none
Безопасность на контроллере домена RRS feed

  • Вопрос

  •  Добрый день. Есть КД 2008 R2, настроил в локальной политике КД аудит на управление учетными записями. Все пароли хорошо сгенерены, но сегодня выяснилось, что безопасники каким-то образом, а точнее через ММС консоль на своих рабочих станциях могут манипулировать учетками. Проверил учетки безопасников на КД, - пользователи домена, т.е прав на изменение учетоку них нет. Пересмотрел все группы и учетки, а также локальные политик на КД, не пойму где зарыта собака:%)

    Подскажите куда копать и как можно отследить, что кто-то может заходить на КД(по сети) и делать свои манипуляции. ?

    Подкиньте ссылку, как по максимуму обезопасить КД? (на текущий момомент к юзерам применяются политик GPO и еще несколько скриптов для, которые находятся на КД в расшаренной папке )

    Заранее спасибо.

    19 февраля 2013 г. 7:53

Все ответы

  •  Добрый день. Есть КД 2008 R2, настроил в локальной политике КД аудит на управление учетными записями. Все пароли хорошо сгенерены, но сегодня выяснилось, что безопасники каким-то образом, а точнее через ММС консоль на своих рабочих станциях могут манипулировать учетками. Проверил учетки безопасников на КД, - пользователи домена, т.е прав на изменение учетоку них нет. Пересмотрел все группы и учетки, а также локальные политик на КД, не пойму где зарыта собака:%)

    Подскажите куда копать и как можно отследить, что кто-то может заходить на КД(по сети) и делать свои манипуляции. ?

    Подкиньте ссылку, как по максимуму обезопасить КД? (на текущий момомент к юзерам применяются политик GPO и еще несколько скриптов для, которые находятся на КД в расшаренной папке )

    Заранее спасибо.

    И еще вопрос: Обязательно ли в настройках учетной записи в разделе "Вход на" указывать КД? на что это может повлиять?
    19 февраля 2013 г. 8:18
  • а что конкретно они делают с учетками? лог что пишет?

    "вход на" позволяет ограничить учетку конкретными машинами, для ваших целей это не надо

    19 февраля 2013 г. 15:43
  • Т.к контроллер достался мне по наследству, то почти во всех учетках в вкладке "Вход на" стоит сам КД, я вот думаю, не нужно это там:), если им не нужен интерактивный доступ на КД.

    Хм, я не нашел записи по логу аудита, хотя в этом разделе его настроил: локальная политика безопасности - Конфигурация расширенной политики аудита - Политика аудита системы - Управление учетными записями,пересмотрел все журналы, не нашел.

    Узнал, что они правят пароли для юзеров и увидел, что несколько политик безопасности изменили название. Хотя уже задолго до этого проверял на учетке с правами "Пользователи домена" , на предмет возможности изменения объектов АД через mmc консоль, в итоге только просмотр. 

    Вот и пытаюсь отследить и докопаться до правды.

    20 февраля 2013 г. 4:43
  • Выяснил для чего необходим доступ  к КД для узверов, оказывается проходит LDAP авторизацию в джаббере, но из-за этого получается, что безопасники могут палить АД на КД, что не есть гут. Как быть?
    20 февраля 2013 г. 6:27
  • посмотри в каких они группах и какие у них effective permissions на учетке где поменяли пароль. возможно им делегировали такие права. вход на КД не дает прав на внос изменений в АД, но по умолчанию, если они реальн омогут  зайти на КД то они либо в группе админов либо remote desktop users

    20 февраля 2013 г. 12:33
  • А на примере настроек аудита можете подсказать как их вычислить: Т.е если меняли пароль на юзера или делали вход от система с помощью скриптов, и .тд..?
    19 марта 2013 г. 12:49
  • аудит в какой политике включен? надо включать в той что висит на оушке с контроллерами домена, или на всем домене. логи смотреть разумеется на контроллерах, причем на тех где произошли изменения (то есть к которым подключались), либо на всех

    19 марта 2013 г. 15:39
  • Аудит включен на КД: Локальная политика безопасности - Конфигурация расширенной политики аудита - Управление учетными записями:Аудит управления учетными записями пользователей - вкл; Аудит Вход\Выход: Аудит входа и Другие события входа и выхода вкл; Аудит Доступ к объектам: Аудит реестра и Аудит диспетчера учетных записей - вкл , и еще пару аудитов. Но где можн оувдиеть логи по этим аудитам? - я так и не нашел их.

    Спасибо заранее

    20 марта 2013 г. 5:28
  • в обычном event viewer - security
    21 марта 2013 г. 8:43
  • John_Ivan,
    Вы решили свой вопрос?
    26 марта 2013 г. 10:51
    Модератор
  • День добрый, нет. Просьба более подробно написать, где отследить действия по включенному аудиту? Смотрю Журналы windows - Безопасность (ничего нет по настроенному аудиту)

    • Изменено John_Ivan 3 апреля 2013 г. 7:45
    3 апреля 2013 г. 7:40