Защита учетных записей пользователей

Если права и разрешения встроенной учетной записи не были изменены или отключены администратором сети, они могут использоваться злоумышленниками (или службой) для нелегального проникновения в домен с применением учетной записи администратора или гостя. Для обеспечения достаточной защиты эти учетные записи переименовывают или отключают. Поскольку коды безопасности (SID) учетных записей сохраняются, переименованная учетная запись сохраняет все остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, учетную информацию, а также любые разрешения и права пользователя.

Для обеспечения безопасности проверки подлинности пользователя следует создавать отдельные учетные записи для каждого пользователя сети, применяя для этого оснастку «Active Directory — пользователи и компьютеры». Каждая учетная запись пользователя (включая учетные записи администратора и гостя) может быть добавлена в группу для управления правами и разрешениями, назначенными этой учетной записи. Использование соответствующих этой сети учетных записей и групп позволяет проверить подлинность входящего в сеть пользователя и возможность предоставления ему разрешенных ресурсов.

Повысить защиту домена от атак можно с помощью надежных паролей и политики блокировки учетных записей. Использование надежных паролей снижает риск угадывания и подбора вариантов паролей. Дополнительные сведения о паролях см. в разделах Надежные пароли и Советы и рекомендации по паролям.

Применение политики блокировки учетных записей снижает вероятность проникновения злоумышленника в домен путем повторных попыток. Именно политика блокировки учетных записей позволяет установить число неудачных попыток входа в систему, после которых учетная запись отключается. Дополнительные сведения см. в разделе Применение или изменение политики блокировки учетной записи.

Дополнительные сведения о защите учетных записей пользователей см. в разделе Защита Active Directory.

Параметры учетных записей

Каждая учетная запись пользователя Active Directory имеет ряд параметров, относящихся к безопасности и определяющих, как производится проверка подлинности данной учетной записи при входе в сеть. Параметры пароля и безопасности для учетных записей можно настроить указанными ниже способами.

Параметры учетных записей Описание
Потребовать смену пароля при следующем входе в систему Задает требование смены пользователем пароля при следующем входе в сеть. Параметр используется, когда необходима уверенность в том, что никто, кроме пользователя, не знает его пароля.
Запретить смену пароля пользователем Не разрешает пользователю менять пароль. Параметр используется при необходимости контролировать учетную запись пользователя, например учетную запись гостя или временную учетную запись.
Срок действия пароля не ограничен Снимает временные ограничения на использование пароля. Рекомендуется включить этот параметр для учетных записей службы, одновременно используя надежные пароли. Дополнительные сведения о надежных паролях см. в разделе Надежные пароли.
Хранение паролей с использованием обратимого шифрования Позволяет пользователю входить в сеть Windows с компьютеров Apple. Не следует использовать этот режим для других компьютеров. Дополнительные сведения см. в разделе Хранение паролей с использованием обратимого шифрования.
Отключить учетную запись Не разрешает использовать данную учетную запись для входа в сеть. Многие администраторы используют отключенные учетные записи в качестве шаблонов для часто употребляемых учетных записей пользователей. Дополнительные сведения см. в разделе Отключение или включение учетной записи пользователя.
Для интерактивного входа в сеть нужна смарт-карта Требует наличия смарт-карты для входа в сеть в интерактивном режиме. К компьютерам пользователей также должно быть подключено устройство чтения смарт-карт, а у смарт-карты должен быть допустимый персональный идентификационный номер (ПИН). Если выбирается данный вариант, в качестве пароля учетной записи пользователя автоматически задается случайное сложное значение, а также устанавливается флажок Срок действия пароля не ограничен. Дополнительные сведения о смарт-картах см. в разделах Вход в систему с помощью смарт-карты и Процесс проверки подлинности.
Учетная запись доверена для делегирования Позволяет службе использовать данную учетную запись для выполнения операций от имени других пользователей в сети. Служба, использующая доверенную для делегирования учетную запись (иначе называемую учетной записью службы), может выдать себя за другого клиента для получения доступа к ресурсам компьютера, на котором она запущена, или к ресурсам других компьютеров. При установке функционального уровня леса в режим Windows Server 2003 этот параметр находится на вкладке Делегирование и доступен только для тех учетных записей, которым при помощи команды setspn из набора программ поддержки Windows назначены имена участников службы (SPN). Доверие делегирования относится к особым требованиям безопасности, поэтому необходимо соблюдать внимательность при задании этого параметра. Дополнительные сведения см. в разделах Разрешение на доверие пользователю для делегирования и Проверка подлинности при делегировании. Этот параметр доступен только для контроллеров домена, работающих под управлением операционной системы Windows Server 2003, где функциональность домена установлена в смешанном режиме Windows 2000 или основном режиме Windows 2000. В контроллерах домена с операционной системой Windows Server 2003, где работа домена установлена в режиме Windows Server 2003, для настройки параметров делегирования используется вкладка Делегирование. Вкладка «Делегирование» появляется только для тех учетных записей, для которых назначены имена участников службы. Дополнительные сведения о функциональных возможностях домена см. в разделе Функциональность домена и леса. Дополнительные сведения о настройке делегирования в домене Windows Server 2003 см. в разделе Разрешение на доверие пользователю для делегирования.
Учетная запись важна и не может быть делегирована Позволяет полностью контролировать учетные записи пользователей, например учетную запись гостя или временную учетную запись. Этот параметр может быть использован, если данная учетная запись не может быть назначена для делегирования другой учетной записью.
Использовать для данной учетной записи тип шифрования DES Обеспечивает поддержку шифрования с алгоритмом DES (Data Encryption Standard). DES поддерживает несколько уровней шифрования, включая стандарт MPPE (с 40-битным ключом), стандарт MPPE (с 56-битным ключом), усиленный стандарт MPPE (с 128-битным ключом), шифрование IPSec по 40-разрядному алгоритму DES, шифрование IPSEC по 56-разрядному алгоритму DES, шифрование IPSec по тройному алгоритму DES (3DES). Дополнительные сведения о шифровании DES см. в разделе Шифрование данных.
Не требовать предварительной проверки подлинности Kerberos Обеспечивает поддержку альтернативных реализаций протокола Kerberos. Контроллеры домена с операционной системой Windows 2000 или Windows Server 2003 могут использовать другие механизмы синхронизации времени. Предварительная проверка относится к мерам дополнительной безопасности, поэтому необходимо соблюдать осторожность при включении этого параметра. Дополнительные сведения о протоколе Kerberos см. в разделе Проверка подлинности Kerberos V5.




Наши рекомендации