x
تبلیغات

Active Directory

بمنظور افزایش سطح امنیت حساب کاربری در شبکه های مبتنی بر Domain، Workgroup و حتی PC ها، می توان تنظیماتی را انجام داد که در صورت وارد کردن Password اشتباه برای تعداد دفعات مشخص، حساب کاربری آن فرد غیر فعال شود.
بدین منظور باید تنظیماتی را بر روی Group Policy در Domain Controller یا شبکه Workgroup انجام دهید:
برای دسترسی به کنسول مدیریتی Group Policy بر روی DC به روش زیر عمل نمایید:
• ابتدا از منوی Start گزینه Run را انتخاب سپس gpmc.msc را درون آن تایپ نمایید.

 

01 Account Lockout

 

• حال نیاز به ساخت یک GPO دارید تا آن را بر روی OU خاص یا کل Domain اعمال کنید. بدین منظور بر روی نام Domain خود کلیک راست کنید و گزینه Create a GPO in this domain, and link it here… را انتخاب نمایید.

 

02 Account Lockout

 

• در مرحله بعد یک نام برای GPO انتخاب کنید.

 

03 Account Lockout

 

• بر روی GPO ساخته شده کلیک راست کرده و گزینه Edit… را انتخاب نمایید.

 

04 Account Lockout

 

• در ادامه مسیر زیر را دنبال نمایید:

Computer Configuration => Policies => Windows Settings => Security Setting => Audit Policy

 

05 Account Lockout

 

سپس در پنجره سمت راست گزینه Audit account management را انتخاب کنید.
• در پنجره باز شده هر 3 گزینه را به حالت انتخاب در بیاورید.

 

06 Account Lockout

 

• در مرحله بعد به ترتیب زیر عمل کنید.

Account Lockout Policy => Account Policies


07 Account Lockout

 

• در پنجره سمت راست سه گزینه وجود دارد که می بایست تنظیم گردند.

 

08 Account Lockout

 

در ادامه به تشریح هر یک از گزینه ها می پردازیم.

  • Account lockout duration: مدت زمانی که سیستم کاربر Lock می شود و اجازه وارد کردن Password جدید را ندارد. (پیشنهاد ما 30 دقیقه است اما این زمان قابل تغییر می باشد.)
  • Account lockout threshold: تعداد دفعاتی که کاربر مجاز به وارد کردن Password اشتباه است. (پیشنهاد ما 50 بار است ولی تعداد آن قابل تغییر است)
  • Reset account lockout counter after: مدت زمانی که شمارنده Password اشتباه پس از سپری شدن آن ریست می گردد. (پیشنهاد ما 15 دقیقه است ولی زمان آن قابل تغییر می باشد)

نحوه نظارت و مانیتورینگ اکانت های قفل شده

این امکان برای مدیر شبکه وجود دارد که بتواند از رخدادهای اکانت های غیر فعال شده مطلع شود. به این نکته توجه داشته باشید که تمام لاگهای مربوط به اکانت بر روی سروری که نقشPDC Operations Master را در شبکه دارد ذخیره می گردد.
حال این سوال مطرح می شود اگر شما چندDomain Controller داشته باشید چگونه باید سرور PDC را پیدا کنید؟
بدین منظور به روش زیر عمل کنید:
• ابتدا کنسول (ADUC (Active Directory Users and Computers را باز کنید، سپس بر روی نام دامنه کلیک راست و گزینه Operations Master را انتخاب نمایید.

 

09 Account Lockout

 

• حال به سربرگ PDC بروید، در این سربرگ شما نام سروری که نقش PDC را دارد می توانید مشاهده کنید.

 

10 Account Lockout

 

بعد از پیدا کردن سرور مذکور شما می توانید با مراجعه به Event Viewer به دنبال لاگهای کد 4740 بگردید. در این لاگ نام کاربرانی که اکانت آن ها Lock شده به همراه نام کامپیوتر آن ها قابل مشاهده خواهد بود.

 

11 Account Lockout

 

البته بررسی تمام لاگ ها شاید بسیار سخت و زمان بر باشد، لذا می توان ترتیبی اتخاذ کرد که گزارشات با جزئیات کمتر و بصورت تفکیک شده در یک فایل نوشتاری ذخیره و امکان ارسال از طریق ایمیل هم فراهم شود.

 

12 Account Lockout

• برای اینکار می بایست از طریق PowerShell اقدام به نوشتن اسکریپتی کنید که بصورت دستی و یا بصورت زمانبندی شده امکان اجرای خودکار آن ایجاد و گزارش مربوطه برای شما ارسال گردد.

 

Function SendLogs {

$AttachLog = @{

SmtpServer = "mail server"

From = 'email address'

To="email address"

Subject = "Event ID 4740 Lockout Report"

Body = "Here are the previous 24 hours of locked-out account logs."

attachments = $log

}

Send-MailMessage @AttachLog

}

cls

del C:\logs\lockout.log -ErrorAction SilentlyContinue

$log = "C:\logs\lockout.log"

$dateFmt = get-date

$row = $null

"Daily report generated at "+$dateFmt+"`r`n`r`n" | Out-File $log -Append -Encoding "ASCII"

Get-EventLog -logname security -after $dateFmt.adddays(-1) | where {$_.eventID -eq 4740} | foreach-Object {

$row = "" | select TimeLockedOut, AccountName, Computer

$row.TimeLockedOut = $_.TimeGenerated

$row.AccountName = $_.ReplacementStrings[0]

$row.Computer = $_.ReplacementStrings[1]

write-host $row

"$row `r`n" -replace ";","`r`n" -replace "TimeLockedOut"," Account Locked at:" -replace "AccountName","Account Name:" -replace "Computer","Computer:" -replace "@","" -replace "{","" -replace "}","" -replace "="," " | Out-File $log -Append -Encoding "ASCII"

}

if ($row) {SendLogs}else {"No events to process this time." | Out-File $log -Append -Encoding "ASCII"SendLogs}

 

مواردی که در اسکریپت بالا می بایست ویرایش گردد عبارتند از:
"SmtpServer = "mail server: که بجای "mail server” آدرس میل سرور داخلی خود را باید وارد کنید.
"From = "email address: که بجای "email address" آدرسی که قصد دارید ایمیل از طریق آن ارسال شود را وارد کنید. این آدرس می بایست در میل سرور داخلی موجود باشد.
"To = "email address: که بجای "email address" می بایست آدرس ایمیلی را وارد کنید که می خواهد گزارشات به آن ارسال شود، این آدرس می تواند یک ایمیل آدرس خارجی باشد.

 

 

 

تمامی کاربرانی که در داخل پایگاه داده Active Directory وجود دارند، می بایست از نقطه نظر امنیتی، در طی یک زمان مشخص اقدام به تغییر رمز عبور خود نمایند. اما گاهی ممکن است به دلایلی نیاز بوده که برای برخی از این کاربران، رمز عبوری در نظر گرفته شود که منقضی نگردد. ساده ترین راه برای یافتن این موارد، استفاده از دستور dsquery می باشد.
به منظور بدست آوردن لیست کاربرانی که رمز عبور آنها منقضی نمی گردد، می توان از دستور زیر استفاده کرد:

dsquery * domainroot -filter "(&(objectClass=user)(UserAccountControl:1.2.840.113556.1.4.803:=65536))" -attr sAMAccountName userPrincipalName userAccountControl -d domainname

دقت کنید در دستورات بالا به جای عبارت DomainName، می بایست نام دامین خود را قرار دهید.

 

01 Passwords that never expire

 

 

 

 همانطور که می دانید، به منظور تبدیل یک سرور به دامین کنترلر، نیاز به سطح دسترسی Domain Admins می باشد. به عبارت دیگر، ابتدا می بایست با کاربری در گروه Domain Admins، به سرور مورد نظر لاگین نموده و سپس با استفاده از روش های موجود، اقدام به نصب سرویس Active Directory نمایید. حال فرض کنید که می خواهید بر روی سروری که در فاصله مکانی زیادی از شما قرار داد، نقش Active Directory را نصب کنید. همچنین به علت آنکه ممکن است محل در نظر گرفته شده جهت نگهداری دامین کنترلر مورد نظر، از نظر امنیتی در سطح قابل قبولی نباشد، مایل به استفاده از RODC بدین منظور باشید. در این حالت روش های گوناگونی وجود دارد که در ادامه به آنها اشاره می شود:

همانطور که می دانید، FRS پروتکلیست که بواسطه آن دو دامین کنترلر می توانند تغییرات صورت گرفته در فولدر SYSVOL را میان یکدیگر یکسان سازی (replicate) نمایند. به صورت پیش فرض این پروتکل، فعالیت های مرتبط با خود را در فولدری با نام Ntfrs و در مسیر C:\Windows به انجام می رساند.

همانطور که می دانید، پایگاه داده سرویس Active Directory فایلی با نام NTDS.dit بوده که به صورت پیش فرض در درایو C قرار دارد. اگر چنانچه بنا به دلایلی فضای خالی این درایو پر شود، می توان نتیجه گرفت که امکان انجام تغییرات در پایگاه داده Active Directory نیز از دست خواهد رفت. در این خصوص چه تمهیداتی را می توان اندیشید؟

معرفی نرم افزارهای کاربردی

Netwrix Event Log Manager

Netwrix Event Log Manager

با استفاده از این نرم افزار، می‌توانید رخدادهای به ثبت رسیده در Event Viewer سیستم های موجود در شبکه خود را به صورت متمرکز، بر روی سیستمی که این نرم افزار بر روی آن نصب شده است، مشاهده و یا آرشیو نمایید. همچنین این ابزار این امکان را در اختیار شما می گذارد که بتوانید از ثبت یک رخداد خاص، اطلاع حاصل کنید. به عبارت دیگر، می توانید این نرم افزار را به گونه ای پیکربندی کنید که در صورت ثبت یک رخداد خاص در یک سیستم، این موضوع به اطلاع شما برسد.

اطلاعات بیشتر

خبرنامه

جهت دریافت آخرین اخبار و مقالات، آدرس پست الکترونیکی (ایمیل) خود را در کادر فوق وارد نمایید.