Учетные записи Active Directory

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Операционные системы Windows Server устанавливаются с локальными учетными записями по умолчанию. Кроме того, можно создать учетные записи пользователей в соответствии с требованиями вашей организации.

В этой справочной статье описываются локальные учетные записи Windows Server по умолчанию, которые хранятся локально на контроллере домена и используются в Active Directory. Он не описывает учетные записи локальных пользователей по умолчанию для члена, автономного сервера или клиента Windows. Дополнительные сведения см. в разделе "Локальные учетные записи".

Локальные учетные записи по умолчанию в Active Directory

Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера домена Windows Server и создании домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Они также имеют доступ на уровне домена и полностью отделены от учетных записей локальных пользователей по умолчанию для члена или автономного сервера.

Вы можете назначать права и разрешения локальным учетным записям по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере Users в Пользователи и компьютеры Active Directory. Рекомендуется хранить локальные учетные записи по умолчанию в контейнере "Пользователь" и не пытаться переместить эти учетные записи, например в другое подразделение.

Локальные учетные записи по умолчанию в контейнере "Пользователи" включают: Administrator, Guest и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленного помощника. В следующих разделах описаны локальные учетные записи по умолчанию и их использование в Active Directory.

Локальные учетные записи по умолчанию выполняют следующие действия:

  • Позвольте домену представлять, идентифицировать и проверять подлинность удостоверения пользователя, назначенного учетной записи, с помощью уникальных учетных данных (имя пользователя и пароль). Рекомендуется назначить каждому пользователю одну учетную запись, чтобы обеспечить максимальную безопасность. Нескольким пользователям не разрешен общий доступ к одной учетной записи. Учетная запись пользователя позволяет пользователю входить на компьютеры, сети и домены с уникальным идентификатором, который может пройти проверку подлинности компьютера, сети или домена.

  • Авторизация (предоставление или запрет) доступа к ресурсам. После проверки подлинности учетных данных пользователя пользователь получает разрешение на доступ к сети и ресурсам домена на основе явно назначенных прав пользователя в ресурсе.

  • Аудит действий, выполняемых в учетных записях пользователей.

В Active Directory администраторы используют локальные учетные записи по умолчанию для управления доменами и членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и учетные записи компьютеров могут представлять физическую сущность, например компьютер или лицо, или выступать в качестве выделенных учетных записей служб для некоторых приложений.

Каждая локальная учетная запись по умолчанию автоматически назначается группе безопасности, предварительно настроенной с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые единицы. Дополнительные сведения см. в разделе "Группы безопасности Active Directory".

На контроллере домена Active Directory каждая локальная учетная запись по умолчанию называется субъектом безопасности. Субъект безопасности — это объект каталога, который используется для защиты служб Active Directory и управления ими, которые обеспечивают доступ к ресурсам контроллера домена. Субъект безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютеров, группы безопасности или потоки или процессы, которые выполняются в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в разделе "Субъекты безопасности".

Субъект безопасности представлен уникальным идентификатором безопасности (SID). Идентификаторы безопасности, связанные с каждой из локальных учетных записей по умолчанию в Active Directory, описаны в следующих разделах.

Некоторые локальные учетные записи по умолчанию защищены фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, содержащая сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности для одной из локальных учетных записей или групп по умолчанию перезаписывается с помощью защищенных параметров.

Этот дескриптор безопасности присутствует в объекте AdminSDHolder. Если вы хотите изменить разрешения для одной из групп администраторов служб или для любой из ее учетных записей-членов, необходимо изменить дескриптор безопасности в объекте AdminSDHolder, чтобы убедиться, что он применяется согласованно. Будьте внимательны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, применяемые ко всем защищенным учетным записям.

Учетная запись администратора

Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях операционной системы Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, требующих учетных данных администратора. Эту учетную запись нельзя удалить или заблокировать, но ее можно переименовать или отключить.

Учетная запись администратора предоставляет пользователю полный доступ (разрешения на полный доступ) к файлам, каталогам, службам и другим ресурсам, которые находятся на этом локальном сервере. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений на управление доступом. Учетная запись также может использоваться для контроля над локальными ресурсами в любое время, просто изменив права и разрешения пользователя. Хотя файлы и каталоги можно временно защитить от учетной записи администратора, учетная запись может в любое время контролировать эти ресурсы, изменив разрешения на доступ.

Членство в группе учетных записей

Учетная запись администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора далее в этой статье.

Группы безопасности гарантируют, что вы можете управлять правами администратора, не изменяя каждую учетную запись администратора. В большинстве случаев вам не нужно изменять основные параметры для этой учетной записи. Однако может потребоваться изменить дополнительные параметры, например членство в определенных группах.

Замечания по безопасности

После установки серверной операционной системы ваша первая задача — безопасно настроить свойства учетной записи администратора. Сюда входит настройка особенно длинного надежного пароля и защита параметров профиля служб удаленных рабочих столов и удаленного управления.

Учетная запись администратора также может быть отключена, если она не требуется. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись администратора отключена, ее по-прежнему можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

На контроллере домена учетная запись администратора становится учетной записью Администратор домена. Учетная запись Администратор домена используется для входа в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись Администратор домена предоставляет доступ к ресурсам домена.

Примечание

При первоначальном установке контроллера домена можно войти и использовать диспетчер сервера для настройки учетной записи локального администратора с правами и разрешениями, которые вы хотите назначить. Например, вы можете использовать учетную запись локального администратора для управления операционной системой при первой установке. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, после установки не требуется использовать учетную запись. Локальные учетные записи пользователей можно создавать на контроллере домена только до установки доменные службы Active Directory, а не после этого.

При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. Учетная запись администратора — это самая мощная учетная запись в домене. Он предоставляет доступ на уровне домена и административные права для администрирования компьютера и домена, а также имеет самые обширные права и разрешения по домену. Пользователь, который устанавливает доменные службы Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

Атрибуты учетной записи администратора

attribute Значение
Известный SID/RID S-1-5-<domain>-500
Тип Пользователь
Контейнер по умолчанию CN=Пользователи, DC=<domain>, DC=
элементы по умолчанию; Н/Д
Является членом по умолчанию. Администраторы, администраторы домена, администраторы предприятия, пользователи домена (идентификатор основной группы всех учетных записей пользователей — пользователи домена)

групповая политика Владельцы создателей и администраторы схемы в группе пользователей домен Active Directory
Защита через ADMINSDHOLDER? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Да
Безопасно делегировать управление этой группой администраторам, не являющихся службами? Нет

Учетная запись гостя

Гостевая учетная запись — это локальная учетная запись по умолчанию, которая имеет ограниченный доступ к компьютеру и по умолчанию отключена. По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получить доступ к гостевой учетной записи, не требуя ввода пароля пользователем.

Гостевая учетная запись позволяет случайным или однократным пользователям, у которых нет отдельной учетной записи на компьютере, входить на локальный сервер или домен с ограниченными правами и разрешениями. Гостевая учетная запись может быть включена, а пароль можно настроить при необходимости, но только участник группы администраторов в домене.

Членство в группе гостевых учетных записей

Гостевая учетная запись имеет членство в группах безопасности по умолчанию, описанных в следующей таблице атрибутов гостевой учетной записи. По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию, которая позволяет пользователю войти на сервер и глобальную группу "Гости домена", которая позволяет пользователю войти в домен.

Участник группы "Администраторы" или "Администраторы домена" может настроить пользователя с гостевой учетной записью на одном или нескольких компьютерах.

Вопросы безопасности гостевой учетной записи

Так как гостевая учетная запись может предоставлять анонимный доступ, это риск безопасности. Он также имеет известный идентификатор безопасности. По этой причине рекомендуется оставить гостевую учетную запись отключенной, если ее использование не требуется, а затем только с ограниченными правами и разрешениями в течение очень ограниченного периода времени.

Если требуется гостевая учетная запись, администратор контроллера домена требуется для включения гостевой учетной записи. Гостевая учетная запись может быть включена, не требуя пароля, или ее можно включить с помощью надежного пароля. Администратор также предоставляет ограниченные права и разрешения для гостевой учетной записи. Чтобы предотвратить несанкционированный доступ, выполните следующие действия.

  • Не предоставляйте гостевой учетной записи право "Завершить работу системного пользователя". Если компьютер завершает работу или запускается, возможно, гостевой пользователь или любой пользователь с локальным доступом, например злоумышленник, может получить несанкционированный доступ к компьютеру.

  • Не предоставляйте гостевую учетную запись с возможностью просмотра журналов событий. После включения гостевой учетной записи рекомендуется часто отслеживать эту учетную запись, чтобы другие пользователи не могли использовать службы и другие ресурсы, такие как ресурсы, которые были непреднамеренно оставлены доступными предыдущим пользователем.

  • Не используйте гостевую учетную запись, если у сервера есть доступ к внешней сети или доступ к другим компьютерам.

Если вы решите включить гостевую учетную запись, обязательно ограничьте его использование и регулярно изменяйте пароль. Как и в случае с учетной записью администратора, может потребоваться переименовать учетную запись в качестве дополнительной меры предосторожности.

Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор отслеживает гостевую учетную запись, отключает гостевую учетную запись, если она больше не используется, а также изменяет или удаляет пароль по мере необходимости.

Дополнительные сведения об атрибутах гостевой учетной записи см. в следующей таблице:

Атрибуты гостевой учетной записи

attribute Значение
Известный SID/RID S-1-5-<domain>-501
Тип Пользователь
Контейнер по умолчанию CN=Пользователи, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Гости, гости домена
Защита через ADMINSDHOLDER? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Безопасно делегировать управление этой группой администраторам, не являющихся службами? Нет

Учетная запись HelpAssistant (установлена с сеансом удаленного помощника)

Учетная запись HelpAssistant — это локальная учетная запись по умолчанию, которая включена при запуске сеанса удаленного помощника. Эта учетная запись автоматически отключается, если запросы удаленного помощника не ожидаются.

HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленного помощника. Сеанс удаленного помощника используется для подключения к другому компьютеру под управлением операционной системы Windows и инициируется приглашением. Для получения удаленной помощи пользователь отправляет приглашение с компьютера, по электронной почте или в виде файла человеку, который может предоставить помощь. После принятия приглашения пользователя на сеанс удаленной помощи автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить пользователю, который предоставляет помощь с ограниченным доступом к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеанса справки для удаленного рабочего стола.

Рекомендации по обеспечению безопасности HelpAssistant

Идентификаторы БЕЗОПАСНОСТИ, относящиеся к учетной записи HelpAssistant по умолчанию, включают:

  • SID: S-1-5-13<domain>, отображаемое имя пользователя сервера терминала. Эта группа включает всех пользователей, которые входят на сервер с включенными службами удаленных рабочих столов. В Windows Server 2008 службы удаленных рабочих столов называются службами терминалов.

  • SID: S-1-5-14<domain>, отображаемое имя удаленного интерактивного входа. Эта группа включает всех пользователей, подключающихся к компьютеру с помощью подключения к удаленному рабочему столу. Эта группа представляет собой подмножество интерактивной группы. Маркеры доступа, содержащие идентификатор безопасности удаленного интерактивного входа, также содержат интерактивный идентификатор безопасности.

Для операционной системы Windows Server удаленный помощник является необязательным компонентом, который не установлен по умолчанию. Прежде чем использовать его, необходимо установить удаленную помощь.

Дополнительные сведения об атрибутах учетной записи HelpAssistant см. в следующей таблице:

Атрибуты учетной записи HelpAssistant

attribute Значение
Известный SID/RID S-1-5-<domain>-13 (пользователь сервера терминала), S-1-5-<domain>-14 (удаленный интерактивный вход)
Тип Пользователь
Контейнер по умолчанию CN=Пользователи, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Гости домена
Гости
Защита через ADMINSDHOLDER? Нет
Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Безопасно делегировать управление этой группой администраторам, не являющихся службами? Нет

Учетная запись KRBTGT

Учетная запись KRBTGT — это локальная учетная запись по умолчанию, которая выступает в качестве учетной записи службы центра распространения ключей (KDC). Эту учетную запись нельзя удалить, и имя учетной записи не может быть изменено. Учетная запись KRBTGT не может быть включена в Active Directory.

KRBTGT также является именем субъекта безопасности, используемого KDC для домена Windows Server, как указано RFC 4120. Учетная запись KRBTGT — это сущность субъекта безопасности KRBTGT, которая создается автоматически при создании нового домена.

Проверка подлинности Windows Server Kerberos достигается с помощью специального билета kerberos ( TGT), зашифрованного симметричным ключом. Этот ключ является производным от пароля сервера или службы, к которой запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службой Kerberos. Чтобы запросить билет на сеанс, TGT должен быть представлен В KDC. TGT отправляется клиенту Kerberos из KDC.

Рекомендации по обслуживанию учетной записи KRBTGT

Надежный пароль назначается учетным записям KRBTGT и доверия автоматически. Как и любые привилегированные учетные записи служб, организации должны изменять эти пароли по регулярному расписанию. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и расшифровки выданных запросов TGT. Пароль для учетной записи доверия домена используется для получения междоменного ключа для шифрования запросов реферальных ссылок.

Для сброса пароля необходимо либо быть членом группы администраторов домена, либо делегировать соответствующий орган. Кроме того, вы должны быть членом локальной группы администраторов или делегировать соответствующий орган.

После сброса пароля KRBTGT убедитесь, что идентификатор события 9 в источнике событий Key-Distribution-Center (Kerberos) записывается в журнал системных событий.

Вопросы безопасности учетной записи KRBTGT

Кроме того, рекомендуется сбросить пароль учетной записи KRBTGT, чтобы убедиться, что восстановленный контроллер домена не реплицируется с скомпрометированным контроллером домена. В этом случае при восстановлении большого леса, распределенном между несколькими расположениями, вы не можете гарантировать, что все контроллеры домена завершаются и, если они завершаются, их невозможно перезагрузить еще раз до выполнения всех соответствующих действий восстановления. После сброса учетной записи KRBTGT другой контроллер домена не сможет реплицировать этот пароль учетной записи с помощью старого пароля.

Организация, предполагающая компрометацию домена учетной записи KRBTGT, должна рассмотреть возможность использования профессиональных служб реагирования на инциденты. Влияние на восстановление владения учетной записью является предметной областью, трудоемкой работой и должно осуществляться в рамках более крупных усилий по восстановлению.

Пароль KRBTGT — это ключ, с которого все отношения доверия с Kerberos цепочки. Сброс пароля KRBTGT аналогичен обновлению сертификата корневого ЦС с новым ключом и немедленно не доверяет старому ключу, что приведет к тому, что будут затронуты почти все последующие операции Kerberos.

Для всех типов учетных записей (пользователей, компьютеров и служб)

  • Все уже выданные и распределенные TGT будут недействительными, так как контроллеры домена отклонят их. Эти билеты шифруются с помощью KRBTGT, чтобы любой контроллер домена смог проверить их. При изменении пароля билеты становятся недействительными.

  • Все прошедшие проверку подлинности сеансы, прошедшие вход пользователей (на основе их билетов на обслуживание) к ресурсу (например, к общей папке, сайту SharePoint или серверу Exchange Server), будут работать до тех пор, пока запрос на обслуживание не потребуется для повторной проверки подлинности.

  • Подключения, прошедшие проверку подлинности NTLM, не затрагиваются.

Так как невозможно предсказать конкретные ошибки, которые будут возникать для любого конкретного пользователя в рабочей среде, необходимо предположить, что все компьютеры и пользователи будут затронуты.

Важно!

Перезагрузка компьютера — единственный надежный способ восстановления функциональности, так как это приведет к повторному входу как учетной записи компьютера, так и учетным записям пользователей. При повторном входе будут запрашиваться новые TGT, допустимые с новым KRBTGT, что исправит любые операционные проблемы, связанные с KRBTGT на этом компьютере.

Сведения о том, как снизить риски, связанные с потенциально скомпрометированной учетной записью KRBTGT, см. в сценариях сброса пароля учетной записи KRBTGT, доступных для клиентов.

Контроллеры домена только для чтения и учетная запись KRBTGT

Windows Server 2008 представила контроллер домена только для чтения (RODC). RODC объявляется как Центр распространения ключей (KDC) для филиала. RodC использует другую учетную запись KRBTGT и пароль, отличные от KDC на контроллере домена с возможностью записи, когда он подписывает или шифрует запросы на предоставление билетов (TGT). После успешной проверки подлинности учетной записи RODC определяет, можно ли реплицировать учетные данные пользователя или учетные данные компьютера с контроллера домена, доступного для записи, в RODC с помощью политики репликации паролей.

После кэширования учетных данных в RODC rodC rodC может принять запросы на вход пользователя до изменения учетных данных. Когда TGT подписан с помощью учетной записи KRBTGT RODC, RODC распознает, что у него есть кэшированные копии учетных данных. Если другой контроллер домена подписывает TGT, rodC перенаправит запросы на контроллер домена, доступный для записи.

Атрибуты учетной записи KRBTGT

Дополнительные сведения об атрибутах учетной записи KRBTGT см. в следующей таблице:

attribute Значение
Известный SID/RID S-1-5-<domain>-502
Тип Пользователь
Контейнер по умолчанию CN=Пользователи, DC=<domain>, DC=
элементы по умолчанию; Нет
Является членом по умолчанию. Группа "Пользователи домена" (идентификатор основной группы всех учетных записей пользователей — "Пользователи домена")
Защита через ADMINSDHOLDER? Да
Безопасно ли выходить за пределы контейнера по умолчанию? Может быть перемещено, но мы не рекомендуем его.
Безопасно делегировать управление этой группой администраторам, не являющихся службами? Нет

Параметры локальных учетных записей по умолчанию в Active Directory

Каждая локальная учетная запись по умолчанию в Active Directory имеет несколько параметров учетной записи, которые можно использовать для настройки параметров пароля и сведений о безопасности, как описано в следующей таблице:

Параметры учетной записи Описание
Требовать смену пароля при следующем входе в систему Принудительно измените пароль при следующем входе пользователя в сеть. Используйте этот параметр, если вы хотите убедиться, что пользователь является единственным человеком, который знает свой пароль.
Пользователь не может изменить пароль Запрещает пользователю изменять пароль. Используйте этот параметр, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи.
Срок действия пароля не ограничен Предотвращает истечение срока действия учетной записи пользователя. Рекомендуется включить этот параметр с учетными записями служб и использовать надежные пароли.
Хранение паролей с использованием обратимого шифрования. Предоставляет поддержку для приложений, использующих протоколы, требующие знания о виде открытого текста пароля пользователя для целей проверки подлинности.

Этот параметр требуется при использовании протокола проверки подлинности подтверждения запроса (CHAP) в службах интернет-проверки подлинности (IAS) и при использовании дайджест-проверки подлинности в службах IIS.

Отключить учетную запись Запрещает пользователю входить с выбранной учетной записью. Администратор может использовать отключенные учетные записи в качестве шаблонов для общих учетных записей пользователей.
Для интерактивного входа в сеть нужна смарт-карта Требуется, чтобы у пользователя была смарт-карта для интерактивного входа в сеть. Этот пользователь также должен иметь подключенный к компьютеру считыватель смарт-карт и действительный персональный идентификационный номер (ПИН-код) смарт-карты.

Если этот атрибут применяется к учетной записи, эффект выглядит следующим образом:
  • Атрибут ограничивает только начальную проверку подлинности для интерактивного входа и входа в удаленный рабочий стол. Если для интерактивного входа в систему или удаленного рабочего стола требуется последующий сетевой вход, например с учетными данными домена, для завершения процесса проверки подлинности смарт-карты используется хэш NT, предоставленный контроллером домена.
  • При каждом включении атрибута в учетной записи текущее хэш-значение пароля заменяется 128-разрядным случайным числом. Это делает недействительным использование всех ранее настроенных паролей для учетной записи. Значение не изменяется после этого, если не задан новый пароль или атрибут отключен и снова включен.
  • Учетные записи с этим атрибутом нельзя использовать для запуска служб или выполнения запланированных задач.
  • Учетная запись доверена для делегирования Позволяет службе, работающей под этой учетной записью, выполнять операции от имени других учетных записей пользователей в сети. Служба, работающая под учетной записью пользователя (также известной как учетная запись службы), которая является доверенной для делегирования, может олицетворять клиента для получения доступа к ресурсам на компьютере, где работает служба, или на других компьютерах. Например, в лесу, который установлен на функциональный уровень Windows Server 2003, этот параметр находится на вкладке "Делегирование". Она доступна только для учетных записей, которым назначены имена субъектов-служб (SPN), которые задаются с помощью setspn команды из средств поддержки Windows. Этот параметр учитывает безопасность и должен быть назначен осторожно.
    Учетная запись чувствительна и не может быть делегирована Предоставляет контроль над учетной записью пользователя, например для гостевой учетной записи или временной учетной записи. Этот параметр можно использовать, если эта учетная запись не может быть назначена для делегирования другой учетной записью.
    Использовать тип шифрования DES для этой учетной записи Обеспечивает поддержку алгоритма шифрования DES. DES поддерживает несколько уровней шифрования, включая стандарт Microsoft Point-to-Point Encryption (MPPE) Standard (40-bit и 56-bit), MPPE standard (56-bit), MPPE Strong (128-bit), INTERNET Protocol Security (IPSec) DES (40-bit), IPSec 56-bit DES и IPSec Triple DES (3DES).
    Без предварительной проверки подлинности Kerberos Обеспечивает поддержку альтернативных реализаций протокола Kerberos. Так как предварительная авторизация обеспечивает дополнительную безопасность, используйте осторожность при включении этого параметра. Контроллеры домена под управлением Windows 2000 или Windows Server 2003 могут использовать другие механизмы для синхронизации времени.

    Примечание

    Des не включен по умолчанию в операционных системах Windows Server (начиная с Windows Server 2008 R2) или в клиентских операционных системах Windows (начиная с Windows 7). Для этих операционных систем компьютеры по умолчанию не будут использовать комплекты шифров DES-CBC-MD5 или DES-CBC-CRC. Если для вашей среды требуется DES, этот параметр может повлиять на совместимость с клиентскими компьютерами или службами и приложениями в вашей среде.

    Дополнительные сведения см. в разделе "Охота на службу des" для безопасного развертывания Kerberos.

    Управление локальными учетными записями по умолчанию в Active Directory

    После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере Users в Пользователи и компьютеры Active Directory. Вы можете создавать, отключать, сбрасывать и удалять локальные учетные записи по умолчанию с помощью Пользователи и компьютеры Active Directory консоли управления (MMC) и с помощью средств командной строки.

    Вы можете использовать Пользователи и компьютеры Active Directory для назначения прав и разрешений на указанный локальный контроллер домена и только этот контроллер домена, чтобы ограничить возможность локальных пользователей и групп выполнять определенные действия. Право дает возможность пользователю выполнять на компьютере определенные действия, такие как архивирование файлов и папок или завершение работы компьютера. В отличие от этого, разрешение на доступ — это правило, связанное с объектом, обычно файлом, папкой или принтером, которое регулирует доступ пользователей к объекту и каким образом.

    Дополнительные сведения о создании локальных учетных записей пользователей и управлении ими в Active Directory см. в статье "Управление локальными пользователями".

    Вы также можете использовать Пользователи и компьютеры Active Directory на контроллере домена для целевых удаленных компьютеров, которые не являются контроллерами домена в сети.

    Вы можете получить рекомендации корпорации Майкрософт по конфигурациям контроллера домена, которые можно распространять с помощью средства диспетчера соответствия требованиям безопасности (SCM). Дополнительные сведения см. в разделе Microsoft Security Compliance Manager.

    Некоторые учетные записи локальных пользователей по умолчанию защищаются фоновым процессом, который периодически проверяет и применяет определенный дескриптор безопасности, который представляет собой структуру данных, содержащую сведения о безопасности, связанные с защищенным объектом. Этот дескриптор безопасности присутствует в объекте AdminSDHolder.

    Это означает, что, если вы хотите изменить разрешения для группы администраторов служб или любой из ее учетных записей-членов, вам также потребуется изменить дескриптор безопасности для объекта AdminSDHolder. Такой подход гарантирует, что разрешения применяются согласованно. Будьте осторожны при внесении этих изменений, так как это действие также может повлиять на параметры по умолчанию, применяемые ко всем защищенным административным учетным записям.

    Ограничение и защита учетных записей конфиденциальных доменов

    Ограничение и защита учетных записей домена в среде домена требует внедрения и реализации следующего подхода:

    • Строго ограничьте членство администраторами, администраторами домена и группами администраторов предприятия.

    • Строго контролировать, где и как используются учетные записи домена.

    Учетные записи участников в группах "Администраторы", "Администраторы домена" и "Администраторы предприятия" в домене или лесу являются высокоценными целевыми объектами для вредоносных пользователей. Чтобы ограничить уязвимость, рекомендуется строго ограничить членство в этих группах администраторов наименьшим количеством учетных записей. Ограничение членства в этих группах снижает вероятность того, что администратор непреднамеренно злоупотребляет этими учетными данными и создает уязвимость, которую злоумышленники могут использовать.

    Кроме того, рекомендуется строго контролировать, где и как используются конфиденциальные учетные записи домена. Ограничьте использование учетных записей администраторов домена и других учетных записей администраторов, чтобы предотвратить их использование для входа в системы управления и рабочие станции, защищенные на том же уровне, что и управляемые системы. Если учетные записи администратора не ограничены таким образом, каждая рабочая станция, с которой входит администратор домена, предоставляет другое расположение, которое злоумышленники могут использовать.

    Реализация этих рекомендаций разделена на следующие задачи:

    Чтобы предоставить экземпляры, в которых ожидаются проблемы интеграции с средой предметной области, каждая задача описывается в соответствии с требованиями к минимальной, лучшей и идеальной реализации. Как и в случае со всеми значительными изменениями в рабочей среде, перед их реализацией и развертыванием необходимо тщательно протестировать эти изменения. Затем разверните развертывание таким образом, чтобы обеспечить откат изменений при возникновении технических проблем.

    Разделение учетных записей администратора от учетных записей пользователей

    Ограничьте учетные записи администраторов домена и другие конфиденциальные учетные записи, чтобы предотвратить их использование для входа на более низкие серверы доверия и рабочие станции. Ограничение и защита учетных записей администраторов путем разделения учетных записей администратора от стандартных учетных записей пользователей путем разделения административных обязанностей от других задач и ограничения использования этих учетных записей. Создайте выделенные учетные записи для администраторов, которым требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных задач пользователя в соответствии со следующими рекомендациями:

    • Привилегированная учетная запись: выделите учетные записи администратора только для выполнения следующих административных обязанностей:

      • Минимум: создайте отдельные учетные записи для администраторов домена, корпоративных администраторов или эквивалентных соответствующих прав администратора в домене или лесу. Используйте учетные записи, которым были предоставлены конфиденциальные права администратора только для администрирования данных домена и контроллеров домена.

      • Лучше: создайте отдельные учетные записи для администраторов, которые сократили права администратора, такие как учетные записи для администраторов рабочих станций и учетные записи с правами пользователей на назначенные подразделения Active Directory (OU).

      • Идеально: создайте несколько отдельных учетных записей администратора, у которого есть несколько обязанностей, требующих разных уровней доверия. Настройте каждую учетную запись администратора с разными правами пользователя, например для администрирования рабочих станций, администрирования сервера и администрирования домена, чтобы разрешить администратору входить на указанные рабочие станции, серверы и контроллеры домена в соответствии с их обязанностями.

    • Учетная запись стандартного пользователя: предоставьте стандартные права пользователя для стандартных задач пользователя, таких как электронная почта, просмотр веб-страниц и использование бизнес-приложений. Эти учетные записи не должны предоставляться правами администратора.

    Важно!

    Убедитесь, что конфиденциальные учетные записи администратора не могут получать доступ к электронной почте или просматривать Интернет, как описано в следующем разделе.

    Дополнительные сведения о привилегированном доступе см. в статье " Устройства с привилегированным доступом".

    Ограничение доступа администратора к серверам и рабочим станциям

    Рекомендуется запретить администраторам использовать конфиденциальные учетные записи администратора для входа на серверы с низким уровнем доверия и рабочие станции. Это ограничение не позволяет администраторам случайно увеличивать риск кражи учетных данных путем входа на компьютер с низким уровнем доверия.

    Важно!

    Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы создали по крайней мере одну выделенную административную рабочую станцию.

    Ограничьте доступ к серверам и рабочим станциям с низким уровнем доверия, используя следующие рекомендации:

    • Минимальное значение. Ограничение доступа администраторов домена к серверам и рабочим станциям для входа. Перед началом этой процедуры определите все подразделения в домене, содержащие рабочие станции и серверы. Все компьютеры в подразделениях, которые не определены, не ограничивают администраторов конфиденциальными учетными записями при входе в них.

    • Лучше: ограничьте администраторов домена с серверов и рабочих станций, не являющихся контроллерами домена.

    • Идеальное решение: запретите администраторам сервера вход на рабочие станции в дополнение к администраторам домена.

    Примечание

    Для этой процедуры не свяжите учетные записи с подразделением, содержащим рабочие станции для администраторов, выполняющих только обязанности администрирования, и не предоставляйте доступ к Интернету или электронной почте.

    Ограничение администраторов домена с рабочих станций (минимум)

    1. Как администратор домена откройте консоль управления групповая политика (GPMC).

    2. Откройте групповая политика Management, разверните <узел forest>\Domains\<domain>.

    3. Щелкните правой кнопкой мыши Объекты групповой политики, а затем выберите Создать.

      Снимок экрана: окно консоли управления групповая политика с командой

    4. В окне "Создать объект групповой политики " назовите объект групповой политики, который ограничивает вход администраторов на рабочие станции, а затем нажмите кнопку "ОК".

      Снимок экрана: окно

    5. Щелкните правой кнопкой мыши новый объект групповой политики и выберите команду "Изменить".

    6. Настройте права пользователя, чтобы запретить вход локально для администраторов домена.

    7. Выберите "Политики>конфигурации> компьютера" "Локальные>политики Windows", выберите "Назначение прав пользователя" и выполните следующие действия:

      а. Дважды щелкните "Запретить вход локально" и выберите " Определить эти параметры политики".
      b. Выберите "Добавить пользователя или группу", выберите "Обзор", " Администраторы предприятия" и нажмите кнопку "ОК".
      c. Выберите "Добавить пользователя или группу", выберите "Обзор", " Администраторы домена" и нажмите кнопку "ОК".

      Снимок экрана: окно

      Совет

      При необходимости можно добавить все группы, содержащие администраторов серверов, которым требуется ограничить вход на рабочие станции.

      Примечание

      Выполнение этого шага может привести к проблемам с задачами администратора, которые выполняются как запланированные задачи или службы с учетными записями в группе администраторов домена. Практика использования учетных записей администратора домена для выполнения служб и задач на рабочих станциях создает значительный риск кражи учетных данных и, следовательно, следует заменить альтернативным средством выполнения запланированных задач или служб.

      Г. Нажмите кнопку ОК, чтобы завершить настройку.

    8. Свяжите объект групповой политики с первым подразделением рабочих станций. Перейдите к лесу<>\Domains\<domain>\OU path, а затем выполните следующие действия:

      а. Щелкните подразделение рабочей станции правой кнопкой мыши и выберите "Связать существующий объект групповой политики".

      Снимок экрана: окно консоли управления групповая политика, где щелкните правой кнопкой мыши элемент рабочей станции и выберите

      b. Выберите только что созданный объект групповой политики и нажмите кнопку "ОК".

      Снимок экрана: окно

    9. Протестируйте функциональные возможности корпоративных приложений на рабочих станциях в первом подразделении и устраните все проблемы, вызванные новой политикой.

    10. Свяжите все остальные подразделения, содержащие рабочие станции.

      Однако не создавайте ссылку на подразделение административной рабочей станции, если она создана для административных рабочих станций, предназначенных только для административных обязанностей и не имеющих доступа к Интернету или электронной почте.

      Важно!

      Если позже вы расширите это решение, не запрещайте права входа в группу "Пользователи домена". Группа "Пользователи домена" включает все учетные записи пользователей в домене, включая пользователей, администраторов домена и администраторов предприятия.

    Отключение делегирования учетной записи для конфиденциальных учетных записей администратора

    Хотя учетные записи пользователей по умолчанию не помечены для делегирования, учетные записи в домене Active Directory могут быть доверенными для делегирования. Это означает, что служба или компьютер, доверенный для делегирования, могут олицетворять учетную запись, которая проходит проверку подлинности для доступа к другим ресурсам в сети.

    Для конфиденциальных учетных записей, таких как администраторы, администраторы домена или группы администраторов предприятия в Active Directory, делегирование может представлять значительный риск эскалации прав. Например, если учетная запись в группе администраторов домена используется для входа на скомпрометированный сервер-член, доверенный для делегирования, этот сервер может запросить доступ к ресурсам в контексте учетной записи администраторов домена и повысить компрометацию этого сервера-члена до компрометации домена.

    Рекомендуется настроить объекты пользователей для всех конфиденциальных учетных записей в Active Directory, выбрав учетную запись конфиденциальной и не удается делегировать флажок в разделе "Параметры учетной записи", чтобы предотвратить делегирование учетных записей. Дополнительные сведения см. в разделе "Параметры" для локальных учетных записей по умолчанию в Active Directory.

    Как и при любом изменении конфигурации, протестируйте этот параметр полностью, чтобы убедиться, что он работает правильно перед его реализацией.

    Снимок экрана: окно свойств учетной записи Active Directory. Установлен флажок

    Защита контроллеров домена и управление ими

    Рекомендуется строго применять ограничения на контроллеры домена в вашей среде. Это гарантирует, что контроллеры домена:

    • Запуск только необходимого программного обеспечения.
    • Требовать регулярного обновления программного обеспечения.
    • Настроены соответствующие параметры безопасности.

    Одним из аспектов защиты контроллеров домена и управления ими является обеспечение полной защиты учетных записей локальных пользователей по умолчанию. Важно ограничить и защитить все учетные записи конфиденциального домена, как описано в предыдущих разделах.

    Так как контроллеры домена хранят хэши паролей учетных данных всех учетных записей в домене, они являются ценными целевыми объектами для вредоносных пользователей. Если контроллеры домена не являются хорошо управляемыми и защищенными с помощью ограничений, которые строго применяются, они могут быть скомпрометированы злоумышленниками. Например, злоумышленник может украсть учетные данные администратора конфиденциального домена с одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.

    Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь для эскалации прав, которые злоумышленники могут использовать для компрометации службы управления или администраторов этой службы. Средства управления и службы, которые ваша организация использует для управления контроллерами домена и их администраторами, также важны для безопасности контроллеров домена и учетных записей администратора домена. Убедитесь, что эти службы и администраторы полностью защищены с равными усилиями.

    См. также раздел