Приложение D. Защита встроенных учетных записей Администратор istrator в Active Directory

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Приложение D. Защита встроенных учетных записей Администратор istrator в Active Directory

В каждом домене в Active Directory создается учетная запись Администратор istrator в рамках создания домена. Эта учетная запись по умолчанию входит в группы доменных Администратор и групп Администратор istratorов в домене. Если домен является корневым доменом леса, учетная запись также входит в группу корпоративных Администратор.

Использование учетной записи Администратор istrator домена должно быть зарезервировано только для начальных действий сборки и, возможно, сценариев аварийного восстановления. Чтобы гарантировать, что учетная запись Администратор istrator может быть использована для восстановления в случае, если другие учетные записи не могут использоваться, не следует изменять членство по умолчанию в учетной записи Администратор istrator в любом домене в лесу. Вместо этого следует защитить учетную запись Администратор istrator в каждом домене в лесу, как описано в следующем разделе и подробно описано в пошаговые инструкции, описанные ниже.

Примечание.

Это руководство, используемое для отключения учетной записи. Это было удалено, так как технический документ по восстановлению леса использует учетную запись администратора по умолчанию. Причина заключается в том, что это единственная учетная запись, которая разрешает вход без глобального сервера каталога.

Элементы управления для встроенных учетных записей Администратор istrator

Для встроенной учетной записи Администратор istrator в каждом домене в лесу необходимо настроить следующие параметры:

  • Включите учетную запись с учетом конфиденциальности и не может быть делегирован флаг в учетной записи.

  • Включить смарт-карта требуется для интерактивного флага входа в учетную запись.

  • Настройте объекты групповой политики для ограничения использования учетной записи Администратор istrator в системах, присоединенных к домену:

    • В одном или нескольких объектах групповой политики, которые создаются и связываются с подразделениями рабочих станций и серверов-членов в каждом домене, добавьте учетную запись Администратор istrator каждого домена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначения прав пользователя:

      • Отказ в доступе к компьютеру из сети

      • Отказ во входе в качестве пакетного задания

      • Отказать во входе в качестве службы

      • Запретить вход в систему через службу удаленных рабочих столов

Примечание.

При добавлении учетных записей в этот параметр необходимо указать, настраиваются ли локальные учетные записи Администратор istrator или учетные записи Администратор istrator домена. Например, чтобы добавить учетную запись Администратор istrator домена TAILSPINTOYS, необходимо ввести учетную запись в качестве TAILSPINTOYS\Администратор istrator или перейти к учетной записи Администратор istrator для домена TAILSPINTOYS. Если вы введите "Администратор istrator" в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите локальную учетную запись Администратор istrator на каждом компьютере, к которому применяется объект групповой политики.

Мы рекомендуем ограничить локальные учетные записи Администратор istrator на серверах-членах и рабочих станциях таким же образом, как учетные записи Администратор istrator на основе домена. Поэтому обычно следует добавить учетную запись Администратор istrator для каждого домена в лесу и учетную запись Администратор istrator для локальных компьютеров в эти параметры прав пользователя. На следующем снимках экрана показан пример настройки этих прав пользователя для блокировки локальных учетных записей Администратор istrator и учетной записи Администратор istrator домена при выполнении входа, которые не должны потребоваться для этих учетных записей.

Screenshot that highlights User Rights Assignment.

  • Настройка объектов групповой политики для ограничения учетных записей Администратор istrator на контроллерах домена

    • В каждом домене в лесу необходимо изменить объект групповой политики контроллеров домена по умолчанию или политику, связанную с подразделением контроллеров домена, чтобы добавить учетную запись Администратор istrator каждого домена в следующие права пользователя в разделе "Конфигурация компьютера\Политики\Политики\Windows Параметры\Безопасность Параметры\Локальные политики\Назначения прав пользователя:

      • Отказ в доступе к компьютеру из сети

      • Отказ во входе в качестве пакетного задания

      • Отказать во входе в качестве службы

      • Запретить вход в систему через службу удаленных рабочих столов

Примечание.

Эти параметры гарантируют, что встроенная учетная запись Администратор istrator домена не может использоваться для подключения к контроллеру домена, хотя учетная запись может входить локально в контроллеры домена. Так как эта учетная запись должна использоваться только в сценариях аварийного восстановления, предполагается, что физический доступ к одному контроллеру домена будет доступен или что другие учетные записи с разрешениями на доступ к контроллерам домена можно использовать удаленно.

  • Настройка аудита учетных записей Администратор istrator

    Если учетная запись Администратор istrator каждого домена безопасна, необходимо настроить аудит для отслеживания использования или изменения учетной записи. Если учетная запись вошел в систему, ее пароль сбрасывается или любые другие изменения вносятся в учетную запись, оповещения должны отправляться пользователям или командам, ответственным за администрирование Active Directory, в дополнение к командам реагирования на инциденты в вашей организации.

Пошаговые инструкции по защите встроенных учетных записей Администратор istrator в Active Directory

  1. В диспетчер сервера выберите "Сервис" и выберите Пользователи и компьютеры Active Directory.

  2. Чтобы предотвратить атаки, использующие делегирование для использования учетных данных учетной записи в других системах, выполните следующие действия.

    1. Щелкните правой кнопкой мыши учетную запись Администратор istrator и выберите "Свойства".

    2. Перейдите на вкладку Учетная запись.

    3. В разделе "Параметры учетной записи" выберите "Учетная запись конфиденциальной" и не может быть делегирован флаг, как показано на следующем снимке экрана, и нажмите кнопку "ОК".

      Screenshot that shows the Account is sensitive and cannot be delegated check box.

  3. Чтобы включить смарт-карта, требуется для интерактивного входа в учетную запись, выполните следующие действия.

    1. Щелкните правой кнопкой мыши учетную запись Администратор istrator и выберите "Свойства".

    2. Перейдите на вкладку Учетная запись.

    3. В разделе "Параметры учетной записи" выберите "Смарт-карта" для интерактивного флага входа, как показано на следующем снимке экрана, и нажмите кнопку "ОК".

      Screenshot that shows the Smart card is required for interactive login check box.

Настройка объектов групповой политики для ограничения учетных записей Администратор istrator на уровне домена

Предупреждение

Этот объект групповой политики никогда не должен быть связан на уровне домена, так как он может сделать встроенную учетную запись Администратор istrator непригодной для использования, даже в сценариях аварийного восстановления.

  1. В диспетчер сервера выберите "Сервис" и выберите "Управление групповыми политиками".

  2. В дереве консоли разверните <узел Forest>\Domain\<Domain>, а затем объекты групповой политики (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется создать групповую политику).

  3. В дереве консоли щелкните правой кнопкой мыши объекты групповой политики и выберите "Создать".

  4. В диалоговом окне "Создать объект групповой политики" введите <имя> групповой политики и нажмите кнопку "ОК" (где <имя> групповой политики — имя объекта групповой политики).

  5. В области сведений щелкните правой кнопкой мыши <имя> групповой политики и выберите "Изменить".

  6. Перейдите к разделу "Конфигурация компьютера\Политики\Windows Параметры\Безопасность Параметры\Локальные политики" и выберите "Назначение прав пользователя".

  7. Настройте права пользователя, чтобы предотвратить доступ учетной записи Администратор istrator к серверам-членам и рабочим станциям через сеть, выполнив следующие действия:

    1. Дважды выберите "Запретить доступ к этому компьютеру" из сети и выберите " Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите Администратор istrator, выберите "Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Screenshot that shows the DomainName/Username format.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  8. Настройте права пользователя, чтобы предотвратить вход учетной записи Администратор istrator в качестве пакетного задания, выполнив следующие действия:

    1. Дважды выберите "Запретить вход в качестве пакетного задания " и выберите " Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите Администратор istrator, выберите "Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a batch job.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  9. Настройте права пользователя, чтобы предотвратить вход учетной записи Администратор istrator в качестве службы, выполнив следующие действия.

    1. Дважды выберите "Запретить вход в качестве службы " и выберите " Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите Администратор istrator, выберите "Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Screenshot that shows how to verify you have configured the user rights to prevent the Administrator account from logging on as a service.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  10. Настройте права пользователя, чтобы предотвратить доступ учетной записи Администратор istrator к серверам-членам и рабочим станциям через службы удаленных рабочих столов, выполнив следующие действия:

    1. Дважды выберите "Запретить вход" через службы удаленных рабочих столов и выберите "Определить эти параметры политики".

    2. Выберите " Добавить пользователя" или "Группа " и нажмите кнопку "Обзор".

    3. Введите Администратор istrator, выберите "Проверить имена" и нажмите кнопку "ОК". Убедитесь, что учетная запись отображается в <формате DomainName>\Username, как показано на следующем снимке экрана.

      Screenshot that shows how to verify you have configured the user rights to prevent the BA account from accessing member servers and workstations via Remote Desktop Services.

    4. Нажмите кнопку "ОК" и "ОК" еще раз.

  11. Чтобы выйти из редактора управления групповыми политиками, выберите файл и нажмите кнопку "Выйти".

  12. В службе управления групповыми политиками свяжите объект групповой политики с сервером-членом и подразделениями рабочей станции, выполнив следующие действия.

    1. Перейдите к <лесу>\Domain\<Domain> (где <лес> является именем леса и <доменом> — это имя домена, в котором требуется задать групповую политику).

    2. Щелкните правой кнопкой мыши подразделение, к которому будет применяться объект групповой политики, и выберите ссылку на существующий объект групповой политики.

    3. Выберите созданный объект групповой политики и нажмите кнопку "ОК".

    4. Создайте ссылки на все остальные подразделения, содержащие рабочие станции.

    5. Создайте ссылки на все остальные подразделения, содержащие серверы-члены.

Внимание

При добавлении учетной записи Администратор istrator в эти параметры необходимо указать, настраивается ли локальная учетная запись Администратор istrator или учетная запись Администратор istrator домена, используя метку учетных записей. Например, чтобы добавить учетную запись Администратор istrator домена TAILSPINTOYS в эти права запрета, перейдите к учетной записи Администратор istrator для домена TAILSPINTOYS, который будет отображаться как TAILSPINTOYS\Администратор istrator. Если вы введите "Администратор istrator" в этих параметрах прав пользователя в редакторе объектов групповой политики, вы ограничите локальную учетную запись Администратор istrator на каждом компьютере, к которому применяется объект групповой политики, как описано ранее.

Этапы проверки

Описанные здесь действия проверки относятся к Windows 8 и Windows Server 2012.

Убедитесь, что параметр учетной записи "Смарт-карта требуется для интерактивного входа"
  1. С любого сервера-члена или рабочей станции, затронутых изменениями групповой политики, попытайтесь войти в домен в интерактивном режиме с помощью встроенной учетной записи Администратор istrator домена. После попытки войти в систему появится диалоговое окно с сообщением о том, что для входа требуется смарт-карта.
Убедитесь, что Параметры групповой политики запретить доступ к этому компьютеру из сети

Попытайтесь получить доступ к серверу-члену или рабочей станции через сеть, затронутую изменениями групповой политики с сервера-члена или рабочей станции, на которые не влияют изменения групповой политики. Чтобы проверить параметры групповой политики, попытайтесь сопоставить системный диск с помощью команды NET USE , выполнив следующие действия:

  1. Войдите в домен с помощью встроенной учетной записи Администратор istrator домена.

  2. Щелкните правой кнопкой мыши подсказку "Пуск" и выберите Windows PowerShell (Администратор).

  3. При появлении запроса на утверждение повышения прав нажмите кнопку "Да".

  4. В окне PowerShell введите net use \\<Server Name>\c$, где <имя> сервера — имя сервера-члена или рабочей станции, к которой вы пытаетесь получить доступ по сети.

  5. Должно появиться сообщение о том, что пользователю не предоставлен запрошенный тип входа.

Проверка "Запрет входа в качестве пакетного задания" Параметры групповой политики

На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

Создание пакетного файла

  1. Выберите подсказку "Пуск" и введите Блокнот.

  2. В списке результатов выберите Блокнот.

  3. В Блокнот введите dir c:.

  4. Выберите файл и нажмите кнопку "Сохранить как".

  5. В поле "Имя файла" введите< Имя файла>.bat (где <имя> файла — имя нового пакетного файла).

Планирование задачи

  1. Выберите подсказку "Пуск", введите планировщик задач и выберите планировщик задач.

  2. В планировщике задач выберите действие и нажмите кнопку "Создать задачу".

  3. В диалоговом окне "Создание задачи" введите <имя> задачи (где <имя> задачи — имя новой задачи).

  4. Выберите вкладку "Действия " и нажмите кнопку "Создать".

  5. В разделе "Действие:" выберите "Пуск программы".

  6. В разделе "Программа или скрипт": выберите "Обзор", найдите и выберите пакетный файл, созданный в разделе "Создать пакетный файл" и нажмите кнопку "Открыть".

  7. Нажмите ОК.

  8. Перейдите на вкладку General.

  9. В разделе "Безопасность " выберите "Изменить пользователя" или "Группа".

  10. Введите имя учетной записи Администратор istrator на уровне домена, выберите "Проверить имена" и нажмите кнопку "ОК".

  11. Выберите "Запустить", вошедший или нет, и не хранить пароль. Задача будет иметь доступ только к ресурсам локального компьютера.

  12. Нажмите ОК.

  13. Появится диалоговое окно, запрашивающее учетные данные учетной записи пользователя для выполнения задачи.

  14. После ввода учетных данных нажмите кнопку "ОК".

  15. Появится диалоговое окно с сообщением о том, что для задачи требуется учетная запись с правами на выполнение пакетного задания.

Убедитесь, что Параметры групповой политики запретить вход в систему в качестве службы

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. Выберите подсказку "Пуск", введите службы и выберите "Службы".

  3. Найдите и дважды выберите "Печатать spooler".

  4. Перейдите на вкладку "Вход".

  5. В разделе "Вход как:" выберите эту учетную запись.

  6. Выберите "Обзор", введите имя учетной записи Администратор istrator на уровне домена, выберите "Проверить имена" и нажмите кнопку "ОК".

  7. В разделе "Пароль" и "Подтверждение пароля": введите пароль учетной записи Администратор istrator и нажмите кнопку "ОК".

  8. Нажмите кнопку "ОК " еще три раза.

  9. Щелкните правой кнопкой мыши службу "Печатать spooler" и выберите "Перезапустить".

  10. При перезапуске службы диалоговое окно сообщит о том, что не удалось запустить службу spooler печати.

Восстановление изменений в службе spooler принтера

  1. На любом сервере-члене или рабочей станции, затронутой изменениями групповой политики, войдите локально.

  2. Выберите подсказку "Пуск", введите службы и выберите "Службы".

  3. Найдите и дважды выберите "Печатать spooler".

  4. Перейдите на вкладку "Вход".

  5. В разделе "Вход как:" выберите учетную запись локальной системы и нажмите кнопку "ОК".

Проверьте Параметры групповой политики "Запрет входа в систему через службы удаленных рабочих столов"

  1. Нажмите кнопку "Пуск", а затем введите подключение к удаленному рабочему столу и выберите пункт "Удаленный рабочий стол" Подключение.

  2. В поле "Компьютер" введите имя компьютера, к которому требуется подключиться, и выберите Подключение. (Можно также ввести IP-адрес вместо имени компьютера.)

  3. При появлении запроса укажите учетные данные для имени учетной записи Администратор istrator на уровне домена.

  4. Отклонено Подключение удаленного рабочего стола.