Сложно представить защищенную инфраструктуру без AAA-решений, которые позволят проводить базовые процессы: идентификации, аутентификации и авторизации субьектов. В большинстве случаев, используют встроенные технологии операционных систем, которые называются доменами. Они представляют собой логическую группу из устройств, учетных записей и объектов, которые находятся под контролем управляющих серверов. Логически выполняют ту же функцию учета, аутентификации и авторизации.
Однако в отличии от классических AAA-решений, которые работают на сетевом уровне, данные взаимодействуют уже на транспортном и выше. Такой подход позволяет контролировать действия, конфигурацию устройства пользователя. Для этого в доменах используется механизм групповых политик или же GPO!
Что такое GPO?
GPO или же Group Policy Object – это обьекты в AD, которые состоят из набора правил для устройств и пользователей, применяемые к областям: домены, сайты, организационные юниты. Иначе говоря, политики, которые определяют правила работы различных областей AD. Классически у нас представлено дерево из областей, которые имеют вложенную структуру. Это значит, что если мы применим политику к домену, то все устройства и учетки, которые вложены должны будут подчиниться ей.
Однако, если необходимо отойти от правил для всего домена, конкретному юниту из машин/пользователей или сайту, то можно применить новую политику, которая перепишет старую. Таким образом формируется логика политики, что чем ближе новая политика к обьекту, тем приоритетнее она.
Хотя бы базовая настройка для обьектов и субьектов домена важна! Одной из них является парольная политика, которая позволяет задать правила аутентификации пользователя на устройстве. Для этого перейдем в машину и проведем быструю настройку!
Настройка GPO в AD
При нехватке собственных мощностей можно воспользоваться облачными серверами от Serverspace, для этого перейдем к созданию сервера, на любой из двух платформ vStack cloud или же VMware cloud. Нажмем на кнопку Создать сервер и выберем конфигурацию, подходящую под наши задачи, затем нажмем кнопку Создать:
Для начала откроем поиск командной клавишей Win, введем название group policy и откроем модуль политик. Либо вы можете использовать Win+R с вводом команды:
При открытии оснастки перед нами откроется меню, с теми самыми вложениями слева, которые мы рассмотрели в схеме. В данном контексте orb.lol является доменом, а политика Default Domain Policy распространяется на всех его участников и сущностей ниже.
Обратите внимание, что у организационного юнита Domain Controllers есть своя политика, которая перепишет те пункты, которые определены в ней. Те которые явно не указаны будут наследоваться из стандартной политики домена, по умолчанию. Это все, потому что у домена контроллера могут быть свои кастомные настройки, которые могут отличаться от остальных объектов в системе.
К примеру, настроим парольную политику для всего домена, перейдем к пункту Default Domain Policy и выберем его правой кнопкой мыши. В контекстном меню выберите Edit, по умолчанию, набор правил уже связан с доменом, поэтому дополнительных действия не требуется. Однако, если есть такая потребность то выберите область и свяжите ее с политикой через контекстное меню. Вернемся к настройке, перед нами открылась политика:
Чтобы добраться до параметров паролей нужно пройти по обьектам в следующем порядке: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies. Данная настройка позволит на всех ПК принадлежащих домену провести хардеринг по паролям. Выберем первую политику Password Policy и настроим ее:
По умолчанию, не все настройки подходят к концепции безопасного использования. Всего семь обязательных символов в пароле уже давно перебираются за малые промежутки времени. Измените поля длины с 7 до 15 символов минимум, отключите Relax Minimum password, это позволит запретить использовать пароли меньше 15 символов. И установите 90 дней максимального срока жизни пароля. Перейдите во вторую вкладку Account Lockout Policy, которая определит условия блокировки аккаунта, при неудачных подключениях:
Первый параметр отвечает за время блокировки, второй за количество неуспешных попыток входа для блокировки аккаунта, а третий через сколько счетчик неудачных попыток будет сброшен. Далее необходимо сохранить все примененные политики и открыть терминал через Win+X. После чего прописать команду принудительного обновления политики:
Это позволит применить политики сразу и не ждать пока устройства запросят обновления с домена контроллера!