Ознакомиться с составом встроенных локальных учётных записей и групп.

Ознакомиться с составом встроенных локальных учётных записей и групп.

Учётные записи (accounts) пользователей, компьютеров и групп – один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом

В среде Windows Server 2003 Active Directory существует 3 главных типа пользовательских учётных записей:

Ø Локальные учетные записи пользователей - Создание данного типа учётных записей происходит с использованием элемента Local Users and Groups (Локальные пользователи и группы) консоли Computer Management (Управление компьютером) lusrmgr.msc (эта оснастка не может быть использована на контроллере домена). Учётные записи домена обрабатываются при помощи оснастки «Active Directory – пользователи и компьютеры». Для входа в систему по локальной учётной записи, эта учётная запись обязательно должна присутствовать в базе данных SAM на системе, в которую мы пытаемся войти. Это делает локальные записи пользователей непрактичными для больших сетей, вследствие больших расходов по их администрированию.

Ø Учётные записи пользователей домена – эти учётные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Создание данного типа учётных записей происходит централизованно при помощи оснастки «Active Directory – Users and Computers» («Active Directory – пользователи и компьютеры») Хранятся в виде копий в базе данных контроллера домена.

Ø Встроенные учётные записи – это учётные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создаёт учётные записи – Administrator (Администратор), Guest (Гость) и Support (поддержка). По умолчанию учётная запись Гость отключена.

Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT).

Два основных вида имен входа:

Ø C использованием суффикса User Principal Name или UPN ( основного имени пользователя ) имеет такой же формат как и электронный адрес, включает в себя имя входа пользователя, затем значок «@» и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того в каком домене учётная запись была создана. Выпадающий список будет содержать имя домена в котором мы создали эту учётную запись. Также можно создавать дополнительные доменные суффиксы в консоли «Active Directory – домены и доверие» domain.msc. Существует одно обязательное условие – все UPN в лесу должны быть уникальными. Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, нам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.

Ø Имя входа пользователя в системах пред-Windows 2000. Обычное имя пользователя.

 

Рассмотрим подробнее встроенные учётные записи:

Учетная запись Администратор (Administrator)

Эта предопределенная учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор (Administrator) обычно имеет доступ только к локальной системе. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа.

Чтобы предотвратить несанкционированный доступ к системе или домену, у административной записи должен быть надежный пароль. Кроме того, стандартное имя этой записи всем известно, поэтому рекомендуется переименовать ее.

Обычно менять основные параметры учетной записи Администратор (Administrator) не требуется, однако иногда следует сменить такие дополнительные параметры, как ее членство в некоторых группах. По умолчанию администратор в домене включен в группы Администраторы (Administrators), Администраторы домена (Domain Admins), Пользователи домена (Domain Users), Администраторы предприятия (EnterpriseAdmins), Администраторы схемы (Schema Admins) и Владельцы-создатели групповой политики (Group Policy Creator Owners).

Учетная запись ASPNET

Учетная запись ASPNET используется в NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена (Domain Users) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене.

Учетная запись Гость (Guest)

Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями, тем не менее применять ее нужно с осторожностью, поскольку она потенциально снижает безопасность. Поэтому запись Гость (Guest) при установке Windows Server 2003 изначально отключена.

Учетная запись Гость (Guest) по умолчанию является членом групп Гости домена (Domain Guests) и Гости (Guests). Важно отметить, что все гостевые учетные записи являются членами неявной группы Все (Everyone), которая обычно по умолчанию имеет доступ к файлам и папкам и располагает стандартным набором прав пользователя.

Учетная запись Support

Учетная запись Support применяется встроенной службой Справка и поддержка (Help and Support). Она является членом групп HelpServicesGroup и Пользователи домена (Domain Users) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.

1.2 Изучить назначения и возможности локальных групп.

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы " своего" домена и глобальные и универсальные группы всего леса.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

Ø Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

Ø Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

 

Область действия групп

 

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам " своего" домена;

• Глобальные могут содержать — только глобальные учетные записи пользователей " своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
• Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

 

 

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена исерверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и использования групп.

При создании и использовании групп следует придерживаться следующих правил:

1. Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.

2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.

3. Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.

Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.

Встроенные локальные группы (на рабочей станции или простом сервере).
Название группы	Описание
Администраторы	Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группа Администраторы домена.
Операторы резервного копирования	Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
Администраторы DHCP (создается при установке службы DHCP Server)	Члены этой группы могут администрировать службу DHCP Server.
Операторы сетевой конфигурации	Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически.
Пользователи монитора производительности	Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом.
Пользователи журнала производительности	Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом.
Опытные пользователи	Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группах Опытные пользователи, Пользователи и Гости.
Операторы печати	Члены группы могут управлять принтерами и очередями печати на конкретном сервере.
Пользователи удаленного рабочего стола	Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера.
Пользователи	Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группы Интерактивные и Прошедшие проверку.
Встроенные доменные локальные группы.
Название группы	Описание
Администраторы	Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная записьАдминистратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы.
Операторы учетных записей	Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группу Администраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы.
Операторы резервного копирования	Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу.
Администраторы DNS (создается при установке службы DNS)	Члены группы имеют административный доступ к серверам DNS.
Операторы сетевой конфигурации	Члены группы могут изменять настройки TCP/IP на контроллерах доменов.
Пользователи монитора производительности	Члены группы могут следить за счетчиками производительности на контроллерах домена.
Пользователи журнала производительности	Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена.
Операторы печати	Члены группы могут управлять работой принтеров домена
Операторы сервера	Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности.
Пользователи	Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи домена является по умолчанию членом данной группы.
Встроенные глобальные группы.
Название группы	Описание
Администраторы домена	Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группыАдминистраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию.
Компьютеры домена	Все контроллеры, серверы и рабочие станции домена являются членами этой группы.
Контроллеры домена	Все контроллеры домена являются членами этой группы.
Пользователи домена	Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группу Пользователи.
Администраторы предприятия(создается только в корневом домене леса)	Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса.Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу.
Администраторы схемы (создается только в корневом домене леса)	Члены этой группы могут изменять схему Active Directory.
Динамические группы.
Название группы	Описание
Интерактивные	В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере.
Прошедшие проверку	Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения.
Все	Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов.

1.3 Изучить свойства локальных учётных записей Администратор, Гость

 

Посмотреть свойства учётных записей можно при помощи оснастки «Управление компьютером» (compmgmt.msc) на компьютере – члене домена или в оснастке или «Active Directory – Пользователи и компьютере»(dsa.msc) на компьютере –контроллере домена. Свойства позволяют посмотреть те или иные сведения или изменить членство в группах. Набор сведений достаточно широк, поэтому они объединены по вкладкам в окне.

Ø Вкладка «Общие» содержит сведения об администраторе домена, такие как: ФИО, расположение, способы связи.

Ø Во вкладке «Адрес» можно указать: улицу, почтовый ящик, область/край, почтовый индекс, страну или регион.

Ø Во вкладке «Учётная запись» можно указать: имя входа пользователя, время входа, параметры учётной записи (требовать смену пароля при следующем входе, запретить смену пароля, разрешить ставить неограниченный по времени пароль, метод шифрования пароля (обратимое, DES), отключить учётную запись, отключить проверку подлинности Kerberos)

Ø Во вкладке «Профиль» можно указать путь к профилю, сценарий для входа, домашнюю папку.

Ø Во вкладке «Телефоны» можно указать номера телефонов для связи с администраторам по возникшим вопросам.

Ø Во вкладке «Организация» можно указать занимаемую должность, отдел, наименование организации

Ø Вкладка «Член группы» позволяет редактировать членство в группах

Ø Во вкладке «Входящие звонки» позволяет задать разрешения на удаленный доступ VPN или модем, настройка ответного вызова сервера, явное указание статического IP адрес пользователя, использование статической адресации.

Ø Во вкладке «Среда» можно настроить среды служб терминалов (лицензия «на пользователя», когда пользователи не привязаны к конкретному компьютеру, требуется доступ к серверу как из корпоративной сети, так и из удаленной (дом, другой офис) иначе ставится лицензия «на устройство»), назначить программу, запускаемую при входе в систему, а так же подключаемые устройства ( диски, принтеры, выбор основного принтера)

Ø Во вкладке «Сеансы» можно указать время завершения отключенного сеанса, ограничения активного сеанса, ограничения бездействующего сеанса, назначить действия при превышении ограничений или разрыве подключения (отключить сеанс, завершить сеанс), параметры разрешения пере подключений ( от любого клиента, только от прежнего клиента)

Ø Во вкладке «Удалённое управление» можно настроить удалённое управление служб терминалов: разрешить удалённое управление, запрашивать разрешение пользователя, указать желаемый уровень управления сеансом пользователя (только наблюдение, взаимодействие с этим сеансом)

Ø Во вкладке «Профиль служб терминалов» можно указать путь к профилю, указать домашнюю папку для служб терминалов или запретить пользователю вход на серверы терминалов.

Ø Во вкладке «COM+» можно указать членом каких наборов раздела COM+ является пользователь

 

 

С помощью консоли управления локальными параметрами безопасности определить наиболее важные компоненты локальной политики по отношению к пользователям и их стандартные настройки. Рассмотреть политики учётных записей, установленные по умолчанию.

Чтобы попасть в оснастку «Локальные параметры безопасности» нужно:

1. Открыть консоль управления mmc.exe

2. В меню «Консоль» выберем команду «Добавить или удалить оснастку» и нажмём на кнопку «Добавить»

3. В диалоговом окне «Добавить изолированную оснастку» выберем оснастку «Редактор объектов групповой политики» и нажмём на кнопку «Добавить»

4. В диалоговом окне «Выбор объекта групповой политики» выбираем объект «Локальный компьютер» и подтверждаем добавление.

5. Перейдём в узел «Конфигурация компьютера», затем «Конфигурация Windows», далее «Параметры безопасности»

Данная оснастка позволяет разрешить или запретить доступ к компьютеру учётным записям, определить какие ресурсы могут использовать пользователи, включить или отключить запись в журнал событий.

Политика учётных записей:

Ø Политика паролей используются для учетных записей доменов или локальных компьютеров. Они определяют параметры паролей, такие как соответствие, обязательным условиям и срок действия.

· Макс. срок действия пароля этот параметр безопасности определяет период времени (в днях), в течение которого пароль можно использовать, пока система не потребует от пользователя сменить пароль. Срок действия пароля от 1 до 999 дней, значение 0 соответствует неограниченному сроку действия пароля. На практике в качестве максимального срока действия пароля задаётся значение от 30 до 90 дней, в зависимости от обстановки. В этом случае у злоумышленника ограничено время, в течении которого он может взломать пароль и получить доступ к сетевым ресурсам.

По умолчанию: 42 дня.

· Минимальная длина пароля этот параметр безопасности определяет минимальное количество символов, которое должно содержаться в пароле пользователя. Допустимое значение от 1 до 14 знаков, если пароль не требуется, устанавливается значение 0. Рядовые члены домена по умолчанию используют конфигурацию своих контроллеров домена.

По умолчанию: 7 знаков.

· Мин. срок действия пароля этот параметр безопасности определяет период времени (в днях), в течении которого пользователь должен использовать пароль, перед тем, как сможет сменить его. Допустимые значения от 1 до 998 дней. Чтобы разрешить изменять пароль сразу нужно установить значение 0 дней. Если значение максимального срока действия пароля равно 0, то минимальный срок действия пароля может принимать значения от 0 до 998 дней. Чтобы включить ведение журнала паролей, нужно установить минимальный срок действия пароля больше 0 дней. Без установки минимального срока действия пароля, пользователь может циклически изменять пароли повторно и вернуть свой старый, предпочитаемый пароль. Если величина журнала паролей равна 0, пользователю не нужно выбирать новый пароль, поэтому величина журнала паролей равна 1- на контроллерах домена, 0 – на автономных серверах по умолчанию. Рядовые члены домена по умолчанию используют конфигурацию своих контроллеров домена.

По умолчанию: 1 – на контроллерах домена, 0 – на автономных серверах.

· Пароль должен отвечать требованиям сложности этот параметр безопасности определяет требования сложности для паролей. Если политика включена, пароли должны удовлетворять следующим минимальным требованиям: пароль не должен содержать имя учётной записи, или фрагмент имени, пароль не должен быть короче 6 символов, пароль должен содержать заглавные (A-Z) и строчные (a-z) латинские буквы, цифры (0-9), отличные от букв и цифр символы (!, #, $, %)

По умолчанию: включен на контроллерах домена, отключен на автономных серверах.

· Требовать неповторимости паролей этот параметр безопасности определяет количество новых паролей, которые необходимо связать с учётной записью перед повторным использованием старого пароля. Значение должно быть в диапазоне от 0 до 24. Для эффективного применения требования следует запретить смену пароля сразу после его изменения, включив параметр безопасности «Мин. срок действия пароля»

По умолчанию: 24 – на контроллерах домена, 0 – на автономных серверах.

· Хранить пароли, используя обратимое шифрование этот параметр безопасности определяет, используется ли в операционной системе обратимое шифрование для хранения паролей. Эта политика обеспечивает поддержку приложений, использующих протоколы, которым для проверки подлинности, необходимо знать пароль пользователя. Хранение паролей, зашифрованных обратимыми методами, аналогично хранению их в текстовом виде. Поэтому данную политику нужно использовать лишь в исключительных случаях, если потребность приложения оказывается важнее, чем защита пароля. Эта политика является обязательной при использовании протокола проверки подлинности CHAP (Challenge Handshake Authentications service) в средствах удалённого доступа или службах IAS (Internet Authentications service), краткой проверки подлинности в службах IIS (Internet Information Service).

По умолчанию: отключен.

Ø Политика блокировки учётной записи используется для учётных записей доменов или локальных компьютеров. Она определяет условия и период времени блокировки учётной записи.

· Блокировка учётной записи этот параметр безопасности определяет число минут, в течении которых учётная запись остаётся заблокированной, прежде чем будет автоматически разблокирована. Этот параметр может принимать значения от 0 до 99999 минут (пороговое значение блокировки, должно быть больше или равно интервалу сброса). Если установлено значение 0, она будет заблокирована до тех пор, пока не будет явно разблокирована администратором.

По умолчанию: неприменимо, поскольку данный параметр имеет смысл только при заданном параметре «Пороговое значение блокировки»

· Пороговое значение блокировки этот параметр безопасности определяет количество неудачных попыток входа в систему, приводящие к блокировке учётной записи пользователя. Заблокированная учётная запись не может использоваться до тех пор пока не будет восстановлена администратором, либо пока не истечёт период блокировки этой учётной записи. Количество неудачных входов в систему может составлять от 0 до 999. Если установлено значение 0, учётная запись никогда не будет заблокирована. Неудачные попытки ввода паролей на рабочих станциях или рядовых серверах, заблокированных при помощи сочетания клавиш CTRL+ALT+DEL, или с помощью защищённых паролем заставок, считаются неудачными попытками входа в систему.

По умолчанию устанавливается значение: 0 ошибок входа в систему.

· Сброс счётчика блокировки через этот параметр безопасности определяет, сколько минут должно пройти после неудачной попытки входа в систему, прежде чем счётчик неудачных попыток будет сброшен в 0. Этот параметр может принимать значения от 0 до 99999 минут. Если определено пороговое значение блокировки, данный интервал сброса не должен быть больше интервала «Блокировка учётной записи на».

По умолчанию: неприменимо, поскольку данный параметр имеет смысл, только при заданном параметре «Пороговое значение блокировки»

Локальные политики:

Ø Политика аудита параметры аудита, выбранные для категорий событий, определяют политику аудита

· Аудит входа в систему этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из неё. События входа в систему формируются контроллерами домена в процессе проверки учётных записей домена и локальными компьютерами при работе с локальными учётными записями. Если включены обе категории политик – учётных записей и аудита при входе в систему, - входы в систему с использованием учётной записи домена формируют события входа или выхода на рабочей станции или сервере и событие входа в систему на контроллере домена, в то время как при входе пользователя производится поиск сценариев входа и политик. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа. Чтобы установить значение «Нет аудита», в диалоговом окне «Свойства» данного параметра политики установите флажок «Определить следующие параметры политики» и установите флажок «Успех» и «Отказ».

По умолчанию: «Успех».

· Аудит доступа к объектам этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту (файлу, папке, разделу реестра, принтеру и т.п.) для которого создана собственная системная таблица управления доступом SACL. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту для которого определена соответствующая таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL.

По умолчанию «Нет аудита»

· Аудит доступа к службе каталогов этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту каталогов AD, для которого создана системная таблица управления доступом SACL. По умолчанию эта политика отменяет аудит для объекта групповой политики «Стандартный контроллер домена» и не определена для рабочих станций и серверов, на которых она не имеет смысла. Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту AD, для которого определена системная таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователей к объекту AD, для которого определена системная таблица SACL. Данная политика аналогична политике «Аудит доступа к объектам», только она применяется к объектам AD, а не к объектам файловой системы и реестра.

По умолчанию: «Успех» на контроллере домена, «Не определено» на рядовых компьютерах домена.

· Аудит изменения политики этот параметр безопасности определяет, подлежит ли аудиту, каждый факт изменения политик назначения прав пользователей, политик аудита и политик доверительных отношений. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

По умолчанию «Успех» на контроллере домена, «Нет аудита» на рядовых серверах.

· Аудит использования привилегий этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения прав пользователя. Аудиту не подлежат попытки применения прав пользователя: обход перекрёстной проверки, отладка программ, создание маркерного объекта, замена маркера уровня процесса, создание журналов безопасности, архивирование файлов и каталогов, восстановление файлов и каталогов. Включение этих прав ведёт к формированию множества событий в журнале безопасности, что может привести к снижению быстродействия компьютера. Чтобы выполнить аудит этих прав нужно включить их в реестре в ветке FullPrivelegeAuditing

По умолчанию: «Нет аудита».

· Аудит отслеживания процессов этот параметр безопасности определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.

По умолчанию «Нет аудита»

· Аудит системных событий этот параметр безопасности определяет, подлежат ли аудиту события перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.

По умолчанию «Успех» на контроллерах домена, «Нет аудита» на рядовых серверах.

· Аудит события вход в систему этот параметр безопасности определяет, подлежат ли аудиту каждая попытка пользователя войти в систему с другого компьютера или выйти из неё, при условии, что этот компьютер используется для проверки подлинности учётной записи. События входа в систему формируются при проверке подлинности учётной записи пользователя домена, выполняемой контроллером домена. Событие регистрируется в журнале безопасности контроллера домена. Событие входа в систему создаётся при проверке подлинности локального пользователя на локальном компьютере. События регистрируются в локальном журнале безопасности. События выхода из системы не формируются. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачного попытки входа в систему. Если аудит успешных попыток входа в систему включен на контроллере домена, в журнал будет заноситься запись о каждом пользователе, прошедшем проверку на этом контроллере домена, несмотря на то, что пользователь на самом деле входит в систему на рабочей станции домена.

По умолчанию «Успех».

· Аудит управления учётными записями этот параметр безопасности определяет, подлежат ли аудиту все события, связанные с управлением учётными записями на компьютере (создание, изменение или удаление учётной записи пользователя или группы, переименование, отключение или включение учётной записи пользователя, задание или изменение пароля). Аудит успехов означает создание записи аудита для каждого успешной события управления учётными записями. Аудит отказов означает создание записи аудита для каждого неудачного события управления учётными записями.

По умолчанию «Успех» на контроллере домена, «Нет аудита» на рядовых серверах.

Ø Назначение прав пользователя этот параметр безопасности содержит достаточно обширный список прав, которые можно дать пользователю или группе. К локальной политике безопасности по отношению к пользователям относятся (приведём данные в виде таблицы):

123Следующая ⇒

Поделиться: