Securing Active Directory Administrative Groups and Accounts
 

در این قسمت یک روش امنیتی برای Administrator Account شرح داده می شود .

 
Introduction

این بخش بسیار مهم می باشد برای امنیت یک Active Directory بدلیل امنیت بالای این سرویس موارد امنیتی

در مورد Account ها مخصوصا Administrator که بر روی کلیه Object های ADS دسترسی کامل و Full دارد مهم می باشد به همین دلیل  Hacker

برای حمله کردن به یک Domain به این Account توجه خاص دارد پس Admin باید واقعا Secure باشد .Microsoft یک روش برای گول زدن Attacker ها

در این بخش زده که آن را بررسی می کنیم .

Microsoft برای یک ADS با درجه امنیتی مناسب موارد زیر را توصیه می کند که بصورت Default رعایت شود :

 
Create a new user account with Domain Admins credentials
Protect the default Administrator account
Secure the Guest account
Strengthen security on service administration accounts and groups
Establish best practices for use of administrative accounts and groups.

 در این صفحه سه بخش اولی شرح داده می شود .

Create a new user account with Domain Admins credentials

ساختن یک User جدید که قدرت Admin را داشته باشد اولین Step کار ما می باشد در این بخش .

برای این کار در زمانی که با Administrator Account به سیستم Login کرده اید باید مراحل زیر را انجام داد :

   

 

Requirements
Credentials: Domain Admins (if this is the first administrative account you have created, log on by using the default Administrator account)
Tools: Active Directory Users and Computers
To create a new user account with Domain Admins credentials
1. Log on as a member of the Domain Admins group, and then open Active Directory Users and Computers.

Note: Screenshots in this document reflect a test environment and the information might differ from the information displayed on your computer.

2. Right-click the Users container, click New, and then click User.
 

    

     Figure 1: create a new user account with Domain Admins credentials (Step1)

یک نام مشخص برای User انتخاب کرده همانند Figure 2:

    

     Figure 2: create a new user account with Domain Admins credentials (Step2)

بعد از انتخاب یک نام و ساختن User البته باPassword بیش از 8 کارکتر و قوی مرحله بعد این می باشد که این Account را عضو Domain Admins شود .

    

     Figure 3: Domain Admins Group - Properties - Members Tab (Step3)

 در این مرحله Domain دارای دو Administrator می باشد که نام Account های آنها را در بالا مشاهده می کنید .

 
Protect the default Administrator account

در مرحله بعد یکی از دو Administrator بالا که نام Account آن Administrator می باشد باید نام Account آن Rename شود به همان دلیل که در مقدمه

ذکر شده  این Account با ایت نام مد نظر Attacker ها می باشد با تغییر نام آن می توان تا حدود بسیار زیادی Attacker را گمراه کرد .

برای انجام این کار با Account دومی که در مرحله قبل ساختیم به سیستم Login می کنیم و مراحل زیر را انجام می دهیم :

   

     Figure 4: Rename Administrator Account (Step1)

بعد از انتخاب گزینه Rename در منوی Rename نام مدنظر خود را وارد کرده تذکر بهتر می باشد که نام Account  نام یک فرد باشد تا با یک User

معمولی اشتباه گرفته شود البته این مورد در شکل Figure 5 رعایت نشده:

    

     Figure 5: Rename Administrator Account (Step2)

بعد از تغییر نام Administrator Account شما دو Administrator با نام های متفاوت با نام Administrator دارید .

 

     Figure 6: Rename Administrator Account (Step2)

در واقع دیگر Account بنام Administrator در شبکه ندارید .

تذکر بعد از تغییر نام Account در Property آن یک مورد می باشد که باید به آن توجه شود مانند شکل 7:

    

     Figure 7: Secure%Root Account Properties - General Tab - Description

برای Account Administrator در این قسمت همانند شکل در Description کاملا شرح داده شده که این User در شبکه Administrator می باشد

بهتر می باشد که مانند شکل این شرح را پاک کنید .

Creating a Decoy Administrator Account

بعد از مراحل بالا نبودن Account در شبکه با نام Administrator ممکن است شک در Attacker بوجود بیاورد که نام Administrator تغییر کرده

برای جلوگیری از این شک در Attacker یک User قلابی با نام Administrator در Domain ایجاد می کنیم البته این User فقط عضو Users Groups

می باشد و قدرت Admin را ندارد .

    

     Figure 8: Creating a Decoy Administrator Account (Step1)

بعد از ساختن یک Account با نام Administrator و البته یک Pass قوی برای آن شما دارای یک Administrator Account قلابی می شوید .

    

     Figure 9: Creating a Decoy Administrator Account (Step2)

این کار بسیار مفید می باشد .برای امنیت Administrator های واقعی Domain شما .

بعد از ساختن این Account در Property-General Tab آن در بخش Description متن زیر را اضافه کنید که همان متن پاک شده

در مراحل قبلی می باشد.

 Description : Built-in account for administering the computer/domain

Secure the Guest account

تا اینجا شما با تغییر نام Administrator Account و ساختن یک Administrator Account قلابی دو لایه دفاعی برای Active Directory ایجاد

کرده اید در این قسمت شما Guest Account را نیز باید تغییر نام دهید .Guest Account یک راه برای وارد شدن به Domain می باشد برای افرادی

که Account در شبکه ندارند این Account بصورت پیش فرض Disable می باشد تغییر نام آن نیز یک لایه دفاعی برای آن می باشد .

Requirements

Credentials: Domain Admins
Tools: Active Directory Users and Computers
To rename the Guest account
1. Log on as a member of the Domain Admins group, and then open Active Directory Users and Computers.
2. In the console tree (left pane), click Users.
3. In the details pane (right pane), right-click Guest, and then click Rename.
4. Type the fictitious first and last name and press Enter.
5. Right-click the new name, and then click Properties.
6. On the General tab, delete the Description "Built-in account for guest access to the computer/domain" and type in a description to resemble other user accounts (for many organizations, this will be blank).
7. In the First name and Last name boxes, type the fictitious names.
8. On the Account tab, type a new User logon name, using the same format you use for your other user accounts, for example, first initial and last name.
9. Type this same new logon name in the User logon name (pre-Windows 2000) box, and then click OK.
10. Verify that the account is disabled. The icon should appear with a red X over it. If it is enabled, right-click the new name, and then click Disable Account.

Last Updated: May 01, 2006

Winteacher.com
Expert Zone > Securing Active Directory Administrative Groups and Accounts

 © 2003-2006 Winteacher.com . All rights reserved