Većina organizacija mora da obezbedi podršku za pristup mreži za više tipova korisnika, kao što su na primer radnici u kancelariji, zaposleni koji putuju, poslovni partneri i kupci. U isto vreme, organizacije moraju da zaštite svoje resurse od potencijalnih uljeza. Dobro izdizajnirana autentifikaciona strategija administratorima i inženjerima može mnogo da pomogne u rešavanju ovog kompleksnog balansa između obezbeđivanja kompletnog pristupa i jake mrežne sigurnosti u organizaciji.
Vodič za kreiranje jake polise za lozinke (Strong Password Policy)
Autentifikacija je prva odbrana od napadača i uljeza. Slaba polisa lozinki može da ugrozi sigurnost koju obezbeđuju Firewall-ovi, šifrovanje podataka i drugi metodi zaštite. Možemo da se branimo protiv ove ranjivosti (slabe lozinke) implementacijom jake polise za lozinke.
Kada implementiramo polisu za lozinke, moramo da obratimo pažnju na mogućnost korisnika da upamte kompleksne lozinke, lozinke koje se često menjaju, ili su veoma dugačke. Kada su lozinke previše kompleksne ili kada su predugačke, korisnici mogu da koriste druge metode kako bi upamtili lozinke kao što su zapisivanje lozinki.
Potrebno je ohrabriti korisnike da koriste izraze umesto lozinki. Idealno bi bilo ako bi izrazi sadržali mala i velika slova, simbole i brojeve uključujući razmake.
Potrebno je takođe koristiti karakteristiku Password Complexity. Da bi implementirali jaku polisu lozinki, Windows Server 2003 nam nudi karakteristiku koja je poznata pod imenom Password Complexity. Ova karakteristika zahteva da lozinke:
Ne sadrže delove korisničkog imena.
Da su dugačke barem šest karaktera.
Potrebno je da lozinka sadrži karaktere iz sledeće tri kategorije: Velika slova od A-Z; mala slova od a-z; osnovne brojeve od 0-9; karaktere !, $, #, %.
Da bi uspešno implementirali jaku polisu lozinki potrebno je da konfigurišemo Group Policy Settings (postavke u grupnoj polisi). Sada će vam biti predstavljenje postavke u Grupnoj polisi koje se odnose na lozinke:
Maximum Password Age (trajanje lozinke)
Enforce Password History (sistem pamti ranije lozinke i sprečava ponovno korišćenje istih)
Minimum Password Age (minimalno trajanje lozinke)
Minimum Password Length (koliko lozinka mora imati karaktera)
Opcije za Account Lockout (zaključavanje naloga) polise i Logon restrikcije
Neautorizovani korisnici će uvek pokušavati da pristupe u našu mrežu. Da bi osigurali da je naša organizacija na najbolji mogući način zaštićena od neautorizovanih korisnika koji pokušavaju da se uloguju (prijave) pokušavajući da pogode lozinku, moramo da konfigurišemo zaključavanje korisničkih naloga nakon određenog broja neuspešnih pokušaja logovanja (Account Lockout Policies). Ove polise za zaključavanje naloga se postavljaju na nivou domena. Ove polise je potrebno podesiti da dozvoljavaju greške korisnika ali da sprečavaju napade na korisničke naloge.
Drugi način da se osigura visok nivo sigurnosti je dodeljivanje sati kada je korisnicima dozvoljeno da se uloguju u mrežu. Podešavanje Logon Hours je takođe korisno za trenutno zaposlena lica i za kompanije koje imaju radnike po smenama.
Postoje različite postavke za Logon restrikcije i za zaključavanje korisničkih naloga i možemo da ih koristimo za zaštitu naše mreže:
Account Lockout Threshold (određuje koliko puta korisnik može da pogreši pri pokušaju logovanja, nakon određenog broja neuspešnog logovanja nalog se zaključava).
Account Lockout Duration (određuje koliko minuta će zaključani korisnički nalog biti onemogućen pre automatskog omogućavanja)
Reset Account Lockout counter after (Određuje broj minuta koji moraju da prođu nakon neuspešnog pokušaja logovanja kada se brojač resetuje na 0 „bad logon“ pokušaja)
Enforce user account logon restrictions (određuje da li KDC procenjuje svaki zahtev za session ticket proveravanjem polise korisničkih prava (User right policy) na target kompjuteru).
Opcije za kreiranje Kerberos Ticket polise
Potrebno je uspostaviti razuman životni vek (trajanje) Kerberos Ticket-a u našoj organizaciji. Razumno trajanje Kerberos Ticket-a mora biti dovoljno kratko da bi sprečili napadače od krekovanja kriptografije koja čuva podatke u Ticketu (credentials). Razumno trajanje Kerberos Ticket-a mora takođe da bude dovoljno dugačko da bi osigurali da zahtevi za novim Ticketima ne preopterete KDC i mrežu.
Sledeće defotne Domain Group Policy opcije su dozvoljene za Kerberos Ticket-e:
Maximum Lifetime for User Ticket (određuje koliko vremena traje korisnikov Ticket)
Maximum Lifetme for Service Ticket (određuje koliko vremena traje service Ticket)
Maximum Lifetime for User ticket renewal (određuje broj dana za koje korisnikov TGT može da se obnovi)
Vodič za podešavanje sigurnosti za administratorske naloge
Postoji nekoliko metoda koje možemo da implementiramo da bi osigurali povećanje sigurnosti za administratorske naloge. Ovi metodi uključuju:
Ograničavanje broja administratorskih naloga i dodeliti ih samo poverljivim osobama. Potrebno je držati članstvo administratorskih naloga na apsolutnom minimummu i dodeljivati ih samo poverljivim korisnicima koji u potpunosti shvataju njihove uloge.
Odvojiti korisničke i administratorske naloge. Kreirati dva naloga za svakog korisnika koji odrađuje određenu administratorsku rolu na mreži: jedan standardni korisnički nalog koji će se koristiti za normalne svakodnevne zadatke, i jedan administratorski nalog koji će se koristiti samo za odrađivanje administratorskih zadataka.
Korišćenje sekundarnog Logon servisa. Sa Run as komandom, možemo da startujemo programe, i ikonice u Control Panelu. Možemo da ih startujemo kao administratori dok smo ulogovani kao običan standardni korisnik koji nema privilegije administratora.
Obavezno onemogućiti ugrađeni (Built-in) administratorski nalog. Preporučuje se da kreiramo dodatni korisnički nalog kao sekundarni administratorski nalog kojim ćemo administrirati servere. Ovog korisnika bi trebalo ubaciti u grupu Administrators. Nakon kreiranja sekundarnog administratorskog naloga, potrebno je onemogućiti (disable) ugrađeni administratorski nalog.
Obavezno podesiti jake lozinke (Strong Passwords). Potrebno je koristiti jake lozinke za administratorske lozinke.
Implenetirati Two-factor autentifikaciju. Domenski administratori bi trebalo da koriste Two-factor autentifikaciju za sve administratorske funkcije. Two-factor autentifikacije zahtevaju dva entiteta: nešto što korisnik ima, kao što su na primer smart kartice, i nešto što korisnik zna kao što je PIN broj.
Postavke u grupnim polisama pomoću kojih možemo da kontrolišemo autorizaciju kompjutera
Administratori mogu da kontrolišu pristup kompjuterima dodeljivanjem Security Principals pristup resursu koji im je potreban. Potrebno je dodeliti najmanje moguće privilegije i odrediti kojim korisnicima i grupama je potrebna mogućnost da se autentifikuje protiv kompjutera. Možemo da koristimo postavke u grupnim polisama da kontrolišemo Security Principals pristup kompjuteru.
Sada ćete se upoznati sa postavkama (Settings) u grupnim polisama koje mogu da se postave za bilo koji Security Principal u organizaciji da bi se kontrolisao pristup Security Principal svim kompjuterima:
Access this computer from the network: Ovo korisničko pravo određuje kojim korisnicima i grupama je dozvoljeno da se konektuju na kompjuter preko mreže.
Log on locally: Ovo Logon pravo određuje koji korisnici mogu lokalno da se uloguju na taj kompjuter.
Deny Logon Locally: Ova sigurnosna postavka određuje kojim korisnicima će biti zabranjeno logovanje na tom kompjuteru.
Deny Logon as Batch job: Ova sigurnosna postavka određuje koji nalozi će biti sprečeni da se uloguju kao Batch poslovi (jobs).
Deny access to this computer over the network: Ova sigurnosna postavka određuje koji korisnici će biti sprečeni da pristupaju kompjuteru preko mreže.
Remove Computer form docking station: Ova sigurnosna postavka određuje koje dodatne dozvole su dodeljene za anonimne konekcije na kompjuteru.