Стратегия управления учетными записями

Планирование политики сетевой безопасности

Контроллеры домена должны проверять идентификацию пользователя или компьютера, прежде чем предоставить доступ к системным и сетевым ресурсам. Такая проверка называется аутентификацией и выполняется всякий раз при входе в сеть.

При планировании стратегии аутентификации рекомендуется соблюдать ряд правил [ 3 ] :

• Политика блокировки учетных записей (рекомендуемое значение для пользователя - 5 попыток).
• Ограничение времени, в которое разрешен вход.
• Политика истечения сроков билетов (tickets) (значение по умолчанию - 10 часов).
• Не использовать административные учетные записи для обычной работы.
• Переименовать или отключить встроенные учетные записи.

Следующий наиболее важный аспект сетевой безопасности - пароли, поэтому политику определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, проверяющее сложность пароля учетной записи "Администратор" (Administrator). Если пароль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно; при этом пользователь, оставивший поле для пароля пустым, не сможет обращаться к учетной записи через сеть.

Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планировании политики управления паролями рекомендуется соблюдать ряд правил [ 3 ] :

• Политика сохранения последних паролей (рекомендуемое значение: 24).
• Смена пароля не чаще, чем 1 раз в сутки.
• Длина пароля не должна быть короче 7 символов.
• Использование сложной схемы для паролей (строчные, прописные буквы, цифры и другие символы).

Планирование групп

Группы упрощают предоставление разрешений пользователям. Например, назначить разрешения группе и добавить пользователей в эту группу гораздо проще, чем по отдельности назначать разрешения многочисленным пользователям и управлять этими разрешениями. Когда пользователи входят в группу, для изменения того или иного разрешения всех этих пользователей достаточно одной операции.

Как и в случае учетных записей пользователей, группы бывают локальные и уровня домена. Локальные группы хранятся в базе данных защиты локального компьютера и предназначены для управления доступом к ресурсам этого компьютера. Группы уровня домена хранятся в Active Directory и позволяют помещать в них пользователей и управлять доступом к ресурсам домена и его контроллеров.

Типы групп [ 3 ]

• Группы безопасности:
  • используются для объединения в одну административную единицу;
  • используются ОС.
• Группы распространения:
  • используются приложениями (не ОС) для задач, не связанных с защитой.

Области действия групп [ 3 ]

• Глобальные группы:
  • содержат учетные записи пользователей и компьютеров только того домена, в котором создана эта группа;
  • им можно назначать разрешения или добавлять в локальные группы любого домена в данном лесу.
• Локальные группы домена:
  • существуют на контроллерах домена и используются для управления доступом к ресурсам локального домена;
  • могут включать пользователей и глобальные группы в пределах леса.
• Универсальные группы:
  • используются для назначения разрешений доступа к ресурсам нескольких доменов;
  • существуют вне границ доменов;
  • могут включать пользователей, глобальные группы и другие универсальные группы в пределах леса.

Active Directory позволяет вкладывать группы, то есть помещать одни группы в другие. Вложение групп - эффективный способ упорядочения пользователей. При вложении групп необходимо стремиться к тому, чтобы уровень вложения был минимальным; в сущности, лучше ограничиться одним уровнем. Чем глубже вложение, тем сложнее поддерживать структуру разрешений.

Группы пользователей помогают достичь наибольших успехов в стратегии управления учетными записями при выполнении следующих правил [ 3 ] :

• Избегать выдачи разрешений учетным записям.
• Создавать локальные группы домена.
• Для упорядочивания пользователей использовать глобальные группы.
• Помещать глобальные группы в локальные группы домена.
• Не включать пользователей в универсальные группы.