Сброс счетчика блокировки через

 

Каждый раз при неудавшейся попытке входа в систему Windows 2000 увеличивает значение порога, который отслеживает число неправильных попыток входа. Политика «Сброс счетчика блокировки через» определяет, как долго сохраняется значение порога блокировки. Счетчик порога блокировки учетной записи сбрасывается одним из двух способов. Если пользователь входит в систему успешно, счетчик порога сбрасывается. Если период ожидания для политики «Сброс счетчика блокировки через» после последней неудачной попытки входа истек, счетчик также сбрасывается.

По умолчанию, установлено сохранение порога в течение одной минуты, но Вы можете установить любое значение от 1 до 99,999 минут. Как и с Порогом блокировки учетной записи, необходимо выбрать значение, которое находится в равновесии между нуждами безопасности и нуждами пользователей. Подходящее значение находится в диапазоне от одного до двух часов. Этот период ожидания должен быть достаточно большим, чтобы заставить взломщиков ждать дольше, чем им хотелось бы, перед новой попыткой получить доступ к учетной записи.

Примечание. Неудачные попытки входа на рабочую станцию через заставку защищенную паролем не увеличивают значение порога блокировки. Также, если Вы блокируете сервер или рабочую станцию используя Ctrl+Alt+Delete, неудачные попытки входа через окно Снятие блокировки компьютера не будут учитываться.

 

Настройка политик Kerberos

 

Kerberos версии 5 является основным механизмом проверки подлинности, используемым в домене Active Directory. Kerberos использует билеты службы и билеты пользователя для идентификации пользователей и сетевых служб. Как Вы догадываетесь, билеты службы используются служебными процессами Windows 2000, а билеты пользователя пользовательскими процессами. Билеты содержат зашифрованные данные, подтверждающие подлинность пользователя или службы.

Вы можете контролировать длительность билета, его возобновление и применение, используя следующие политики:

 

•	Принудительные ограничения входа пользователей
•	Максимальный срок жизни билета службы
•	Максимальный срок жизни билета пользователя
•	Максимальный срок жизни для возобновления билета пользователя
•	Максимальная погрешность синхронизации часов компьютера

 

Эти политики описаны в следующем разделе.

Внимание. Только администраторы, полностью понимающие пакет безопасности Kerberos, должны менять эти политики. Установка неправильных параметров для данных политик может повлечь серьезные проблемы в сети. В большинстве случаев параметры политики Kerberos, установленные по умолчанию, работают как надо.

 

Принудительные ограничения входа пользователей

 

Политика «Принудительные ограничения входа пользователей» обеспечивает включение ограничений пользовательской учетной записи. Например, если время входа пользователя ограничено, данная политика осуществляет это ограничение. По умолчанию, данная политика разрешена и отменять ее следует только при исключительных обстоятельствах.

 

Максимальный срок жизни

 

Политики «Максимальный срок жизни билета службы» и «Максимальный срок жизни билета пользователя» устанавливают максимальный срок, в течение которого билет службы или пользователя имеет силу. По умолчанию, билеты службы имеют максимальную длительность 41,760 минут, а билеты пользователя – 720 часов.

Вы можете изменить длительность билетов. Для билетов службы эффективные значения находятся в диапазоне от 0 до 99,999 минут. Для билетов пользователя – от 0 до 99,999 часов. Нулевое значение выключает истечение срока жизни. Любые другие значения устанавливают определенный срок жизни билета.

Билет с истекшим сроком жизни может быть возобновлен. Для возобновленного билета устанавливается срок жизни в соответствии с политикой «Максимальный срок жизни для возобновления билета пользователя». По умолчанию период возобновления билета составляет 60 дней. Вы можете установить период возобновления от 0 до 99,999 дней. Нулевое значение выключает максимальный период обновления, а любые другие значения устанавливают его определенный срок.

 

Максимальная погрешность

 

Политика «Максимальная погрешность синхронизации часов компьютера» является одной из немногих политик Kerberos, которую Вам, возможно, придется изменить. По умолчанию компьютеры в домене должны быть синхронизированы друг с другом в течение пяти минут. Если это условие не выполняется, аутентификация не происходит.

Если у Вас есть удаленные пользователи, которые входят в домен без синхронизации их часов с сетевым сервером времени, Вам может понадобиться установить этот параметр. Его диапазон - от 0 до 99,999

Первым шагом к обеспечению безопасности корпоративной сети среднего размера является понимание того, какими уязвимостями могут воспользоваться злоумышленники. Главной задачей злоумышленника, проникшего в сеть, является повышение привилегий созданного им плацдарма для получения более широкого доступа. После повышения привилегий очень тяжело предотвратить дальнейшие действия злоумышленника. Злоумышленники используют различные механизмы повышения привилегий, но чаще всего они связаны с атаками на имеющиеся в системе учетные записи, особенно, если они обладают правами администратора.

В корпоративных сетях среднего размера зачастую принимаются меры по обеспечению безопасности обычных учетных записей пользователей, а учетные записи служб остаются без внимания, что делает их уязвимыми и популярными целями злоумышленников. После получения злоумышленником контроля над важной учетной записью с высоким уровнем доступа к сети, вся сеть будет оставаться ненадежной, пока не будет полностью создана заново. Поэтому уровень безопасности всех учетных записей является важным аспектом обеспечения безопасности сети.

Внутренние угрозы, так же как и внешние, могут причинить значительный ущерб корпоративной сети среднего размера. Внутреннюю угрозу создают не только злоумышленники, но и те пользователи, которые могут нанести ущерб ненамеренно. Одним из примеров могут служить на первый взгляд безобидные попытки пользователей получить доступ к ресурсу в обход мер безопасности. Из соображений удобства пользователи и службы также очень часто получают более широкие права, чем необходимо для работы. Хотя такой подход гарантирует пользователям доступ к ресурсам, необходимым для выполнения работы, он также увеличивает опасность успешной атаки на сеть.

Аннотация

 

Как уже было сказано во введении, управление безопасностью всех типов учетных записей в сети является важным аспектом управления рисками корпоративной сети среднего размера. Во внимание должны приниматься как внешние, так и внутренние угрозы. Решение по защите от таких угроз должно быть сбалансировано с точки зрения безопасности и функциональности сетевых ресурсов, соответствующей потребностям среднего бизнеса.

Данный документ поможет представителям среднего бизнеса осознать риски, связанные с административными учетными записями и учетными записями служб, учетными записями по умолчанию и учетными записями приложений. Приведенные сведения являются основой для разработки и реализации мер по снижению этих рисков. Для этого необходимо рассказать о сути этих учетных записей, о том, как их различать, как определять права, необходимые для работы, и как снижать риски, связанные с повышенными привилегиями учетных записей служб и администраторов.

В рамках инициативы корпорации Майкрософт «Защищенные компьютерные системы» используемые в Microsoft® Windows Server™ 2003 параметры по умолчанию рассчитаны на обеспечение защиты службы каталогов Active Directory® от различных угроз. Однако уровень безопасности учетных записей администраторов корпоративной сети среднего размера можно усилить еще больше, изменив некоторые их параметры. Кроме того, службы, не входящие в состав операционной системы Windows Server 2003 и устанавливаемые другими приложениями, также необходимо защитить. В данном документе описываются способы обеспечения безопасности этих учетных записей и служб, а также содержатся рекомендации по контролю над использованием и управлением административными полномочиями.