluczem symetrycznym. Ten klucz pochodzi z hasła serwera lub usługi, do której jest żądany dostęp. Hasło TGT konta KRBTGT jest znane tylko przez usługę Kerberos. Aby uzyskać bilet sesyjny, musisz przedstawić bilet TGT Serwerowi Dystrybucji Kluczy. Bilet TGT jest wystawiany klientowi Kerberos z serwera KDC.
Zagadnienia dotyczące konserwacji konta KRBTGT
Automatycznie przypisywane jest silne hasło do kont KRBTGT i kont zaufania. Te hasła należy zmienić zgodnie z harmonogramem, tak jak w przypadku dowolnego uprzywilejowanego konta usługi. Hasło dla konta KDC jest używane do uzyskania klucza tajnego do szyfrowania i odszyfrowywania wystawionych żądań TGT. Hasło do konta zaufania domeny jest używane do wyprowadzenia klucza międzyrealmowego na potrzeby szyfrowania biletów referencyjnych.
Aby zresetować hasło, musisz być członkiem grupy Administratorzy domeny lub mieć delegowane odpowiednie uprawnienia. Ponadto musisz być członkiem lokalnej grupy Administratorzy lub mieć delegowane odpowiednie uprawnienia.
Po zresetowaniu hasła KRBTGT upewnij się, że zdarzenie o identyfikatorze 9 z klucza wydarzeń (Kerberos) Key-Distribution-Center jest zapisywane w dzienniku zdarzeń systemu.
Zagadnienia dotyczące zabezpieczeń konta KRBTGT
Najlepszym rozwiązaniem jest również zresetowanie hasła konta KRBTGT w celu zapewnienia, że nowo przywrócony kontroler domeny nie replikuje z naruszonym kontrolerem domeny. W takim przypadku w dużym odzyskiwaniu lasu rozłożonym w wielu lokalizacjach nie można zagwarantować, że wszystkie kontrolery domeny zostaną zamknięte i, jeśli zostaną zamknięte, nie można ich ponownie uruchomić przed wykonaniem wszystkich odpowiednich kroków odzyskiwania. Po zresetowaniu konta KRBTGT inny kontroler domeny nie może replikować tego hasła konta przy użyciu starego hasła.
Organizacja podejrzewającą naruszenie zabezpieczeń domeny konta KRBTGT powinna rozważyć użycie profesjonalnych usług reagowania na zdarzenia. Wpływ na przywrócenie własności konta jest obejmujący całą domenę, pracochłonny i powinien zostać podjęty w ramach większego nakładu pracy w zakresie odzyskiwania.
Hasło KRBTGT jest kluczem, na którym opiera się cały łańcuch zaufania w protokole Kerberos. Zresetowanie hasła KRBTGT jest podobne do odnawiania certyfikatu głównego urzędu certyfikacji przy użyciu nowego klucza, z natychmiastowym odrzuceniem starego klucza, co wpływa na prawie wszystkie kolejne operacje związane z protokołem Kerberos.
Dla wszystkich typów kont (użytkowników, komputerów i usług):
Wszystkie TGT, które zostały już wydane i dystrybuowane, będą nieważne, ponieważ kontrolery domeny je odrzucą. Te bilety są szyfrowane przy użyciu klucza KRBTGT, dzięki czemu każdy kontroler domeny może je zwalidować. Gdy hasło ulegnie zmianie, bilety staną się nieprawidłowe.
Wszystkie aktualnie uwierzytelnione sesje utworzone przez zalogowanych użytkowników (na podstawie ich biletów usług) do zasobu (takiego jak udział plików, witryna programu SharePoint lub serwer Programu Exchange) są dobre, dopóki bilet usługi nie będzie wymagany do ponownego uwierzytelnienia.
Nie ma to wpływu na uwierzytelnione połączenia NTLM.
Ponieważ nie można przewidzieć określonych błędów, które wystąpią dla danego użytkownika w środowisku operacyjnym produkcyjnym, należy założyć, że dotyczy to wszystkich komputerów i użytkowników.
Ważne
Ponowne uruchomienie komputera jest jedynym niezawodnym sposobem odzyskania funkcji, ponieważ spowoduje to ponowne zalogowanie się zarówno na koncie komputera, jak i kontach użytkowników. Ponowne zalogowanie spowoduje żądanie nowych TGTs, które są prawidłowe w nowym KRBTGT, co poprawi wszelkie problemy operacyjne związane z KRBTGT na tym komputerze.
Kontrolery domeny tylko do odczytu i konto KRBTGT
Kontroler RODC jest anonsowany jako centrum dystrybucji kluczy (KDC) dla oddziału. Kontroler RODC używa innego konta KRBTGT i hasła niż KDC na kontrolerze domeny z możliwością zapisu, gdy podpisuje lub szyfruje żądania TGT. Po pomyślnym uwierzytelnieniu konta kontroler RODC określa, czy poświadczenia użytkownika lub poświadczenia komputera można replikować z zapisywalnego kontrolera domeny do kontrolera RODC przy użyciu zasad replikacji haseł.
Po zbuforowaniu poświadczeń na kontrolerze RODC, RODC może zaakceptować żądania logowania tego użytkownika, dopóki poświadczenia się nie zmienią. Po podpisaniu biletu TGT przy użyciu konta KRBTGT kontrolera RODC, RODC rozpoznaje, że ma w pamięci kopię poświadczeń. Jeśli inny kontroler domeny podpisze TGT, kontroler RODC przekazuje żądania do zapisywalnego kontrolera domeny.
Atrybuty konta KRBTGT
Aby uzyskać szczegółowe informacje o atrybutach konta KRBTGT, zobacz następującą tabelę:
| [No changes needed]) | Wartość |
|---|---|
| Powszechnie znany SID/RID | S-1-5-<domain>-502 |
| Typ | Użytkownik |
| Kontener domyślny | CN=Users, DC=<domain>, DC= |
| Domyślni członkowie | Żaden |
| Domyślny członek | Grupa Użytkownicy domeny. (Identyfikator grupy podstawowej wszystkich kont użytkowników to Użytkownicy domeny). |
| Chronione przez adminSdHolder? | Tak |
| Czy przeniesienie się z domyślnego kontenera jest bezpieczne? | Można to przenieść, ale nie zalecamy. |
| Czy bezpiecznie delegować zarządzanie tą grupą do administratorów innych niż usługi? | Nie. |
Ustawienia domyślnych kont lokalnych w usłudze Active Directory
Każde domyślne konto lokalne w usłudze Active Directory ma kilka ustawień konta, których można użyć do skonfigurowania ustawień haseł i informacji specyficznych dla zabezpieczeń, zgodnie z opisem w poniższej tabeli:
| Ustawienie konta | Opis |
|---|---|
| Użytkownik musi zmienić hasło przy następnym logowaniu | Wymusza zmianę hasła przy następnym zalogowaniu się użytkownika do sieci. Użyj tej opcji, jeśli chcesz upewnić się, że użytkownik jest jedyną osobą, która zna swoje hasło. |
| Użytkownik nie może zmienić hasła | Uniemożliwia użytkownikowi zmianę hasła. Użyj tej opcji, jeśli chcesz zachować kontrolę nad kontem użytkownika, takim jak konto gościa lub konta tymczasowego. |
| Hasło nigdy nie wygasa | Uniemożliwia wygasanie hasła użytkownika. Najlepszym rozwiązaniem jest włączenie tej opcji przy użyciu kont usług i używanie silnych haseł. |
| Przechowywanie haseł przy użyciu szyfrowania odwracalnego | Zapewnia obsługę aplikacji korzystających z protokołów wymagających znajomości postaci zwykłego tekstu hasła użytkownika do celów uwierzytelniania. Ta opcja jest wymagana w przypadku korzystania z protokołu uwierzytelniania typu challenge handshake (CHAP) w usługach Internet Authentication Services (IAS) oraz w przypadku korzystania z uwierzytelniania typu digest w usługach Internet Information Services (IIS). |
| Konto jest wyłączone | Uniemożliwia użytkownikowi logowanie się przy użyciu wybranego konta. Jako administrator możesz używać wyłączonych kont jako szablonów dla typowych kont użytkowników. |
| Karta inteligentna jest wymagana do logowania interakcyjnego | Wymaga, aby użytkownik miał kartę inteligentną do interaktywnego logowania się do sieci. Użytkownik musi również mieć czytnik kart inteligentnych dołączony do komputera oraz prawidłowy osobisty numer identyfikacyjny (PIN) dla karty inteligentnej. Po zastosowaniu tego atrybutu na koncie efekt jest następujący: |
| Konto jest zaufane dla delegowania | Umożliwia usłudze działającej na tym koncie wykonywanie operacji w imieniu innych kont użytkowników w sieci. Usługa działająca na koncie użytkownika (znanym również jako konto usługi), która jest zaufana do celów delegowania, może podszywać się pod klienta w celu uzyskania dostępu do zasobów, zarówno na komputerze, na którym działa usługa, jak i na innych komputerach. Na przykład w lesie ustawionym na poziom funkcjonalności systemu Windows Server 2003 to ustawienie znajduje się na karcie Delegowanie. Jest ona dostępna tylko dla kont, które zostały przypisane nazwy główne usługi (SPN), które są ustawione przy użyciu setspn polecenia z narzędzi pomocy technicznej systemu Windows. To ustawienie jest wrażliwe na zabezpieczenia i powinno być przypisane ostrożnie. |
| Konto jest poufne i nie można go delegować | Zapewnia kontrolę nad kontem użytkownika, takim jak konto gościa lub konto tymczasowe. Tej opcji można użyć, jeśli nie można przypisać tego konta do delegowania przez inne konto. |
| Użyj typów szyfrowania DES dla tego konta | Zapewnia obsługę standardu szyfrowania danych (DES). DES obsługuje wiele poziomów szyfrowania, w tym Standard Szyfrowania Punkt-Punkt Microsoft (MPPE) (40-bitowy i 56-bitowy), standard MPPE (56-bitowy), MPPE Strong (128-bitowy), Internet Protocol Security (IPSec) DES (40-bitowy), IPSec 56-bitowy DES i IPSec Triple DES (3DES). |
| Nie wymagaj wstępnej autoryzacji Kerberos | Zapewnia obsługę alternatywnych implementacji protokołu Kerberos. Ponieważ wstępne uwierzytelnianie zapewnia dodatkowe zabezpieczenia, należy zachować ostrożność podczas włączania tej opcji. Kontrolery domeny z systemem Windows 2000 lub Windows Server 2003 mogą używać innych mechanizmów do synchronizowania czasu. |
Uwaga
Des nie jest domyślnie włączona w systemach operacyjnych Windows Server (począwszy od systemu Windows Server 2008 R2) ani w systemach operacyjnych klienta systemu Windows (począwszy od systemu Windows 7). W przypadku tych systemów operacyjnych komputery nie będą domyślnie używać zestawów szyfrów DES-CBC-MD5 ani DES-CBC-CRC. Jeśli środowisko wymaga des, to ustawienie może mieć wpływ na zgodność z komputerami klienckimi lub usługami i aplikacjami w danym środowisku.
Aby uzyskać więcej informacji, zobacz Eliminowanie DES w celu bezpiecznego wdrażania Kerberos.
Zarządzanie domyślnymi kontami lokalnymi w usłudze Active Directory
Po zainstalowaniu domyślnych kont lokalnych te konta znajdują się w kontenerze Użytkownicy w usłudze Active Directory Użytkownicy i komputery. Możesz tworzyć, wyłączać, resetować i usuwać domyślne konta lokalne przy użyciu programu Microsoft Management Console (MMC) usługi Active Directory oraz za pomocą narzędzi wiersza polecenia.
Za pomocą narzędzia Użytkownicy i Komputery usługi Active Directory można przypisywać prawa i uprawnienia do określonego lokalnego kontrolera domeny, i tylko tego kontrolera domeny, aby ograniczyć możliwość wykonywania określonych czynności przez lokalnych użytkowników i grupy. Prawo zezwala użytkownikowi na wykonywanie pewnych akcji na komputerze, takich jak tworzenie kopii zapasowych plików i folderów lub zamykanie komputera. Natomiast uprawnienie dostępu to reguła skojarzona z obiektem, zwykle plikiem, folderem lub drukarką, która reguluje, którzy użytkownicy mogą mieć dostęp do obiektu i w jaki sposób.
Aby uzyskać więcej informacji na temat tworzenia kont użytkowników lokalnych i zarządzania nimi w usłudze Active Directory, zobacz Zarządzanie użytkownikami lokalnymi.
Można również użyć przystawki Użytkownicy i komputery usługi Active Directory na kontrolerze domeny, aby celować w komputery zdalne, które nie są kontrolerami domeny w sieci.
Możesz uzyskać rekomendacje firmy Microsoft dotyczące konfiguracji kontrolera domeny, które można rozpowszechniać za pomocą narzędzia Menedżer zgodności zabezpieczeń (SCM). Aby uzyskać więcej informacji, zobacz Menedżer zgodności zabezpieczeń firmy Microsoft.
Niektóre domyślne konta użytkowników lokalnych są chronione przez proces w tle, który okresowo sprawdza i stosuje określony deskryptor zabezpieczeń, który jest strukturą danych zawierającą informacje o zabezpieczeniach skojarzone z chronionym obiektem. Ten deskryptor zabezpieczeń znajduje się w obiekcie AdminSDHolder.
Oznacza to, że jeśli chcesz zmodyfikować uprawnienia do grupy administratorów usługi lub dowolnego z jego kont członkowskich, musisz również zmodyfikować deskryptor zabezpieczeń w obiekcie AdminSDHolder. Takie podejście gwarantuje, że uprawnienia są stosowane spójnie. Podczas wprowadzania tych modyfikacji należy zachować ostrożność, ponieważ ta akcja może również mieć wpływ na ustawienia domyślne, które są stosowane do wszystkich chronionych kont administracyjnych.
Ograniczanie i ochrona poufnych kont domeny
Ograniczenie i ochrona kont domenowych w środowisku domeny wymaga przyjęcia i wdrożenia następującego podejścia opartego na najlepszych praktykach.
Ściśle ogranicz członkostwo w grupach Administratorzy, Administratorzy domeny i Administratorzy przedsiębiorstwa.
Ściśle kontroluj lokalizację i sposób użycia kont domeny.
Konta członkowskie w grupach Administratorzy, Administratorzy domeny i Administratorzy przedsiębiorstwa w domenie lub lesie są obiektami docelowymi o wysokiej wartości dla złośliwych użytkowników. Aby ograniczyć wszelkie ekspozycje, najlepszym rozwiązaniem jest ścisłe ograniczenie członkostwa do tych grup administratorów do najmniejszej liczby kont. Ograniczenie członkostwa w tych grupach zmniejsza możliwość przypadkowego nieprawidłowego użycia tych poświadczeń przez administratora, tworząc lukę w zabezpieczeniach, którą mogą wykorzystać złośliwi użytkownicy.
Ponadto najlepszym rozwiązaniem jest rygorystyczne kontrolowanie miejsca i sposobu użycia poufnych kont domeny. Ogranicz użycie kont administratorów domeny i innych kont administratorów, aby uniemożliwić im logowanie się do systemów zarządzania i stacji roboczych, które są zabezpieczone na tym samym poziomie co systemy zarządzane. Gdy konta administratora nie są w ten sposób ograniczone, każda stacja robocza, z której loguje się administrator domeny, udostępnia inną lokalizację, którą złośliwi użytkownicy mogą wykorzystać.
Implementacja tych najlepszych rozwiązań jest oddzielona od następujących zadań:
- Oddzielanie kont administratorów od kont użytkowników
- Ograniczanie dostępu administratora do serwerów i stacji roboczych
- Wyłącz prawo do delegowania dla wrażliwych kont Administratora
Aby zapewnić wystąpienia, w których oczekuje się wyzwań związanych z integracją ze środowiskiem domeny, każde zadanie jest opisane zgodnie z wymaganiami dotyczącymi minimalnej, lepszej i idealnej implementacji. Podobnie jak w przypadku wszystkich znaczących zmian w środowisku produkcyjnym, należy dokładnie przetestować te zmiany przed ich wdrożeniem i zastosowaniem. Następnie przesuń wdrożenie w sposób umożliwiający wycofanie zmiany, jeśli wystąpią problemy techniczne.
Oddzielanie kont administratorów od kont użytkowników
Ogranicz konta administratorów domeny i inne poufne konta, aby uniemożliwić im logowanie się do serwerów i stacji roboczych o niższym zaufaniu. Ogranicz i chroń konta administratorów, oddzielając konta administratorów od kont użytkowników standardowych, oddzielając obowiązki administracyjne od innych zadań i ograniczając korzystanie z tych kont. Utwórz dedykowane konta dla personelu administracyjnego, którzy wymagają poświadczeń administratora do wykonywania określonych zadań administracyjnych, a następnie utwórz oddzielne konta dla innych standardowych zadań użytkownika, zgodnie z następującymi wytycznymi:
Konto uprzywilejowane: Przydziel konta administratora tylko do wykonywania następujących obowiązków administracyjnych:
Minimum: Utwórz oddzielne konta dla administratorów domeny, administratorów przedsiębiorstwa lub ich odpowiedników, z odpowiednimi uprawnieniami administratora w domenie lub lesie. Używaj kont, którym udzielono poufnych praw administratora tylko do administrowania danymi domeny i kontrolerami domeny.
Lepiej: Utwórz oddzielne konta dla administratorów, którzy mają ograniczone prawa administracyjne, takie jak konta administratorów stacji roboczych, i konta z uprawnieniami użytkowników do wyznaczonych jednostek organizacyjnych usługi Active Directory.
Idealne: utwórz wiele oddzielnych kont dla administratora, który ma kilka obowiązków związanych z pracą, które wymagają różnych poziomów zaufania. Skonfiguruj każde konto administratora z różnymi uprawnieniami użytkownika, takimi jak administracja stacji roboczej, administrowanie serwerem i administrowanie domeną, aby umożliwić administratorowi zalogowanie się do określonych stacji roboczych, serwerów i kontrolerów domeny w oparciu o ich obowiązki.
Standardowe konto użytkownika: udziel standardowych praw użytkownika dla zadań użytkownika standardowego, takich jak poczta e-mail, przeglądanie w Internecie i korzystanie z aplikacji biznesowych (LOB). Te konta nie powinny mieć przyznanych uprawnień administratora.
Ważne
Upewnij się, że poufne konta administratora nie mogą uzyskiwać dostępu do poczty e-mail ani przeglądać Internetu, zgodnie z opisem w poniższej sekcji.
Aby dowiedzieć się więcej o uprzywilejowanym dostępie, zobacz Urządzenia z dostępem uprzywilejowanym.
Ograniczanie dostępu administratora do serwerów i stacji roboczych
Najlepszym rozwiązaniem jest ograniczenie administratorom używania poufnych kont administratorów do logowania się do serwerów i stacji roboczych o niższym zaufaniu. To ograniczenie uniemożliwia administratorom przypadkowo zwiększenie ryzyka kradzieży poświadczeń przez zalogowanie się do komputera o niższym zaufaniu.
Ważne
Upewnij się, że masz dostęp lokalny do kontrolera domeny lub utworzono co najmniej jedną dedykowaną stację roboczą administracyjną.
Ogranicz dostęp do logowania do serwerów i stacji roboczych o niższym zaufaniu, korzystając z następujących wskazówek:
Minimum: ogranicz administratorom domeny dostęp do logowania do serwerów i stacji roboczych. Przed rozpoczęciem tej procedury zidentyfikuj wszystkie jednostki organizacyjne w domenie zawierającej stacje robocze i serwery. Wszystkie komputery w jednostkach organizacyjnych, które nie zostały zidentyfikowane, nie ograniczają administratorów z poufnymi kontami przed zalogowaniem się do nich.
Lepiej: Ogranicz dostęp administratorów domeny do serwerów niebędących kontrolerami domeny i stacji roboczych.
Idealne: oprócz administratorów domeny ogranicz logowanie administratorów serwerów do stacji roboczych.
Uwaga
W tej procedurze nie należy łączyć kont z jednostkami organizacyjnymi, które zawierają stacje robocze dla administratorów, którzy wykonują tylko obowiązki administracyjne, i nie zapewniają dostępu do Internetu ani poczty e-mail.
Aby ograniczyć dostęp administratorów domeny do stacji roboczych (w minimalnym stopniu)
Jako administrator domeny otwórz konsolę zarządzania zasadami grupy (GPMC).
Otwórz Zarządzanie zasadami grupy, rozwiń <las>\Domeny\
<domain>.Kliknij prawym przyciskiem myszy obiekty zasad grupy, a następnie wybierz pozycję Nowy.
W oknie Nowe okno GPO nazwij GPO, które ogranicza administratorom logowanie do stacji roboczych, a następnie wybierz OK.
Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy, a następnie wybierz polecenie Edytuj.
Skonfiguruj prawa użytkownika w celu odmowy logowania lokalnego dla administratorów domeny.
Wybierz Konfiguracja komputera>Zasady>Ustawienia systemu Windows>Zasady lokalne, wybierz Przypisywanie praw użytkownika, a następnie wykonaj następujące czynności:
Kliknij dwukrotnie Odmów logowania lokalnego, a następnie wybierz opcję Zdefiniuj te ustawienia zasad.
Wybierz pozycję Dodaj użytkownika lub grupę, wybierz pozycję Przeglądaj, wpisz Administratorzy przedsiębiorstwa, a następnie wybierz przycisk OK.
Wybierz pozycję Dodaj użytkownika lub grupę, wybierz pozycję Przeglądaj, wpisz Administratorzy domeny, a następnie wybierz przycisk OK.
Wskazówka
Opcjonalnie możesz dodać wszystkie grupy zawierające administratorów serwerów, których chcesz ograniczyć logowanie do stacji roboczych.
Uwaga
Wykonanie tego kroku może powodować problemy z zadaniami administratora, które są uruchamiane jako zaplanowane zadania lub usługi z kontami w grupie Administratorzy domeny. Praktyka używania kont administratora domeny do uruchamiania usług i zadań na stacjach roboczych powoduje znaczne ryzyko ataków kradzieży poświadczeń i dlatego należy zastąpić alternatywnymi metodami uruchamiania zaplanowanych zadań lub usług.
d. Wybierz pozycję OK, aby ukończyć konfigurację.
Połącz GPO z pierwszą jednostką organizacyjną Stacje robocze. Przejdź do ścieżki< forest>\Domains\
<domain>\OU, a następnie wykonaj następujące czynności:a. Kliknij prawym przyciskiem myszy jednostkę organizacyjną stacji roboczej, a następnie wybierz pozycję Połącz istniejący obiekt zasad grupy.
b. Wybierz właśnie utworzony GPO, a następnie wybierz OK.
Przetestuj funkcje aplikacji dla przedsiębiorstw na stacjach roboczych w pierwszej jednostki organizacyjnej i rozwiąż wszelkie problemy spowodowane przez nowe zasady.
Połącz wszystkie inne jednostki organizacyjne zawierające stacje robocze.
Nie twórz jednak łącza do jednostki organizacyjnej 'Administrative Workstation', jeśli jest ona tworzona dla stacji roboczych przeznaczonych wyłącznie do zadań administracyjnych i bez dostępu do Internetu i poczty e-mail.
Ważne
Jeśli później rozszerzysz to rozwiązanie, nie odmów uprawnień logowania dla grupy Użytkownicy domeny. Grupa Użytkownicy domeny obejmuje wszystkie konta użytkowników w domenie, w tym użytkowników, administratorów domeny i administratorów przedsiębiorstwa.
Wyłącz prawo do delegowania dla poufnych kont administratorów
Mimo że konta użytkowników nie są domyślnie oznaczone do delegowania, konta w domenie usługi Active Directory mogą być uznane za zaufane do delegowania. Oznacza to, że usługa lub komputer, który jest zaufany do delegowania, może podszywać się pod konto, które uwierzytelnia się, aby uzyskać dostęp do innych zasobów w sieci.
W przypadku kont poufnych, takich jak należące do członków grupy Administratorzy, Administratorzy domeny lub Administratorzy przedsiębiorstwa w usłudze Active Directory, delegowanie może stanowić znaczne ryzyko eskalacji praw. Na przykład, jeśli konto należące do grupy Administratorzy domeny jest używane do logowania się na serwer członkowski, który jest zaufany do delegowania, ten serwer może żądać dostępu do zasobów w kontekście konta Administratorzy domeny i eskalować kompromitację tego serwera członkowskiego do kompromitacji domeny.
Najlepszym rozwiązaniem jest skonfigurowanie obiektów użytkownika dla wszystkich kont poufnych w usłudze Active Directory przez wybranie pola wyboru Konto jest poufne i nie można go delegować w obszarze Opcje konta , aby zapobiec delegowaniu kont. Aby uzyskać więcej informacji, zobacz Ustawienia domyślnych kont lokalnych w usłudze Active Directory.
Podobnie jak w przypadku każdej zmiany konfiguracji, przetestuj to ustawienie włączone w pełni, aby upewnić się, że działa poprawnie przed jego zaimplementowanie.
Zabezpieczanie kontrolerów domeny i zarządzanie nimi
Najlepszym rozwiązaniem jest ścisłe wymuszanie ograniczeń dotyczących kontrolerów domeny w środowisku. Zapewnia to, że kontrolery domeny:
- Uruchom tylko wymagane oprogramowanie.
- Wymagaj regularnego aktualizowania oprogramowania.
- Są konfigurowane przy użyciu odpowiednich ustawień zabezpieczeń.
Jednym z aspektów zabezpieczania kontrolerów domeny i zarządzania nimi jest zapewnienie, że domyślne konta użytkowników lokalnych są w pełni chronione. Jest to sprawa podstawowej wagi, aby ograniczyć i zabezpieczyć wszystkie wrażliwe konta domeny, jak opisano w poprzednich sekcjach.
Ponieważ kontrolery domeny przechowują skróty haseł poświadczeń wszystkich kont w domenie, są to obiekty docelowe o wysokiej wartości dla złośliwych użytkowników. Jeśli kontrolery domeny nie są dobrze zarządzane i zabezpieczone za pomocą ograniczeń, które są ściśle wymuszane, mogą zostać naruszone przez złośliwych użytkowników. Na przykład złośliwy użytkownik może ukraść poufne poświadczenia administratora domeny z jednego kontrolera domeny, a następnie użyć tych poświadczeń do ataku na domenę i las.
Ponadto zainstalowane aplikacje i agenci zarządzania na kontrolerach domeny mogą stanowić ścieżkę do eskalacji praw, których złośliwi użytkownicy mogą używać do naruszenia zabezpieczeń usługi zarządzania lub administratorów tej usługi. Narzędzia i usługi zarządzania używane przez organizację do zarządzania kontrolerami domeny i ich administratorami są równie ważne dla zabezpieczeń kontrolerów domeny i kont administratorów domeny. Upewnij się, że te usługi i administratorzy są w pełni zabezpieczone z równą starannością.