Active Directory - szybki start - Automatyzacja bezpieczeństwa

Active Directory - szybki start - automatyzacja bezpieczeństwa

Wstęp

Witam w kolejnej części. Teraz omówię kolejne zagadnienia dotyczące bezpieczeństwa oraz automatyzacji pewnych czynności, tak, żeby nas administratorów nie poganiano co chwilę z powtarzającymi się zadaniami.

Ok przejdźmy do rzeczy.

Opis zagrożeń

1. Administrator lokalny na komputerze ma hasło puste albo przez nas nieznane.

Taka sytuacja powoduje problem, po pierwsze z tym, że jeżeli coś mamy zrobić na komputerze z tymi poświadczeniami (lokalnego administratora) to jest wieczny kłopot z tym, że nie znamy hasła bo ktoś przed podpięciem do domeny ustawił jakieś ale nie wie jakie. Albo co gorsza użytkownik zna to hasło. Może wtedy za pomocą tego konta dodać siebie do administratorów lokalnych i pozamiatać nam konkretnie na tym komputerze. Musimy zdecydowanie ogarnąć tą sytuację.

2. Nie wiadomo kto jest dodany do grupy Administratorzy na komputerach a nikt tam nie powinien napewno być. 

Jeżeli ktoś kiedyś dodał tam użytkownika na chwilę i go nie usunął to tak został. Jak by dobrze poprzeglądać komputery to się okaże, że na części istnieje użytkownik tworzony podczas instalacji systemu operacyjnego, najczęściej bez hasła i do tego dodany do grupy administratorów. Takie sytuacje są zdecydowanie niedopuszczalne ale się zdarzają.

3. Aktualizacje automatyczne są wykonywane bez naszej kontroli

Na każdym z komputerów są inne ustawienia i ciężko nad tym zapanować. Niestety na tym etapie możemy jedynie ujednolicić ustawienia. Do pełniejszej kontroli należy wykorzystać WSUS lub SCCM których narazie nie mamy. 

Ok zabieramy się do pracy. 

1. Administrator lokalny oraz członkowie grupy Administratorów.

Jak już mamy przygotowaną maszynę dla administratora to z niej będę korzystał. Zabieramy się do pracy uruchamiając konsolę Zarządzanie zasadami grupy. Tworzymy sobie nowy obiekt o nazwie adm_admin. Wyłączamy część użytkownika.

Od razu dodajmy ustawienia konta gościa jako ustawienie.

Wyłączam konto gościa. Nigdy nie było mi przydatne. Zatwierdzamy ale jeszcze nie linkujmy polisy. Załatwimy od razu Administratorów lokalnych. Dodajemy ustawienia grupy.

Jak widać wywalamy wszystkich z tej grupy i dodajemy grupę administratorów domenowych jako członka grupy Administratorów lokalnych oraz użytkownika Administrator (ręcznie wpisanego), który to jest kontem lokalnym. Ok wszystko mamy ustawione. Linkujemy.

Ok temat załatwiony. Teraz odświeżamy polisy przez gpupdate na jakimś komputerze lub czekamy do 90 minut na odświeżenie polis. Sprawdzamy grupy i użytkowników lokalnych. Administratorzy domenowi.

No i jak widać w grupie są tylko Ci których chcemy. W użytkownikach możemy sprawdzić, czy konto gościa i Administratora są wyłączone. Powinny być. Niestety od maja 2014 Microsoft nie pozwala na aktualizowanie konta Administratora lokalnego z ustawień GPP. 

Konta lokalne nawet bez haseł już nie są takie groźne bo zostały usunięte z grupy administratorów lokalnych. Niestety takie konta musimy usuwać ręcznie, są również metody automatyzacji takich prac ale to nie na tą serię szybkiego startu.

3. Aktualizacje automatyczne

Pewnie znacie to ze swojego środowiska, konfiguracja aktualizacji automatycznych, instalacja ich w najmniej odpowiednim momencie oraz najważniejsze - instalacja poprawki której nie chcemy. W tej części skupimy się na jednolitej konfiguracji dla naszych wszystkich komputerów bez zbędnych komunikatów dla użytkowników. Wszystkie te ustawienia znajdziemy w GPO. Zabieramy się więc do pracy, zakładamy nowym obiekt adm_updates, wyłączamy część ustawień użytkownika oraz przechodzimy do konfiguracji.

Jak widać mamy tutaj dość dużo ustawień, warto przejrzeć wszystkie i poczytać opisy poszczególnych ustawień. Moje ustawienia wyglądają tak:

To w zasadzie wszystko, będziemy mieli aktualizacje zapewnione, do tego za szczególnie nie będą denerwować naszych użytkowników.

Podsumowanie

Mamy już bardzo dużo rzeczy zautomatyzowanych. Kolejny etap za nami, zbliżamy się do końca całego cyklu szybki start.  Jak sama nazwa wskazuje, mam nadzieję, że te kilka tekstów z obrazkami pozwala w miarę bez problemów wystartować z Active Directory. W następnej części pokażę "wisienki na torcie" - czyli narzędzia które wykorzystują wszyscy administratorzy do codziennej pracy. Pozdrawiam i zapraszam.