Computer Configuration\Policies\Windows Settings\Administrative

реклама
Леонид Шапиро
MCT, MVP, MCSE
Microsoft TechDays
http://www.techdays.ru
Правила наименьших привилегий
Стандартные средства защиты Microsoft
Свойства учетной записи
Объекты групповой политики (GPO)
Рабочие места администраторов
Что требуется защищать в первую
очередь?
Подведем итоги…
Microsoft TechDays
http://www.techdays.ru
Правила наименьших привилегий – предоставляем
минимально необходимый набор полномочий
Использование рядовых учетных записей для
повседневных задач
Если злоумышленнику удалось запустить
приложение на вашем компьютере – это больше
не ваш компьютер
Administrators
Domain Admins
Enterprise Admins
Schema Admins
Account Operators
Backup Operators
Print Operators
Server Operators
и другие
привилегированные
группы
Microsoft TechDays
http://www.techdays.ru
SDProp
HKLM\SYSTEM\CurrentControlSet\Services
\NTDS\Parameters
Microsoft TechDays
http://www.techdays.ru
Windows 2000 SP4 –
Windows Server 2003
RTM
Windows Server
2003 SP1+
Windows
Server
2012,
Windows Server 2008
Account Operators
Administrator
Administrators
Backup Operators
Cert Publishers
Account Operators
Administrator
Administrators
Backup Operators
Account Operators
Administrator
Administrators
Backup Operators
Domain Admins
Domain Controllers
Enterprise Admins Enterprise Admins
Krbtgt
Print Operators
Domain Admins
Domain Controllers
Enterprise Admins
Krbtgt
Print Operators
Domain Admins
Domain Controllers
Enterprise Admins
Krbtgt
Print Operators
Read-only Domain Controllers
Replicator
Schema Admins
Server Operators
Replicator
Schema Admins
Server Operators
Windows 2000
<SP4>
Administrators
Domain Admins
Schema Admins
Replicator
Schema Admins
Server Operators
Microsoft TechDays
http://www.techdays.ru
Регулирование членства в группах
Использование групповых политик
Deny access to this computer from the
network.
Deny log on as a batch job.
Deny log on as a service.
Deny log on locally.
Deny log on through Remote Desktop
Services.
Аудит
Microsoft TechDays
http://www.techdays.ru
Подключить созданную групповую политику ко
всем OU содержащим учетные записи
компьютеров.
В лесу Active Directory, состоящем из
нескольких доменов групповая политика
должна быть создана в каждом домене леса.
Microsoft TechDays
http://www.techdays.ru
Microsoft TechDays
http://www.techdays.ru
Рабочая станция администратора может
стать угрозой безопасности компании
Microsoft TechDays
http://www.techdays.ru
•
•
•
•
Рабочая станция
RDP доступ
Виртуальная машина
Публикация приложений
Аутентификация
Избыточные полномочия
Внешние устройства
Программное обеспечение
Несвоевременные обновления ПО
Вирусы и трояны
Физический доступ
Microsoft TechDays
http://www.techdays.ru
Computer Configuration\Policies\Windows Settings\Local
Policies\Security Options\Interactive logon: Require smart card
Computer Configuration\Policies\Windows Settings\Security
Settings\Local Policies\User Rights Assignment
Computer Configuration\Policies\Windows Settings\Administrative
Templates\System\Removable Storage Access
Computer Configuration\Policies\Windows Settings\Security
Settings\Application Control Policies\AppLocker
Важность защиты AD DS
Правила наименьших привелегий
Защита учетных записей пользователей,
групп и рабочих станций
Групповые политики
Физическая безопасность
Документирование
Microsoft TechDays
http://www.techdays.ru
http://technet.microsoft.com/en-us/security/hh278941.aspx
http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx
http://technet.microsoft.com/en-us/library/dn487460.aspx
http://technet.microsoft.com/en-us/library/hh831472.aspx
http://technet.microsoft.com/en-us/library/hh831379.aspx
http://technet.microsoft.com/en-us/library/hh831396.aspx
http://www.microsoft.com/en-us/download/details.aspx?id=38785.
https://ru.wikipedia.org/wiki/%CA%E5%E9%EB%EE%E3%E5%F0
https://technet.microsoft.com/ru-ru/library/hh831440.aspx
https://technet.microsoft.com/en-us/library/ee424382(v=ws.10).aspx
https://technet.microsoft.com/library/hh831440.aspx
Microsoft TechDays
http://www.techdays.ru
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Microsoft TechDays
http://www.techdays.ru
Скачать