Documente Academic
Documente Profesional
Documente Cultură
1 Introducere
Cand vorbim de Active Directory, vorbim despre un depozit centralizat al tutuor informatiilor, a
utilizatorilor si a resurselor dintr-o organizatie. Cu ajutorul acestor informatii se decide la ce resurse
exista acces pentru utilizatori. Prin permisii asignate catre obiectele Active Directory controlam reteaua
noastra.
Aceste permisii ce ne ofera siguranta retelei noastre sunt liste ce control al accesului (Access Control
Lists ACLs), control al contului de utilizator (User Account Control UAC) si intrari de control ale accesului
(Access Control Entries ACEs).
Pentru a putea defini aceste setari, avem nevoie de o modalitate de a identifica unic obiectele pe
care le securizam prin controlul accesului. Aceasta identificare unica se face cu ajutorul SID-ului (Security
Indetifier). Orice obiect detinator de SID se numeste principal de securitate (Security Principal).
Urmatoarele obiecte sunt Security Principals:
- Conturi de utilizatori : care identifica individul ce foloseste resursele;
- Grupuri de Securitate : Grupurile contin utilizatori
- Conturi de Computer : conturile de computer identifica pentru noi ce calculatoare sunt membri
ai unui domeniu.
Trebuie amintiti ca nu toate obiectele Active Directory sunt Security Principals. Spre exemplu OU-
urile nu sunt.
Acestor obiecte care sunt Security Principal pot fi administrate prin urmatoarele actiuni:
- Li se pot asigna permisii pentru diferite resurse din retea
- Li se pot da drepturi pe utilizatori
- Li se pot urmari actiunile prin auditare
Aceste grupuri sunt folosite pentru administrarea Domain Controllerului si desemnarea unor actiuni
specifice. Printre acestea amintim:
- Account Operators : pentru administrarea utilizatorilor si grupurilor de domeniu
- Administrator : drepturi de administrare depline pe acel server
- Backup Operators : pentru a da drepturi de backup
- Server Operators : pentru a administra configurarea serverului (servicii, share)
- Print Operators : pentru administrarea imprimantelor dintr-un domeniu.
Odata cu aceste grupuri builtin vom mai gasi la promovarea unui controlor de domeniu si
urmatoarele conturi:
- Contul de Administrator
- Contul de Guest : oprit implicit
- Krbtgt (Key Distribution Center Service) folosit pentru autentificarea in Kerberos folosit de sistem
si opriti implicit. Se foloseste doar la promovarea controlorului de domeniu
Fiecare obiect din active directory are o lista de control a accesului, un ACL. Acest ACL este o lista
pentru conturile de utilizatori si grupuri ce au permisiuni de acces a resursei. Pentru fiecare ACL exista o
intrare de control a accesului, ACE, care definteste ce drepturi are un utilizator sau un grup pentru acea
resursa. De retinut ca o permisiune de Deny suprascrie orice alta permisiune, chiar daca acea permisiune
acorda specific acea permisiune.
Fiecare utilizator cand se logheaza pe o statie are un set de drepturi. Anumite actiuni au nevoie de
drepturi suplimentare. Aici ne ajuta controlul contului de user ( UAC) ce permite unui utilizator sa ruleze
actiuni ce au nevoie de drepturi suplimentare.
Fiecare OU poate fi delegat catre controlul unui grup sau unui utilizator pentru un management mai
usor.
Putem configura o parte din setarile de securitate cu ajutorul politicilor de grup. In general cele mai
cunoscute setari de securitate sunt cele legate de parola contului:
- Enforce Password History : folosita pentru a specifica numarul de parole retinute, astfel incat sa
nu poata fi refolosite
- Minimum Password Length: folosita pentru a specifica numarul minim de caractere
- Complexity : specifica daca se va tine cont de criteriul de complexitate
O alta setare definita in politicile de grup este cea legata de blocarea contului :
- Account Lockout Threshold : specifica numarul de incercari esuate pana la blocarea contului
- Account Lockout Duration : cat timp va ramane contul blocat
- Reset Account Lock-out Counter After: specifica timpul dupa care se va reseta contorul pentru
incercari gresite
O ultima setare comuna de securitate priveste politicle locale:
- Accounts: Rename Administrator Account : pentru a ingreuna accesul persoanelor neautorizate
se schimba numele contului de administrator local
- Domain Controller : Allow Server Operators To schedule Tasks : membrii grupului Server
Operators pot programa sarcini
- Interactive Logon : Do not Display Last User Name : pentru a nu ajuta accesul neautorizat, nu se
va afisa numele utilizatorului care s-a logat ultima oara
- Shutdown: Allow System to be shut down without having to log on : permite administratorilor
sa opreasca masina de la distanta fara a fi necesar sa fie cineva logat
Pentru a putea avea un control mai bun asupra nivelului de securitate este necesar sa stim bresele de
securitate daca exista precum si daca si cum se aplica setarile de securitate. Pentru acesta, avem nevoie
de o aduitare a ceea ce se intampla la noi in retea si pentru a realiza aceasat vom implementa o politica
de audit. Poltica de audit ne ajuta sa inregistram actiunile intreprinse de utilizator precum si
interactiunea cu obiectele din domeniu. Actiunile ce se pot audita sunt:
- Evenimentele legate de logarea conturilor
- Administrarea conturilor
- Accesul serviciului director
- Accesul obiectelor
- Schimbarea politicii de audit
- Utilizarea privilegiilor
- Evenimentele de sistem.
Pentru verificarea unei politici care i se aplica unui obiect se foloseste comanda auditpol.exe. Printre
parametrii ce se pot folosi amintim:
- /backup : salveaza politica de audit intr-un fisier
- /clear : curata politica de audit
- /get : afiseaza politica de audit curenta
- /list : afiseaza elementele de politica selectabile
- /remove : sterge toate setarile de politica per utilizator si dezafecteaza toate setarile de politca
de audit ale sistemului
- /restore : permite restaurarea unei politici de audit dintr-un fisier salvat anterior
- /set : permite setarea politicii de audit