Ошибка: Failed to parse the Currency Converter XML document.
$36 286.64


Ошибка: Failed to parse the Currency Converter XML document.
$10 724.77


Ошибка: Failed to parse the Currency Converter XML document.
$1 658.32


10 советов по обеспечению безопасности Active Directory

10 советов по обеспечению безопасности Active DirectoryИспользуйте Windows Server 2003
Версия Windows Server 2003 с поддержкой службы каталогов «Активная директория» (Active Directory, далее AD) гораздо безопаснее версии Windows 2000. Это не значит, что нельзя сделать Windows 2000 более безопасной. Это значит, что для работы с AD легче использовать версию Windows Server 2003, которая не требует дополнительных настроек параметров защиты. Если нет возможности обновить систему до версии Windows Server 2003, убедитесь, что отключены все функции вида «pre-Windows 2000», например «Разрешения совместимы с версиями, предшествующими Windows 2000 Server» (Permissions compatible with pre–Windows 2000 servers).


Ограничьте доступ пользователей с правами администратора

При помощи таких технологий AD, как «Делегирование полномочий административного контроля» (Delegation of Administrative Control) или грамотно применяя возможности «Встроенных групп» (Built In Groups) и «Полномочий Активных директорий» (Active Directory Permissions), организация может существенно улучшить безопасность Active Directory. Вместо того, чтобы предоставлять широкие полномочия всем администраторам, следует распределить права IT-специалистов в соответствии с выполняемыми ими специфическими задачами (тоже самое касается и конечных пользователей вашей сети — не позволяйте им иметь слишком много прав). Если организация имеет несколько офисов, деревьев, доменов и лесов, убедитесь в том, что административные права соответствуют принятой политике разграничения полномочий.


Защитите DNS

AD сильно зависит от DNS. В частности, записи расположения служб необходимы для оповещения компьютера о местонахождении в сети функций контроллера домена. Поскольку DNS содержит необходимую информацию о сети Active Directory, необходимо убедиться в том, что DNS-сервера надёжно защищены от посторонних как на программном, так и на аппаратном уровне. Рекомендуется разрешать только «Безопасные динамические обновления» (Secure Dynamic Updates). О том, как включить эту опцию, можно узнать, если пройти по этой ссылке.

Защитите роли FSMO

Роли «Операций одиночного гибкого хозяина» (Flexible Single Master Operations, далее FSMO) имеют очень важное значения для Active Directory. В частности, «Эмулятор основного контроллера домена» (PDC Emulator) ответственен за выполнение многих важных функций, в том числе синхронизацию, приоритетные обновления «Групповой политики» (Group Policy) и операции по блокировке учётной записи. Помимо этого, «Мастер схемы» (Schema Master) регулирует обновления для «Схемы» (Schema) и поэтому тоже должен быть максимально защищён. Использование отказоустойчивых серверов, надёжных средств резервирования и применение других известных контрмер также содействует повышению уровня безопасности ролевых объектов FSMO.

Включите аудит

Аудит позволяет проверять работу Active Directory. Включив соответствующую опцию можно осуществлять аудит «Управления учётными записями» (Account Management), «Аудит событий входа в систему» (Logon Events), «Аудит изменения политики» (Policy Change) и «Аудит использования привилегий» (Privilege Use). Хотя это и очевидно, сам по себе аудит бесполезен без регулярной проверки журналов событий.

Отключите бесполезные служб и удалите ненужные приложения

В свете того, что все контроллеры доменов в идеале должны использоваться исключительно по своему прямому назначению, логично будет воздержаться от установки и запуска на них ненужных служб и программ. Убедитесь в том, что на серверах установлен минимальный набор необходимых служб и приложений. Крайне не рекомендуется когда бы то ни было использовать контроллер домена в качестве хранилища файлов или веб-сервера.

Установите шаблоны безопасности

Шаблоны безопасности осуществляют эффективные меры по обеспечению последовательной защиты домена, они всегда могут пригодиться толковому ответственному администратору. Если шаблоны с предзаданными значениями (например, HiSecDc.inf) не могут удовлетворить ваших потребностей, создайте свой собственный.

Установите приоритет для обновлений контроллеров домена

Microsoft выпускает свои защитные патчи ежемесячно (иногда чаще). Администраторам необходимо настроить обновления так, чтобы в первую очередь обеспечивать защитными заплатками контроллеры домена.

Обеспечьте безопасность на физическом уровне

Позаботьтесь о том, чтобы ваши сервера находились в запертом помещении или специальной охраняемой комнате. Злоумышленник, которому удастся физически подобраться к серверу и войти в систему под учётной записью администратора, может существенно разрушить инфраструктуру Active Directory.

Планируйте сбоеустойчивую топологию

Поскольку любая защита строится на основе уже известных видов атак, всегда есть возможность столкнуться с неведомой доселе проблемой. Готовы ли вы к восстановлению? Active Directory — это мультисерверная среда, где несколько контроллеров домена имеют несколько ролей. Таким образом, при сбое одного контроллера страдает вся директория. Вы должны разобраться в схемах Active Directory, разработать методы восстановления и спланировать топологию так, чтобы снизить риск возникновения всех возможных проблем и аварийных ситуаций. Планируйте и будьте готовы.

Автор: Jeremy Smith

 

Интересное

Serv-U: Установка FTP-сервера
Хочу установить на своей машине в локальной сети FTP-сервер, но не выбрал программу. Какую именно вы посоветуете и каким образом ее нужно настроить?Выбор программы Спрос рождает предложение,...
Подробнее...
Забавное программирование...
Приведённый здесь материал можно озаглавить не иначе как «Чем заняться программисту, если нечего делать». На самом деле, Delphi настолько интересная среда, что в ней наряду с разработкой серьёзных...
Подробнее...
Cмешение цветов с помощью...
Привет всем. Сегодня мы будем писать програмку, которая может размыть картинку.Бросай на форму Timage и Tbutton имена оставь по умолчанию, создавай событие button1.click
Подробнее...
Объектное программирование
Тип объект содержит: — поля: вектор, его размер и его идентификатор в символьном виде — методы: введение вектора, вывод вектора, сортировка за ростом элементов вектора.Реализовать экземпляр этого...
Подробнее...
Ставим Windows Server 2003
К вопросу о “правильных” и “неправильных” дискахДля начала расскажу о тех дисках, которые я считаю “неправильными”. Во-первых, это все “Beta X” которые вам удастся найти. Причина, по которой я их...
Подробнее...
Экономичная печать
Мы хотим получить красивый отпечаток, но при этом сэкономить как можно больше чернил и бумаги. Как это сделать? Оказывается, есть способ…Сколько бы вы ни заплатили за принтер — 50 или 500...
Подробнее...
Как обнаружить утечку памяти
При разработке больших приложений, оперирующих большими объемами информации на первое место при отладке встает проблема обнаружения неправильного распределения памяти. Суть проблемы состоит в том,...
Подробнее...
Поиск уязвимостей в PHP...
Итак, сейчас я Вам объясню, как я ищу баги в скриптах на PHP, так делаю я сам и не кому не навязываю свой вариант...Статья это маленькая, но я считаю полезная =)1. Если вы читали мою вторую статью...
Подробнее...
Уменьшаем траффик вдвое
Заставила меня написать эту статью интересная возможность. Это возможность пользоваться сетью, используя любую технологию, в которой оплата взимается по траффику(например, ADSL или GPRS), снижая...
Подробнее...
Ваш сайт
Словом юзабилити обозначается удобство использования какой-либо вещи и ее полезность. Корень слова лежит в английском языке, в котором он обозначает полезность, комфорт. 
Подробнее...