Локальные и доменные учетные записи пользователей
Введение
Я обнаружил, что иногда самые простые концепции могут оказаться более сложными, чем предполагалось вначале, и могут быть не поняты всеми на 100%. Что касается учетных записей пользователей и их расположения, я считаю, что это одна из таких областей. При работе в корпоративной сети или даже в сети малого бизнеса важно знать, где находятся ваши учетные записи пользователей, чтобы вы могли контролировать их. Без контроля учетных записей пользователей могут произойти плохие вещи. Например, если можно создать локальные учетные записи с правами локального администратора, эти компьютеры, на которых находятся учетные записи, станут неуправляемыми и могут нанести значительный ущерб сети без контроля. Понимание и правильное управление локальными и доменными учетными записями пользователей жизненно важно для безопасной, надежной и хорошо управляемой сети.
Вход в систему изначально
При первоначальном входе в систему пользователю предоставляется возможность войти в систему либо с локальной учетной записью, либо с учетной записью пользователя домена! Графический интерфейс не на 100% ясен в этом факте, но это именно то, что происходит. Переход с Windows XP на Windows 7 — еще один шаг, усложняющий эту концепцию. При входе на компьютер с Windows XP пользователь может выбрать либо домен (или один из множества доверенных доменов), либо локальный компьютер, как показано на рисунке 1.
Рисунок 1: Первоначальный вход в Windows XP позволяет пользователям выбрать локальную учетную запись или учетную запись домена.
Для Windows 7 вход в систему изменился, а параметры стали еще более сложными. На рис. 2 показан компьютер с Windows 7, присоединенный к домену, и параметры, доступные пользователю при входе в систему.
Рисунок 2: Первоначальный вход в Windows 7
Если пользователь выберет любой вариант, кроме того, который говорит (этот компьютер) после него для Windows XP, пользователь будет входить в систему с учетной записью домена. Список параметров над параметром (этот компьютер) включает домен, к которому присоединился текущий компьютер, а также все другие доверенные домены для домена, к которому присоединился компьютер.
Чтобы пользователь мог выбрать любую из перечисленных опций, у него должны быть известные имя пользователя и пароль для этой опции. Для всех перечисленных доменов учетные записи пользователей хранятся на контроллерах домена для указанного домена. Для локального компьютера учетные записи пользователей перечислены в локальном диспетчере учетных записей безопасности (SAM) на компьютере, на котором пользователь в данный момент печатает.
Вот несколько ключевых технических моментов о членстве в домене, контроллерах домена и учетных записях пользователей.
- Компьютер может быть членом только одного домена в любой момент времени.
- Контроллер домена может быть одновременно связан только с одним доменом.
- Должно быть минимум (2), но обычно больше контроллеров домена на домен
- Учетная запись пользователя может быть указана в домене только один раз.
- Учетная запись пользователя может быть указана во всех доменах, но только один раз.
- Доверенный домен не должен дублировать учетные записи пользователей из одного домена в другой; это доверительные отношения, которые позволяют пользователю входить в систему с компьютера, присоединенного к одному домену, который имеет доверительные отношения с другим доменом. Дублирование счетов сводит на нет точку доверия.
Локальные учетные записи по умолчанию
Для компьютера с Windows 7 существует всего несколько учетных записей пользователей по умолчанию. Это задумано, поскольку для корпорации количество локальных учетных записей на рабочем столе должно быть ограничено. В идеале на корпоративном рабочем столе не должно быть никаких дополнительных учетных записей локальных пользователей. Это предотвратит локальный вход пользователя при первоначальном входе в систему. Учетные записи пользователей по умолчанию для компьютера с Windows 7 включают:
- Администратор
- Гость (по умолчанию отключено)
- <настроенный администратор>
В этом случае существует большая разница между Windows 7 и Windows XP, поскольку Windows 7 принудительно устанавливает новую учетную запись пользователя, которая будет использоваться вместо встроенной учетной записи администратора. Причина этого заключается в том, чтобы уменьшить общую поверхность атаки, поскольку встроенный администратор может быть отключен, настроен со значительным паролем и т. д.
Область действия локальной учетной записи
Когда пользователь входит в систему с локальной учетной записью пользователя, объем и доступ, к которым у пользователя есть доступ, значительно сокращаются. Учетные записи локальных пользователей имеют доступ только к ресурсам на локальном компьютере и ни к чему другому. Локальную учетную запись пользователя нельзя поместить в список управления доступом (ACL) или поместить в группу домена. Таким образом, доступ в корпоративной среде ограничен настолько, что конфигурация становится нежелательной.
Учетные записи домена по умолчанию
При установке Active Directory существует множество учетных записей домена по умолчанию. Для только что установленного контроллера домена Windows Server 2008 или 2008 R2 для нового домена список учетных записей пользователей включает:
- Администратор
- Гость (по умолчанию отключено)
- Krbtgt (учетная запись службы Kerberos)
- <настроенный администратор>
Опять же, обратите внимание, что в домене новой операционной системы необходимо создать принудительную учетную запись администратора, которая предназначена для использования вместо встроенной учетной записи администратора. Для домена настоятельно не рекомендуется отключать учетную запись администратора, а лучше переименовать ее, настроить длинный и надежный пароль, а затем создать ложную учетную запись администратора (у которой нет прав администратора).
Область учетной записи домена
Область учетной записи домена — это место, где в игру вступает мощь домена Windows Active Directory. Учетные записи пользователей домена можно настроить для следующих целей:
- Членство в группе домена
- Находится в ACL для ЛЮБОГО ресурса на любом компьютере, который также присоединился к домену.
- Находится в локальной группе ЛЮБОГО компьютера, присоединившегося к домену
- Размещается в правах пользователя ЛЮБОГО компьютера, присоединившегося к домену
- Чтобы получить централизованные параметры групповой политики для настройки безопасности, профиля, рабочего стола и т. д.
Как видите, роль учетной записи пользователя домена — это учетная запись «настоящего предприятия». Разрешение пользователям входить в систему с локальной учетной записью создает небезопасную ситуацию, поскольку мало что можно сделать для управления локальными учетными записями. Учетные записи пользователей домена можно контролировать, отключать и управлять ими централизованно.
Резюме
Концепция домена и локальной учетной записи пользователя на самом деле не вызывает особых споров. Для любой организации я настоятельно рекомендую удалить все локальные учетные записи пользователей и разрешить только те, которые действительно необходимы. Это могут быть учетные записи служб, тестовые учетные записи разработчиков, учетные записи типа приложения и т. д. Разрешение пользователю входить на локальный компьютер дает мало контроля. Худший возможный случай — позволить пользователю войти в систему с локальными административными привилегиями, что невозможно контролировать. Это также создает ситуацию, когда пользователь может атаковать сеть с компьютера, входящего в домен. Это никогда не хорошо. Удаление всех локальных учетных записей пользователей заставляет пользователя входить в систему с использованием учетной записи пользователя домена. Это немедленно приносит пользу всему предприятию, и сетевые администраторы могут контролировать весь доступ и функциональность учетной записи пользователя в этом сценарии.