юють певний термін життя квитка.
Квиток з вичерпаним терміном життя може бути відновлений. Для відновленого квитка встановлюється строк життя у відповідності з політикою В«Максимальний термін життя для відновлення квитка користувача В». Типово період відновлення квитка становить 60 днів. Ви можете встановити період відновлення від 0 до 99,999 днів. Нульове значення вимикає максимальний період оновлення, а будь-які інші значення встановлюють його певний термін.
Максимальна похибка
Політика В«Максимальна похибка синхронізації годинника комп'ютера В»є однією з небагатьох політик Kerberos, яку Вам, можливо, доведеться змінити. Типово комп'ютери в домені повинні бути синхронізовані один з одним протягом п'яти хвилин. Якщо ця умова не виконується, аутентифікація не відбувається.
Якщо у Вас є віддалені користувачі, які входять до домену без синхронізації їх годин з мережевим сервером часу, Вам може знадобитися встановити цей параметр. Його діапазон - Від 0 до 99,999
Першим кроком до забезпечення безпеки корпоративної мережі середнього розміру є розуміння того, якими уразливими можуть скористатися зловмисники. Головним завданням зловмисника, який проник в мережу, є підвищення привілеїв створеного ним плацдарму для отримання більш широкого доступу. Після підвищення привілеїв дуже важко запобігти подальші дії зловмисника. Зловмисники використовують різні механізми підвищення привілеїв, але найчастіше вони пов'язані з атаками на наявні в системі облікові запису, особливо, якщо вони володіють правами адміністратора.
У корпоративних мережах середнього розміру часто вживаються заходи щодо забезпечення безпеки звичайних облікових записів користувачів, а облікові записи служб залишаються без уваги, що робить їх уразливими і популярними цілями зловмисників. Після отримання зловмисником контролю над важливою обліковим записом з високим рівнем доступу до мережі, вся мережа буде залишатися ненадійною, поки не буде повністю створена заново. Тому рівень безпеки всіх облікових записів є важливим аспектом забезпечення безпеки мережі.
Внутрішні загрози, так само як і зовнішні, можуть завдати значної шкоди корпоративної мережі середнього розміру. Внутрішню загрозу створюють не тільки зловмисники, але й ті користувачі, які можуть завдати шкоди ненавмисно. Одним із прикладів можуть служити на перший погляд нешкідливі спроби користувачів отримати доступ до ресурсу в обхід заходів безпеки. З міркувань зручності користувачі та служби також дуже часто отримують більш широкі права, ніж необхідно для роботи. Хоча такий підхід гарантує користувачам доступом до ресурсів, необхідним для виконання роботи, він також збільшує небезпеку успішної атаки на мережу.
Анотація
Як вже було сказано у вступі, управління безпекою всіх типів облікових записів у мережі є важливим аспектом управління ризиками корпоративної мережі середнього розміру. До уваги повинні прийматися як зовнішні, так і внутрішні загрози. Рішення по захисту від таких загроз має бути збалансовано з точки зору безпеки і функціональності мережевих ресурсів, що відповідає потребам середнього бізнесу.
Даний документ допоможе представникам середнього бізнесу усвідомити ризики, пов'язані з адміністративними обліковими записами та обліковими записами служб, обліковими записами за замовчуванням і обліковими записами додатків. Наведені відомості є основою для розробки та реалізації заходів щодо зниження цих ризиків. Для цього необхідно розповісти про суть цих облікових записів, про те, як їх розрізняти, як визначати права, необхідні для роботи, і як знижувати ризики, пов'язані з підвищеними привілеями облікових записів служб та адміністраторів.
У рамках ініціативи корпорації Майкрософт В«Захищені комп'ютерні системиВ» використовуються в Microsoft В® Windows Server в„ў 2003 параметри за замовчуванням розраховані на забезпечення захисту служби каталогів Active Directory В® від різних загроз. Проте рівень безпеки облікових записів адміністраторів корпоративної мережі середнього розміру можна посилити ще більше, змінивши деякі їх параметри. Крім того, служби, не входять до складу операційної системи Windows Server 2003 і встановлювані іншими додатками, також необхідно захистити. У даному документі описуються способи забезпечення безпеки цих облікових записів і служб, а також містяться рекомендації щодо контролю над використанням і управлінням адміністративними повноваженнями.
