Разное

Управление одним доменом из множества ограничение прав: Управление одним доменом из множества ограничение прав

18.11.1997

Содержание

Ограничение использования компьютера только одним пользователем домена — Windows Server

  • Статья
  • Чтение занимает 2 мин
  • Участники: 2

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

В этой статье описывается, как ограничить использование компьютера только одним пользователем домена.

Применяется к:   Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ:   555317

Эта статья была написана Yuval Sinay, MVP Майкрософт.

Симптомы

При создании доверяемого подключения/s из одного домена (леса) в другой пользователи имеют возможность войти в другой домен/s, чем в домашнем домене (домен, в который вмещается их учетная запись/s).

Причина

Целевое подключение/s из одного домена в другой или/и один лес в другой позволяют пользователю войти в другой домен/s, чем его домашний домен (домен, в который вмещается их учетная запись/s). Группа «Пользователи с проверкой подлинности» на каждом компьютере позволяет пользователям из доверенного домена быть аутентификацией и логотипом на компьютер.

Решение

Вариант A: Domain-Wide политика

С помощью возможностей групповой политики в Windows домене 2000/2003 можно запретить пользователю/s войти в другой домен/s, чем его домашний домен.

  1. Создайте новое GPO для всей области домена и введете пользователю «Запретить логоун локально» право пользователя на учетную запись пользователя домена или sIn целевого домена.

    Примечание

    Некоторые службы (например, службы резервного копирования) могут действовать этой политикой и не будут функционировать. Чтобы устранить проблемы в будущем, применяем эту политику и используйте перо фильтра безопасности GPO.

    Запретить локализованный логотип

    Фильтрация с помощью групп безопасности

  2. Запустите Gpupdate /force на контроллере домена.

Вариант B. Удаление использования «NT AUTHORITY\Authenticated Users» из списка группы пользователей

Чтобы исключить возможность ведения журнала на одном или нескольких компьютерах, выполните инструкции:

  1. Щелкните правой кнопкой мыши значок «Мой компьютер» на рабочем столе.

  2. Выберите «Управление».

  3. Извлечение «Локальные пользователи и группы».

  4. Выберите в «Группы».

  5. В правой части экрана дважды щелкните группу «Пользователи».

  6. Удаление:«NT AUTHORITY\Authenticated Users» из списка.

  7. Добавьте требуемую пользователь/s или группу/s в локализованную группу «Пользователи».

Параметр C. Настройка пользователя «Запретить логонс локально» прямо на локальном компьютере/s

Чтобы исключить возможность ведения журнала на одном или нескольких компьютерах, выполните инструкции:

  1. Перейдите к «Start» -> «Run«.

  2. Напишите «Gpedit.msc»

  3. Включить «Запретить логос локально» пользователю право на исходные учетные записи пользователей домена.

    Примечание

    Некоторые службы (например, службы резервного копирования) могут действовать этой политикой и не будут функционировать.

    Запретить локализованный логотип

  4. Запуск Gpupdate /force на локальном компьютере.

Вариант D. Использование выборочной проверки подлинности при использовании Forest Trust

Создание лесных трастов

Дополнительная информация

Community Отказ от контента решений

Корпорация Майкрософт и/или соответствующие поставщики не делают представлений о пригодности, надежности или точности сведений и связанных с ними графических данных, содержащихся в этой записи. Вся такая информация и связанная графика предоставляются «как есть» без какой-либо гарантии. Корпорация Майкрософт и/или соответствующие поставщики тем самым отключили все гарантии и условия в отношении этой информации и связанной графики, включая все подразумеваемые гарантии и условия торговой доступности, пригодность для определенной цели, рабочий труд, название и неущемление. Вы соглашаетесь, что ни в каких событиях корпорация Майкрософт и/или ее поставщики не несут ответственности за любые прямые, косвенные, штрафные, случайные, специальные, сопутствующие повреждения или любые повреждения, включая без ограничений убытки за потерю использования, данных или прибыли, возникающие из-за использования или невозможности использования сведений и связанных с ними графических элементов, содержащихся в этом деле, независимо от того, были ли они связаны с контрактом, тортом, халатностью, строгой ответственностью или иным образом, даже если корпорации Майкрософт или любому из ее поставщиков было рекомендовано о возможности ущерба.

Учетные записи Active Directory (Windows 10) — Windows security

  • Статья
  • Чтение занимает 32 мин
  • 1 участник

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

Область применения

Windows серверные операционные системы устанавливаются с локальными учетными записями по умолчанию. Кроме того, можно создавать учетные записи пользователей, чтобы соответствовать требованиям организации. Эта справочная тема для ИТ-специалистов описывает локальные учетные записи по умолчанию Windows Server, которые хранятся локально на контроллере домена и используются в Active Directory.

В этой справочной статье не описываются локальные учетные записи пользователей по умолчанию для одного из членов или автономных серверов или Windows клиента. Дополнительные сведения см. в местных учетных записях.

Об этом разделе

В этом разделе описывается следующее:

Локальные учетные записи по умолчанию в Active Directory

Локальные учетные записи по умолчанию — это встроенные учетные записи, которые создаются автоматически при установке контроллера Windows Server и создания домена. Эти локальные учетные записи по умолчанию имеют аналоги в Active Directory. Эти учетные записи также имеют доступ к домену и полностью отделены от локальных учетных записей пользователей по умолчанию для отдельного или отдельного сервера.

Вы можете назначить права и разрешения для локальных учетных записей по умолчанию на определенном контроллере домена и только на этом контроллере домена. Эти учетные записи являются локальными для домена. После установки локальных учетных записей по умолчанию они хранятся в контейнере Пользователи в active Directory Users and Computers. Лучше всего хранить локальные учетные записи по умолчанию в контейнере Пользователя и не пытаться переместить эти учетные записи, например, в другое организационное подразделение (OU).

Локальные учетные записи в контейнере Пользователей по умолчанию включают: Администратор, Гость и KRBTGT. Учетная запись HelpAssistant устанавливается при установке сеанса удаленной помощи. В следующих разделах описываются локальные учетные записи по умолчанию и их использование в Active Directory.

В основном локальные учетные записи по умолчанию делают следующее:

  • Позвольте домену представлять, идентифицировать и проверить подлинность удостоверения пользователя, назначенного учетной записи с помощью уникальных учетных данных (имя пользователя и пароль). Для обеспечения максимальной безопасности лучше назначить каждого пользователя одной учетной записи. Нескольким пользователям не разрешается делиться одной учетной записью. Учетная запись пользователя позволяет пользователю войти в компьютеры, сети и домены с уникальным идентификатором, который может быть аутентификацией компьютера, сети или домена.

  • Авторизуйте (предоставляете или отказывайте) доступ к ресурсам. После проверки подлинности учетных данных пользователя пользователь получает право на доступ к сетевым и доменным ресурсам на основе явно за присвоенных пользователем прав на ресурс.

  • Аудит действий, которые осуществляются в учетной записи пользователя.

В Active Directory локальные учетные записи по умолчанию используются администраторами для управления доменными и серверами-членами непосредственно и с выделенных административных рабочих станций. Учетные записи Active Directory предоставляют доступ к сетевым ресурсам. Учетные записи пользователей Active Directory и Computer могут представлять физическое лицо, например компьютер или лицо, или выступать в качестве специальных учетных записей служб для некоторых приложений.

Каждая локализованная учетная запись по умолчанию автоматически присваивается группе безопасности, которая предварительно назначена с соответствующими правами и разрешениями для выполнения определенных задач. Группы безопасности Active Directory собирают учетные записи пользователей, учетные записи компьютеров и другие группы в управляемые подразделения. Дополнительные сведения см. в группе безопасности Active Directory.

В контроллере домена Active Directory каждая локализованная учетная запись по умолчанию называется основной службой безопасности. Принцип безопасности — это объект каталога, который используется для обеспечения безопасности и управления службами Active Directory, которые предоставляют доступ к ресурсам контроллера домена. Принцип безопасности включает такие объекты, как учетные записи пользователей, учетные записи компьютеров, группы безопасности или потоки или процессы, которые работают в контексте безопасности учетной записи пользователя или компьютера. Дополнительные сведения см. в дополнительных сведениях.

Директор по безопасности представлен уникальным идентификатором безопасности (SID). В разделах ниже описаны СИД, связанные с каждой из локальных учетных записей по умолчанию в Active Directory.

Некоторые локальные учетные записи по умолчанию защищены фоновой процедурой, которая периодически проверяет и применяет определенный дескриптор безопасности. Дескриптор безопасности — это структура данных, которая содержит сведения о безопасности, связанные с защищенным объектом. Этот процесс гарантирует, что любая успешная несанкционированная попытка изменить дескриптор безопасности в одной из локальных учетных записей или групп по умолчанию перезаписывается с защищенными настройками.

Этот дескриптор безопасности присутствует на объекте AdminSDHolder. Если требуется изменить разрешения в одной из групп администраторов службы или в любой из учетных записей ее членов, необходимо изменить дескриптор безопасности объекта AdminSDHolder, чтобы обеспечить его последовательное использование. Будьте осторожны при внесении этих изменений, так как вы также изменяете параметры по умолчанию, которые применяются к всем защищенным учетным записям.

Учетная запись администратора

Учетная запись администратора — это учетная запись по умолчанию, используемая во всех версиях Windows на каждом компьютере и устройстве. Учетная запись администратора используется системным администратором для задач, которые требуют административных учетных данных. Эта учетная запись не может быть удалена или заблокирована, но ее можно переименовать или отключить.

Учетная запись администратора предоставляет пользователю полный доступ к файлам, каталогам, службам и другим ресурсам, которые находятся на локальном сервере. Учетная запись администратора может использоваться для создания локальных пользователей и назначения прав пользователей и разрешений на управление доступом. Администратор также может использовать для управления локальными ресурсами в любое время, просто изменив права и разрешения пользователей. Несмотря на то, что файлы и каталоги могут быть временно защищены от учетной записи администратора, учетная запись администратора может в любое время контролировать эти ресурсы, изменяя разрешения на доступ.

Членство в группе учетных записей

Учетная запись Администратора имеет членство в группах безопасности по умолчанию, как описано в таблице атрибутов учетной записи администратора, позднее в этом разделе.

Группы безопасности гарантируют, что вы можете управлять правами администратора, не меняя каждую учетную запись администратора. В большинстве случаев не нужно менять основные параметры этой учетной записи. Однако может потребоваться изменить его расширенные параметры, например членство в определенных группах.

Вопросы безопасности

После установки операционной системы сервера первой задачей является безопасное настройка свойств учетной записи администратора. Это включает настройку особо длинного и прочного пароля и обеспечение безопасности параметров профилей удаленного управления и служб удаленного рабочего стола.

Учетная запись администратора также может быть отключена, если она не требуется. Переименование или отключение учетной записи администратора затрудняет попытку злоумышленников получить доступ к учетной записи. Однако даже если учетная запись администратора отключена, ее можно использовать для получения доступа к контроллеру домена с помощью безопасного режима.

На контроллере домена учетная запись администратора становится учетной записью администратора домена. Учетная запись администратора домена используется для входов в контроллер домена, и для этой учетной записи требуется надежный пароль. Учетная запись администратора домена предоставляет доступ к ресурсам домена.

Примечание

При начальной установке контроллера домена можно войти и использовать Диспетчер сервера для установки учетной записи локального администратора с правами и разрешениями, которые необходимо назначить. Например, при первой установке можно использовать учетную запись локального администратора для управления операционной системой. С помощью этого подхода можно настроить операционную систему без блокировки. Как правило, вам не нужно использовать учетную запись после установки. Создать локальные учетные записи пользователей на контроллере домена можно только до установки служб домена Active Directory, а не после этого.

При установке Active Directory на первом контроллере домена в домене создается учетная запись администратора для Active Directory. Учетная запись администратора — это самая мощная учетная запись в домене. Ему дается доступ на всем домене и административные права для администрирования компьютера и домена, и он обладает самыми обширными правами и разрешениями над доменом. Человек, устанавливавший службы домена Active Directory на компьютере, создает пароль для этой учетной записи во время установки.

Атрибуты учетной записи администратора

Атрибут Значение
Well-Known SID/RID S-1-5- <domain> -500
Тип Пользователь
Контейнер по умолчанию CN=Users, DC= <domain> , DC=
Участники по умолчанию Н/Д
Участник по умолчанию Администраторы, администраторы доменов, Enterprise администраторы, пользователи домена. Обратите внимание, что основной групповой ID всех учетных записей пользователей — это пользователи домена.

Владельцы создателей групповой политики и администраторы схемы в Active Directory

Группа пользователей домена

Защищено ADMINSDHOLDER? Да
Сейф для перемещения из контейнера по умолчанию? Да
Сейф делегировать управление этой группой администраторам, не несущим службы? Нет

Гостевая учетная запись

Учетная запись Гостевой по умолчанию является локальной учетной записью, которая имеет ограниченный доступ к компьютеру и отключена по умолчанию. По умолчанию пароль гостевой учетной записи остается пустым. Пустой пароль позволяет получать доступ к гостевой учетной записи, не требуя от пользователя вводить пароль.

Учетная запись Гостевой позволяет случайным или разово пользователям, у которых нет отдельной учетной записи на компьютере, войти на локальный сервер или домен с ограниченными правами и разрешениями. Учетная запись Гостевой может быть включена, а пароль можно настроить при необходимости, но только членом группы администратора на домене.

Членство в группе учетных записей

Учетная запись Гостевой имеет членство в группах безопасности по умолчанию, описанных в следующей таблице атрибутов гостевой учетной записи. По умолчанию гостевая учетная запись является единственным членом группы гостей по умолчанию, которая позволяет пользователю войти на сервер, и глобальной группой «Гости домена», которая позволяет пользователю войти в домен.

Член группы администраторов или группы администраторов домена может настроить пользователя с гостевой учетной записью на одном или более компьютерах.

Вопросы безопасности

Поскольку учетная запись Гостевой может предоставлять анонимный доступ, это риск безопасности. Он также имеет хорошо известный SID. По этой причине лучше оставить учетную запись гостевой, если она не требуется, а затем только с ограниченными правами и разрешениями на очень ограниченный период времени.

Если требуется учетная запись Гостевой, администратор контроллера домена должен включить учетную запись Гостевой. Учетная запись Гостевой может быть включена, не требуя пароля, или она может быть включена с помощью сильного пароля. Администратор также предоставляет ограниченные права и разрешения для гостевой учетной записи. Чтобы предотвратить несанкционированный доступ:

  • Не предоставлять учетной записи Гостевой закрыть право пользователя системы. При отключении или запуске компьютера может получить несанкционированный доступ к компьютеру гостевой пользователь или любой пользователь с локальным доступом, например вредоносный.

  • Не предоставлять учетной записи Гостевой учетной записи возможность просмотра журналов событий. После включения учетной записи «Гость» необходимо часто отслеживать эту учетную запись, чтобы другие пользователи не использовали службы и другие ресурсы, например ресурсы, которые были непреднамеренно доступны предыдущему пользователю.

  • Не используйте учетную запись Гостевой, если у сервера есть внешний доступ к сети или доступ к другим компьютерам.

Если вы решите включить учетную запись «Гость», обязательно ограничьте ее использование и регулярно измените пароль. Как и в учетной записи Администратора, может потребоваться переименовать учетную запись в качестве дополнительных мер предосторожности безопасности.

Кроме того, администратор отвечает за управление гостевой учетной записью. Администратор отслеживает учетную запись Гостевой, отключает учетную запись Гостевой, когда она больше не используется, а также изменяет или удаляет пароль по мере необходимости.

Сведения о атрибутах гостевой учетной записи см. в следующей таблице.

Атрибуты гостевой учетной записи

Атрибут Значение
Well-Known SID/RID S-1-5- <domain> -501
Тип Пользователь
Контейнер по умолчанию CN=Users, DC= <domain> , DC=
Участники по умолчанию Нет
Участник по умолчанию Гости, гости домена
Защищено ADMINSDHOLDER? Нет
Сейф для перемещения из контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Сейф делегировать управление этой группой администраторам, не внося службы? Нет

Учетная запись HelpAssistant (установленная с сеансом удаленной помощи)

Учетная запись HelpAssistant — это локализованная учетная запись по умолчанию, включенная при запуске сеанса удаленной помощи. Эта учетная запись автоматически отключена, если не ожидается никаких запросов на удаленную помощь.

HelpAssistant — это основная учетная запись, используемая для создания сеанса удаленной помощи. Сеанс удаленной помощи используется для подключения к другому компьютеру, Windows операционной системе, и он инициировался по приглашению. Для получения удаленной помощи пользователь отправляет приглашение с компьютера по электронной почте или в файле лицу, который может оказать помощь. После того, как приглашение пользователя на сеанс удаленной помощи будет принято, автоматически создается учетная запись HelpAssistant по умолчанию, чтобы предоставить человеку, который предоставляет помощь, ограниченный доступ к компьютеру. Учетная запись HelpAssistant управляется службой диспетчера сеансов помощи удаленным рабочим столам.

Вопросы безопасности

К siD-данным, которые относятся к учетной записи HelpAssistant по умолчанию, относятся:

  • SID: S-1-5- <domain> -13, отображает имя пользователя терминала server. В эту группу входят все пользователи, входившие на сервер с включенной службой удаленного рабочего стола. Обратите внимание, что в Windows Server 2008 службы удаленного рабочего стола называются службами терминалов.

  • SID: S-1-5- <domain> -14, отображает имя удаленного интерактивного логотипа. В эту группу входят все пользователи, которые подключаются к компьютеру с помощью удаленного подключения к рабочему столу. Эта группа — подмножество интерактивной группы. Маркеры доступа, содержащие удаленный интерактивный sid logon, также содержат интерактивный SID.

Для операционной Windows Server удаленная помощь является необязательным компонентом, который не устанавливается по умолчанию. Необходимо установить удаленную помощь, прежде чем она может быть использована.

Сведения о атрибутах учетной записи HelpAssistant см. в следующей таблице.

Атрибуты учетной записи HelpAssistant

Атрибут Значение
Well-Known SID/RID S-1-5- <domain> -13 (пользователь терминала server), S-1-5- <domain> -14 (удаленный интерактивный логотип)
Тип Пользователь
Контейнер по умолчанию CN=Users, DC= <domain> , DC=
Участники по умолчанию Нет
Участник по умолчанию Гости домена

Гости

Защищено ADMINSDHOLDER? Нет
Сейф для перемещения из контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Сейф делегировать управление этой группой администраторам, не внося службы? Нет

Учетная запись KRBTGT

Учетная запись KRBTGT является локальной учетной записью по умолчанию, которая выступает в качестве учетной записи службы службы Центра рассылки ключей (KDC). Эта учетная запись не может быть удалена, а имя учетной записи не может быть изменено. Учетная запись KRBTGT не может быть включена в Active Directory.

KRBTGT также является основным именем безопасности, используемым KDC для домена Windows Server, как указано rFC 4120. Учетная запись KRBTGT является объектом для директора безопасности KRBTGT и создается автоматически при создания нового домена.

Windows проверки подлинности Server Kerberos достигается с помощью специального билета Kerberos, который был задан с помощью симметричного ключа. Этот ключ получен из пароля сервера или службы, к которому запрашивается доступ. Пароль TGT учетной записи KRBTGT известен только службой Kerberos. Для запроса билета сеанса TGT должен быть представлен в KDC. TGT выдан клиенту Kerberos из KDC.

Соображения по обслуживанию учетной записи KRBTGT

Надежный пароль автоматически назначен учетным записям KRBTGT и доверия. Как и все привилегированные учетные записи служб, организации должны регулярно менять эти пароли. Пароль для учетной записи KDC используется для получения секретного ключа для шифрования и расшифровки выдаваемой TGT-запросов. Пароль для учетной записи доверия домена используется для получения ключа для шифрования переходных билетов.

Сброс пароля требует, чтобы вы были членом группы администраторов домена или были делегированы соответствующим органом. Кроме того, вы должны быть членом локальной группы администраторов или вам необходимо делегировать соответствующие полномочия.

После сброса пароля KRBTGT убедитесь, что код события 9 в источнике событий Key-Distribution-Center (Kerberos) будет записан в журнал событий System.

Вопросы безопасности

Кроме того, лучше всего сбросить пароль учетной записи KRBTGT, чтобы вновь восстановленный контроллер домена не реплицируется с скомпрометированным контроллером домена. В этом случае при большом восстановлении леса, которое распространяется на несколько местоположений, невозможно гарантировать, что все контроллеры домена будут закрыты, и если они будут закрыты, они не будут повторно перезагружаться до того, как будут предприняты все соответствующие действия по восстановлению. После сброса учетной записи KRBTGT другой контроллер домена не может реплицировать пароль этой учетной записи с помощью старого пароля.

Организации, подозревающие компромисс домена учетной записи KRBTGT, следует рассмотреть возможность использования профессиональных служб реагирования на инциденты. Влияние на восстановление права собственности на учетную запись — на всей доменной и трудоемкой процедуре следует предпринять в рамках более масштабных усилий по восстановлению.

Пароль KRBTGT — это ключ, на который все доверяют цепочкам Kerberos. Сброс пароля KRBTGT аналогичен обновлению корневого сертификата ЦС с новым ключом и сразу же не доверяет старому ключу, в результате чего будут затронуты практически все последующие операции Kerberos.

Для всех типов учетных записей (пользователей, компьютеров и служб)

  • Все TGTs, которые уже выданы и распределены, будут недействительны, так как DCs отклоняет их. Эти билеты шифруются с помощью KRBTGT, поэтому любой dc может проверить их. При смене пароля билеты становятся недействительными.

  • Все сеансы проверки подлинности, которые в настоящее время зарегистрированы на пользователях, устанавливаются (на основе их билетов на обслуживание) на ресурс (например, файл, SharePoint сайт или сервер Exchange) до тех пор, пока не потребуется повторно проверить подлинность билета службы.

  • Подключения с проверкой подлинности NTLM не затронуты

Так как невозможно предсказать определенные ошибки, которые будут возникать для любого пользователя в производственной операционной среде, необходимо предположить, что все компьютеры и пользователи будут затронуты.

Важно!

Перезагрузка компьютера — единственный надежный способ восстановления функций, так как это приведет к повторному входу учетной записи компьютера и учетных записей пользователей. При входе в систему снова будут запрашиваться новые TGT, допустимые с помощью нового KRBTGT, что исправит все связанные с KRBTGT операционные проблемы на этом компьютере.

Сведения о том, как снизить риски, связанные с потенциально скомпрометированной учетной записью KRBTGT, см. в статью KRBTGT Account Password Reset Scriptsnow available for customers.

Контроллеры домена только для чтения и учетная запись KRBTGT

Windows Server 2008 представил контроллер домена только для чтения (RODC). RodC рекламируется как Центр рассылки ключей (KDC) для филиала. RODC использует другую учетную запись и пароль KRBTGT, чем KDC на контроллере домена, когда он подписывает или шифрует запросы на предоставление билетов (TGT). После успешной проверки подлинности учетной записи RODC определяет, можно ли реплицировать учетные данные пользователя или учетные данные компьютера из контроллера домена в RODC с помощью политики репликации паролей.

После кэшировали учетные данные в RODC, RODC может принимать запросы на вход пользователя до тех пор, пока учетные данные не изменятся. Когда TGT подписывался с учетной записью KRBTGT RODC, RODC узнает, что у него есть кэшная копия учетных данных. Если другой контроллер домена подписывает TGT, ТО RODC передает запросы на подаваемый контроллер домена.

Атрибуты учетной записи KRBTGT

Сведения о атрибутах учетной записи KRBTGT см. в следующей таблице.

Атрибут Значение
Well-Known SID/RID S-1-5- <domain> -502
Тип Пользователь
Контейнер по умолчанию CN=Users, DC= <domain> , DC=
Участники по умолчанию Нет
Участник по умолчанию Группа пользователей домена. Обратите внимание, что основной групповой ID всех учетных записей пользователей — это пользователи домена.
Защищено ADMINSDHOLDER? Да
Сейф для перемещения из контейнера по умолчанию? Может быть перемещен, но мы не рекомендуем его.
Сейф делегировать управление этой группой администраторам, не внося службы? Нет

Параметры локальных учетных записей по умолчанию в Active Directory

Каждая локализованная учетная запись по умолчанию в Active Directory имеет ряд параметров учетной записи, которые можно использовать для настройки параметров пароля и сведений, определенных для безопасности, как описано в следующей таблице.

Параметры локальных учетных записей по умолчанию в Active Directory

Параметры учетной записи Описание
Пользователь должен изменить пароль в следующем логотипе Заставляет пароль изменять следующий раз, когда пользователь входит в сеть. Используйте этот параметр, если необходимо убедиться, что пользователь является единственным, кто знает пароль.
Пользователь не может изменить пароль Предотвращает изменение пароля пользователем. Используйте этот параметр, если вы хотите сохранить контроль над учетной записью пользователя, например для гостевой или временной учетной записи.
Срок действия пароля не ограничен Предотвращает истечение срока действия пароля пользователя. Это лучшая практика, чтобы включить этот параметр с учетными записями службы и использовать надежные пароли.
Хранить пароли, используя обратимое шифрование Обеспечивает поддержку приложений, которые используют протоколы, требующие знаний о простой форме пароля пользователя для целей проверки подлинности.

Этот параметр необходим при использовании протокола проверки подлинности вызова (CHAP) в службах проверки подлинности в Интернете (IAS) и при использовании проверки подлинности дайджестов в службы IIS (IIS).

Учетная запись отключена Предотвращает вход пользователя с выбранной учетной записью. Как администратор вы можете использовать отключенные учетные записи в качестве шаблонов для общих учетных записей пользователей.
Смарт-карта необходима для интерактивного логотипа Требуется, чтобы у пользователя была смарт-карта, чтобы войти в сеть интерактивно. Кроме того, пользователь должен иметь на компьютере считыватель смарт-карт и действительный личный идентификационный номер (ПИН-код) для смарт-карты.

Когда этот атрибут применяется к учетной записи, эффект будет следующим:

  • Атрибут ограничивает только начальную проверку подлинности для интерактивного логотипа и логотипа удаленного рабочего стола. Если для интерактивного или удаленного логотипа рабочего стола требуется последующий логотип сети, например с учетными данными домена, для завершения процесса проверки подлинности смарт-карт используется NT-hash, предоставленный контроллером домена.
  • Каждый раз, когда атрибут включен в учетной записи, текущее значение hash пароля учетной записи заменяется случайным числом в 128 бит. Это недействительно для использования ранее настроенных паролей для учетной записи. После этого значение не меняется, если не установлен новый пароль или атрибут отключен и включен повторно.
  • Учетные записи с этим атрибутом не могут использоваться для запуска служб или выполнения запланированных задач.
  • Учетная запись доверяема делегирования Позволяет службе, которая работает под этой учетной записью, выполнять операции от имени других учетных записей пользователей в сети. Служба, запущенная под учетной записью пользователя (также известной как учетная запись службы), которая является доверенным для делегирования, может выдать себя за клиента, чтобы получить доступ к ресурсам на компьютере, на котором работает служба, или на других компьютерах. Например, в лесу, заданной на функциональный уровень Windows Server 2003, этот параметр находится на вкладке Делегирования. Он доступен только для учетных записей, которым назначены основные имена служб (SPNs), которые задаваются с помощью команды setspn из Windows средств поддержки. Этот параметр является чувствительным к безопасности и должен быть назначен осторожно.
    Учетная запись является конфиденциальной и не может быть делегирована Предоставляет контроль над учетной записью пользователя, например учетной записью гостевой или временной учетной записью. Этот параметр можно использовать, если эта учетная запись не может быть назначена для делегирования другой учетной записью.
    Использование типов шифрования DES для этой учетной записи Обеспечивает поддержку стандарта шифрования данных (DES). DES поддерживает несколько уровней шифрования, в том числе Microsoft Point-to-Point Encryption (MPPE) Standard (40-битный и 56-битный), стандарт MPPE (56-битный), MPPE Strong (128-битный), IPSec security (IPSec) DES (40-bit), IPSec 56-bit DES и IPSec Triple DES (3DES). Примечание: DES не включен по умолчанию в операционных системах Windows Server, начиная с Windows Server 2008 R2 и Windows клиентских операционных систем, начиная с Windows 7. Для этих операционных систем компьютеры по умолчанию не будут использовать шифры DES-CBC-MD5 или DES-CBC-CRC. Если среда требует DES, этот параметр может повлиять на совместимость с клиентских компьютеров или служб и приложений в вашей среде. Дополнительные сведения см. в дополнительных сведениях, которые можно найти в режиме охоты на DES для безопасного развертывания Kerberos.
    Не требуется предварительной оценки Kerberos Поддерживает альтернативные реализации протокола Kerberos. Поскольку предавентикация обеспечивает дополнительную безопасность, при включаем этот параметр используйте осторожность. Обратите внимание, что контроллеры домена Windows 2000 или Windows Server 2003 могут использовать другие механизмы для синхронизации времени.

    Управление локальными учетной записью по умолчанию в Active Directory

    После установки локальных учетных записей по умолчанию эти учетные записи находятся в контейнере Пользователей в Active Directory Users and Computers. Локальные учетные записи по умолчанию можно создавать, отключать, сбрасывать и удалять с помощью консоли Управления пользователями Active Directory и компьютерами Microsoft Management Console (MMC) и с помощью средств командной строки.

    Пользователи и компьютеры Active Directory можно использовать для назначения прав и разрешений для данного локального контроллера домена и только этого контроллера домена, чтобы ограничить возможности местных пользователей и групп выполнять определенные действия. Право разрешает пользователю выполнять определенные действия на компьютере, такие как архивирование файлов и папок или отключение компьютера. Напротив, разрешение доступа — это правило, связанное с объектом, как правило, файлом, папкой или принтером, которое регулирует, какие пользователи могут иметь доступ к объекту и каким образом.

    Дополнительные сведения о создании и управлении учетной записью локальных пользователей в Active Directory см. в каталоге Управление локальными пользователями.

    Вы также можете использовать пользователей Active Directory и компьютеры на контроллере домена для ориентации удаленных компьютеров, которые не являются контроллерами домена в сети.

    Вы можете получить рекомендации от Корпорации Майкрософт по конфигурациям контроллера домена, которые можно распространять с помощью средства Диспетчер соответствия требованиям безопасности (SCM). Дополнительные сведения см. в веб-сайте Microsoft Security Compliance Manager.

    Некоторые локальные учетные записи пользователей по умолчанию защищены фоновой процедурой, которая периодически проверяет и применяет определенный дескриптор безопасности, который является структурой данных, которая содержит сведения о безопасности, связанные с защищенным объектом. Этот дескриптор безопасности присутствует на объекте AdminSDHolder.

    Это означает, что при изменении разрешений в группе администратора службы или в любой из учетных записей ее членов необходимо также изменить дескриптор безопасности на объекте AdminSDHolder. Этот подход гарантирует, что разрешения применяются последовательно. Будьте осторожны при внесении этих изменений, так как это действие также может повлиять на параметры по умолчанию, которые применяются во всех защищенных административных учетных записях.

    Ограничение и защита конфиденциальных учетных записей домена

    Для ограничения и защиты учетных записей доменов в среде домена необходимо принять и реализовать следующий подход к практике:

    • Строго ограничить членство в группах администраторов, администраторов доменов и Enterprise администраторов.

    • Строго контролировать, где и как используются учетные записи домена.

    Учетные записи членов в группах администраторов, администраторов доменов и Enterprise администраторов в домене или лесу являются высокой целью для вредоносных пользователей. Это лучшая практика, чтобы строго ограничить членство в этих группах администратора до наименьшего числа учетных записей, чтобы ограничить любое воздействие. Ограничение членства в этих группах снижает вероятность того, что администратор может непреднамеренно злоупотреблять этими учетными данными и создать уязвимость, которую могут использовать вредоносные пользователи.

    Кроме того, лучше строго контролировать, где и как используются конфиденциальные учетные записи домена. Ограничить использование учетных записей администраторов домена и других учетных записей администраторов, чтобы предотвратить их использование для входов в системы управления и рабочие станции, защищенные на том же уровне, что и управляемые системы. Если учетные записи администратора не ограничены таким образом, каждая работа, с которой подписывает администратор домена, предоставляет другое расположение, которое могут использовать вредоносные пользователи.

    Реализация этих методов разделена на следующие задачи:

    Обратите внимание, что для обеспечения случаев, когда ожидаются проблемы интеграции с доменной средой, каждая задача описывается в соответствии с требованиями к минимальной, лучшей и идеальной реализации. Как и все значительные изменения в производственной среде, убедитесь, что перед их реализацией и развертывание необходимо тщательно протестировать эти изменения. Затем этап развертывания таким образом, чтобы можно было откатать изменения в случае возникновения технических проблем.

    Отделять учетные записи администратора от учетных записей пользователей

    Ограничить учетные записи администраторов домена и другие конфиденциальные учетные записи, чтобы запретить их использовать для входов в нижние серверы и рабочие станции доверия. Ограничить и защитить учетные записи администратора, разделив учетные записи администратора от стандартных учетных записей пользователей, отделяя административные обязанности от других задач и ограничивая использование этих учетных записей. Создайте специальные учетные записи для административного персонала, которому требуются учетные данные администратора для выполнения определенных административных задач, а затем создайте отдельные учетные записи для других стандартных пользовательских задач в соответствии со следующими рекомендациями:

    • Привилегированная учетная запись. Выделение учетных записей администратора только для выполнения следующих административных обязанностей:

      • Минимальный. Создание отдельных учетных записей для администраторов доменов, корпоративных администраторов или эквивалента с соответствующими правами администратора в домене или лесу. Используйте учетные записи, которые получили конфиденциальные права администратора, только для администрирования доменных данных и контроллеров домена.

      • Лучше. Создайте отдельные учетные записи для администраторов, которые сократили административные права, например учетные записи администраторов рабочих станций, а также учетные записи с правами пользователей над назначенными подразделениями active Directory (OUs).

      • Ideal. Создайте несколько отдельных учетных записей для администратора с различными обязанностями, которые требуют различных уровней доверия. Настройка каждой учетной записи администратора с различными правами пользователей, такими как администрирование рабочих станций, администрирование серверов и администрирование доменов, чтобы администратор входил в данные рабочие станции, серверы и контроллеры домена, строго основываясь на его обязанностях.

    • Стандартная учетная запись пользователя. Предоставление стандартных прав пользователей для стандартных пользовательских задач, таких как электронная почта, просмотр веб-страниц и использование бизнес-приложений. Эти учетные записи не должны предоставляться правам администратора.

    Важно!

    Убедитесь, что конфиденциальные учетные записи администратора не могут получать доступ к электронной почте или просматривать Интернет, как описано в следующем разделе.

    Создание выделенных хостов рабочих станций без доступа к Интернету и электронной почте

    Администраторы должны управлять обязанностями, которые требуют конфиденциальных прав администратора от выделенной рабочей станции, так как у них нет простого физического доступа к серверам. Рабочие станции, подключенные к Интернету и с доступом к электронной почте и веб-браузеру, регулярно подвергаются угрозе с помощью фишинга, скачивания и других типов атак в Интернете. Из-за этих угроз, это лучшая практика, чтобы настроить этих администраторов с помощью рабочих станций, которые предназначены только для административных обязанностей, а не предоставлять доступ к Интернету, в том числе электронной почты и веб-просмотра. Дополнительные сведения см. в раздел Раздельные учетные записи администратора из учетных записей пользователей.

    Примечание

    Если администраторы в вашей среде могут войти на управляемые серверы локально и выполнять все задачи без повышенных прав или прав домена с рабочей станции, вы можете пропустить эту задачу.

    • Минимальный. Создание специальных административных рабочих станций и блокировка доступа к Интернету на этих рабочих станциях, включая просмотр веб-страниц и электронную почту. Чтобы заблокировать доступ к Интернету, используйте следующие способы:

      • Настройте проверку подлинности пограничных прокси-служб, если они развернуты, чтобы отодвинуть учетные записи администратора от доступа к Интернету.

      • Настройка пограничного брандмауэра или прокси-служб для ограничения доступа к Интернету для IP-адресов, которые назначены выделенным административным рабочим станциям.

      • Заблокировать исходящие доступ к пограничным прокси-серверам в Windows брандмауэра.

      Инструкции по этому минимальному требованию описаны в следующей процедуре.

    • Лучше. Не предоставлять администраторам членство в локальной группе администраторов на компьютере, чтобы ограничить администратору обход этих защиты.

    • Ideal. Запретить рабочим станциям иметь какие-либо сетевые подключения, за исключением контроллеров домена и серверов, которые используются для управления учетной записью администратора. Кроме того, используйте политики управления приложениями AppLocker, чтобы ограничить работу всех приложений, за исключением операционной системы и утвержденных административных средств и приложений. Дополнительные сведения о AppLocker см. в приложении AppLocker.

    В следующей процедуре описывается, как заблокировать доступ к Интернету путем создания объекта групповой политики (GPO), который настраивает недействительный прокси-адрес на административных рабочих станциях. Эти инструкции применяются только к компьютерам с internet Explorer и другими Windows, которые используют эти параметры прокси.

    Примечание

    В этой процедуре рабочие станции предназначены администраторам домена. Просто изменяя учетные записи администраторов для предоставления администраторам разрешений на вход локально, можно создать дополнительные OUs для управления администраторами, которые имеют меньше административных прав, чтобы использовать инструкции, описанные в следующей процедуре.

    Установка административных рабочих станций в домене и блокировка доступа к Интернету и электронной почте (минимум)

    1. В качестве администратора домена на контроллере домена откройте active Directory Users and Computers и создайте новый OU для административных рабочих станций.

    2. Создание учетных записей компьютера для новых рабочих станций.

      Примечание

      Возможно, вам придется делегировать разрешения для пользования компьютерами домену, если учетная запись, присоединяемая к рабочим станциям, уже не имеет их. Дополнительные сведения см. в делегирования администрирования в Active Directory.

    3. Закрой пользователей и компьютеров Active Directory.

    4. Запустите консоль управления групповой политикой (GPMC).

    5. Щелкните правой кнопкой мыши новый OU и создайте GPO в этом домене > и перейдите по ссылке.

    6. Назови GPO и > OK.

    7. Расширь GPO, щелкните правой кнопкой мыши новый GPO и > отредактировать.

    8. Настройте, какие члены учетных записей могут войти в систему локально на эти административные рабочие станции следующим образом:

      1. Перейдите к конфигурации компьютера\Политики\Windows Параметры\Локальные политики, а затем нажмите кнопку Назначение прав пользователей.

      2. Дважды щелкните Разрешить журнал локально, а затем выберите поле Определить эти параметры политики.

      3. Нажмите кнопку Добавить пользователь или групповой > **** просмотр, введите Enterprise администраторови > ОК.

      4. Щелкните Добавить пользователь или > группу Просмотр, введите администраторов доменаи > ОК.

        Важно!

        Эти инструкции предполагают, что рабочие станции должны быть выделены администраторам домена.

      5. Щелкните Добавить пользователя или группу, введите администраторови > ОК.

    9. Настройка конфигурации прокси:

      1. Перейдите к конфигурации пользователя\политики\Windows Параметры\Internet Explorer и > подключению.

      2. Дважды щелкните прокси-Параметры, выберите в качестве прокси-адреса параметры Включить параметры, введите 127.0.0.1 (IP-адрес сети Loopback) в качестве прокси-адреса и **** **** > ОК.

    10. Настройте режим обработки циклов, чтобы включить параметр прокси-сервера групповой политики пользователя для применения к всем пользователям на компьютере следующим образом:

      1. Перейдите к конфигурации компьютера\Политики\Административные шаблоны\System и > групповой политике.

      2. Дважды нажмите кнопку User Group Policy loopback policy processing modeи > Enabled.

      3. Выберите режим слиянияи > ОК.

    11. Настройка обновлений программного обеспечения следующим образом:

      1. Перейдите к конфигурации компьютера\Политики\Административные шаблоны\Windows компоненты, а затем нажмите кнопку Windows Update.

      2. Настройка параметров Windows обновления, как описано в следующей таблице.

        Windows параметра обновления Конфигурация
        Разрешить немедленную установку автоматических обновлений Включено
        Настройка автоматического обновления Enabled4 . Автозакапка и расписание установки0 — Каждый день 03:00
        Включить Windows управление питанием, чтобы автоматически разбудить систему для установки запланированных обновлений Включено
        Укажите расположение службы интрасети Microsoft Update Включено http://<WSUSServername> http://<WSUSServername> <WSUSServername> Где имя DNS или IP-адрес Windows Server Update Services (WSUS) в среде.
        Частота поиска автоматических обновлений 6 часов
        Повторный запрос для перезагрузки при запланированных установках 1 минута
        Отсрочка перезагрузки для запланированных установок 5 минут

        Примечание

        Этот шаг предполагает, что Windows Server Update Services (WSUS) устанавливается и настраивается в среде. Этот шаг можно пропустить, если вы используете другой инструмент для развертывания обновлений программного обеспечения. Кроме того, если общедоступные службы Windows Майкрософт используются только в Интернете, то эти административные рабочие станции больше не получают обновлений.

    12. Настройте входящий брандмауэр, чтобы заблокировать все подключения следующим образом:

      1. Щелкните правой кнопкой мыши Windows брандмауэрс расширенными LDAP://path и > свойствами.

      2. В каждом профиле убедитесь, что брандмауэр включен и входящие подключения настроены на блокировку всех подключений.

      3. Нажмите кнопку ОК, чтобы завершить настройку.

    13. Закройте консоль управления групповыми политиками.

    14. Установите Windows на рабочие станции, дайте каждой рабочей станции те же имена, что и приписаные им учетные записи компьютера, а затем присоединитесь к домену.

    Ограничение доступа администратора к серверам и рабочим станциям

    Использование конфиденциальных учетных записей администраторов для регистрации на менее доверчивых серверах и рабочих станциях — это наиболее оптимальный способ ограничить использование администраторами конфиденциальных учетных записей администраторов. Это ограничение не позволяет администраторам непреднамеренно увеличивать риск кражи учетных данных путем входа на компьютер с более низким доверием.

    Важно!

    Убедитесь, что у вас есть локальный доступ к контроллеру домена или вы создали по крайней мере одну выделенную административную рабочие станции.

    Ограничить доступ к серверам и рабочим станциям с низким доверием с помощью следующих рекомендаций:

    • Минимальный. Запретить администраторам домена иметь логосный доступ к серверам и рабочим станциям. Перед началом этой процедуры определите все OUs в домене, содержащие рабочие станции и серверы. Все компьютеры в неидентифицированных компьютерах не будут ограничивать вход администраторов с конфиденциальными учетными записьми в их учетную запись.

    • Лучше. Ограничение администраторов домена с серверов контроллеров и рабочих станций, не относя их к домену.

    • Ideal. Запретить администраторам серверов вход на рабочие станции в дополнение к администраторам домена.

    Примечание

    Для этой процедуры не связывать учетные записи с OU, которые содержат рабочие станции для администраторов, которые выполняют только административные обязанности, и не предоставляют доступ к Интернету или электронной почте. Дополнительные сведения см. в сайте Create dedicated workstation hosts for administrators

    Ограничение доступа администраторов домена к рабочим станциям (минимум)

    1. В качестве администратора домена откройте консоль управления групповой политикой (GPMC).

    2. Откройте управление групповой политикойи расширь * < > лес*\Домены\\ и затем перекрой <domain> объекты групповой политики.

    3. Правой кнопкой мыши объекты групповой политикии > новые.

    4. В диалоговом окне New GPO назовите GPO, ограничивающее администраторов входом на рабочие станции, и > OK.

    5. Щелкните правой кнопкой мыши Новый GPOи > изменить.

    6. Настройте права пользователей, чтобы запретить локализовку для администраторов домена.

    7. Перейдите к конфигурации компьютера\Политики\Windows Параметры\Локальные политики, а затем нажмите кнопку Назначениеправ пользователей и выполните следующие действия:

      1. Дважды нажмите кнопку Запретить логотип локально, и > определите эти параметры политики.

      2. Нажмите кнопку Добавить пользователяили группу, щелкните Просмотр, Enterprise администраторови > ОК.

      3. Щелкните Добавить пользователя или группу, щелкните Обзор, введите администраторов доменаи > ОК.

        Примечание

        Можно дополнительно добавить все группы, в которых содержатся администраторы серверов, которым необходимо ограничить вход на рабочие станции.

      4. Нажмите кнопку ОК, чтобы завершить настройку.

    8. Настройте права пользователей на отказ в правах на пакетные и сервисные логотипы для администраторов домена следующим образом:

      Примечание

      Завершение этого шага может вызвать проблемы с задачами администратора, которые запускаются в качестве запланированных задач или служб с учетными записями в группе администраторов домена. Практика использования учетных записей администратора домена для выполнения служб и задач на рабочих станциях создает значительный риск атак кражи учетных данных и поэтому должна быть заменена альтернативными средствами для выполнения запланированных задач или служб.

      1. Дважды нажмите кнопку Запретить логотип как пакетное заданиеи > определите эти параметры политики.

      2. Нажмите кнопку Добавить пользователь или групповой > **** просмотр, введите Enterprise администраторови > ОК.

      3. Щелкните Добавить пользователь или > группу Просмотр, введите администраторов доменаи > ОК.

        Примечание

        Можно дополнительно добавить все группы, в которых содержатся администраторы серверов, которым необходимо ограничить вход на рабочие станции.

      4. Дважды нажмите кнопку Запретить логотип в качестве службыи > определите эти параметры политики.

      5. Нажмите кнопку Добавить пользователь или групповой > **** просмотр, введите Enterprise администраторови > ОК.

      6. Щелкните Добавить пользователь или > группу Просмотр, введите администраторов доменаи > ОК.

        Примечание

        Можно дополнительно добавить все группы, в которых содержатся администраторы серверов, которым необходимо ограничить вход на рабочие станции.

    9. Связь GPO с первым OU рабочих станций.

      Перейдите к * < лесу > *\Domains\ <domain> \OU Path, а затем:

      1. Щелкните правой кнопкой мыши OU рабочей станции и нажмите > кнопку Link an Existing GPO.

      2. Выберите только что созданный GPO и > ОК.

        =======

      3. Выберите только что созданный GPO и > ОК.

    10. Проверьте функциональные возможности корпоративных приложений на рабочих станциях в первом OU и уладить все проблемы, вызванные новой политикой.

    11. Ссылка всех остальных OUs, содержащих рабочие станции.

      Однако не создайте ссылку на административный OU рабочих станций, если она создана для административных рабочих станций, предназначенных только для администрирования, и которые не имеют доступа к Интернету или электронной почте. Дополнительные сведения см. в сайте Create dedicated workstation hosts for administrators.

      Важно!

      Если позже вы расширили это решение, не отказывайте в правах на логотип для группы пользователей домена. Группа пользователей домена включает все учетные записи пользователей в домене, включая пользователей, администраторов доменов и Enterprise администраторов.

    Отключение права делегирования учетной записи для конфиденциальных учетных записей администратора

    Хотя учетные записи пользователей по умолчанию не помечены для делегирования, можно доверять учетным записям в домене Active Directory для делегирования. Это означает, что служба или компьютер, которому доверяется делегировать, могут выдать себя за учетную запись, которая подает им проверку подлинности для доступа к другим ресурсам по всей сети.

    Для конфиденциальных учетных записей, например учетных записей, принадлежащих членам групп администраторов, администраторов доменов или Enterprise администраторов в Active Directory, делегация может представлять значительный риск эскалации прав. Например, если учетная запись в группе администраторов домена используется для регистрации на скомпрометированном сервере членов, которому доверяется делегировать, этот сервер может запрашивать доступ к ресурсам в контексте учетной записи администраторов домена и переадрост компромисс этого сервера-члена в компромисс домена.

    Лучше всего настроить объекты пользователей для всех конфиденциальных учетных записей **** в Active Directory, выбрав учетную запись конфиденциальной и не может быть делегирована в соответствии с вариантами учетной записи, чтобы предотвратить делегирование этих учетных записей. **** Дополнительные сведения см. в каталоге Параметр локальных учетных записейпо умолчанию в Active Directory.

    Как и любое изменение конфигурации, протестировать этот включен параметр полностью, чтобы убедиться, что он выполняет правильно, прежде чем реализовать его.

    Защита и управление контроллерами домена

    Это лучшая практика, чтобы строго применять ограничения на контроллеры домена в вашей среде. Это гарантирует, что контроллеры домена:

    1. Запуск только необходимого программного обеспечения

    2. Необходимое программное обеспечение регулярно обновляется

    3. Настроены с соответствующими настройками безопасности

    Одним из аспектов обеспечения безопасности и управления контроллерами домена является обеспечение полной защиты локальных учетных записей пользователей по умолчанию. Важно ограничить и защитить все конфиденциальные учетные записи домена, как описано в предыдущих разделах.

    Так как контроллеры домена хранят хеши паролей учетных данных всех учетных записей в домене, они являются высококлассными целями для вредоносных пользователей. Если контроллеры домена не очень хорошо управляются и защищены с помощью строго введенных ограничений, они могут быть скомпрометированы вредоносными пользователями. Например, злоумышленник может украсть конфиденциальные учетные данные администратора домена из одного контроллера домена, а затем использовать эти учетные данные для атаки на домен и лес.

    Кроме того, установленные приложения и агенты управления на контроллерах домена могут предоставить путь для эскалации прав, которые вредоносные пользователи могут использовать для компрометации службы управления или администраторов этой службы. Инструменты и службы управления, которые организация использует для управления контроллерами доменов и их администраторами, одинаково важны для безопасности контроллеров домена и учетных записей администратора домена. Убедитесь, что эти службы и администраторы будут полностью защищены с равными усилиями.

    См. также

    Еще раз о том, как не сделать из своей сети «решето» / Хабр

    Здравствуйте! Я почти 10 лет работаю в сфере ИТ и ИБ, всегда интересовался практической безопасностью, в настоящее время работаю пентестером. За все время работы я постоянно сталкивался с типовыми ошибками в настройках и дизайне инфраструктуры. Ошибки эти чаще всего досадные, легко устранимые, однако быстро превращают сеть в полигон для взлома. Порой кажется, что где-то специально учат так настраивать, насколько часто они встречались. Это и побудило меня написать данную статью, собрав все самое основное, что может улучшить защищенность.

    В этой статье я не буду рассказывать про использование сложных паролей, максимального ограничения прав доступа, смене учетных записей по умолчанию, обновлению ПО, и других «типовых» рекомендациях. Цель статьи – рассказать о самых частых ошибках в настройках, заставить администраторов и специалистов ИБ задуматься над вопросом – «а все ли в моей сети хорошо?», а также показать, как можно оперативно прикрыть те или иные типовые уязвимости, используя встроенные или бесплатные средства, не прибегая к дополнительным закупкам.

    Инструкций-рецептов намеренно не прикладываю, так как многое ищется очень легко по ключевым словам.


    Не создавайте локальные учетные записи доменными политиками

    Это сильный повтор, но тут нужно повторять и повторять, так как эта ошибка очень частая – не создавайте доменной групповой политикой локальные учетные записи на хостах в домене. Опасность этого действия крайне высокая. Про это много где написано, но написано обычно на ресурсах, сугубо связанных с практической безопасностью, а не ИТ.

    Причина высокой опасности – сведения об этой учетной записи, в том числе ее пароль, хранятся в открытом виде в файле groups.xml, в ресурсе sysvol контроллера домена, который по умолчанию доступен ВСЕМ участникам домена на чтение. Пароль зашифрован, но шифрование симметричное, а ключ один для всех копий Windows, и написан в открытом виде в MSDN. Отсюда следует: любой пользователь может скачать этот файл, и путем простых манипуляций узнать пароль от распространяемой учетной записи. Обычно так распространяется учетная запись с правами администратора, и часто она создается без разбора везде…

    Решение – групповыми политиками добавляйте только доменные учетные записи в локальные группы на хостах. Пример расшифровки такого пароля вручную в ходе пентеста, обратите внимание на количество манипуляций до получения пароля:

    Противодействие угону доменных учетных записей через mimikatz/wce

    Администраторы, не связанные с пентестами и практической ИБ, редко знают про такие утилиты, как mimikatz и wce. Кратко об их работе – обладая правами локального администратора, можно извлечь из оперативной памяти билет доступа Kerberos, хеш пароля и даже сам пароль в открытом виде от учетных записей, которые недавно производили вход на этот хост. А так как администраторы совершают вход часто и много где, это приводит к высокому риску компрометации их полномочий.

    Часто в компаниях есть машины, где по каким-то причинам пользователи работают с правами администратора, и при этом не штате подразделений ИТ и ИБ. Как они получили эти права, это отдельный вопрос, иногда это неизбежное зло. Обычно администраторы в таких случаях видят угрозу установки неавторизованного ПО, заражения вирусами, максимум угрозу запуска кейлоггеров с целью кражи паролей, но не подозревают, что их полномочия доступа уже под угрозой.

    Против этих утилит есть меры разной степени эффективности, например, такие, но часто они не применимы по разным причинам: старая схема AD, «зоопарк» в сети, который дошел до стадии метастаз, слишком большая инфраструктура, где есть слабо контролируемые участки.

    Дополнительно надо отметить, что для атаки в отдельных случаях даже необязательно устанавливать данные утилиты на хост. Пользователь с администраторскими правами может легко снять дамп нужного участка оперативной памяти, и производить все манипуляции вне рабочей сети. Это многократно увеличивает риски компрометации учетных записей более привилегированного пользователя.

    Решение без дополнительных затрат: заводить для управления инфраструктурой даже не 2-3 учетные записи, как принято (надеюсь, у вас так?):

    — для локальной работы;
    — для администрирования серверов и ПК;
    — для контроллеров домена,
    а как минимум 4 учетные записи (а то и больше), в соответствии с условными «зонами доверия» в домене, и не применять их вне своей зоны. То есть, держать отдельные учетные записи:
    — для работы со своей личной машиной;
    — для входа на контроллеры домена и управлением ими.
    — для серверов;
    — для рабочих станций;
    — для удаленных филиалов, если там оказался ваш домен, но при этом вы не уверены, что там происходит в конкретный момент времени;
    — для зоны DMZ, если вдруг доменные хосты оказались в DMZ;
    — если вы частый посетитель клуба анонимных параноиков – разбить эти зоны еще на меньшие группы, либо менять свои пароли очень часто.

    Запрет на ввод «тестовых» хостов в домен

    По схожей причине (см. пункт выше) по возможности лучше не заводить общественные «тестовые» хосты в домен. Такие хосты наиболее часто встречаются в компаниях с подразделениями по разработке софта, «для ускорения» и экономии лицензии они часто не снабжаются антивирусами (которые, кстати, «ловят» нешифрованные mimikatz и wce), а все причастные разработчики и тестировщики имеют на них права администратора, с целью осуществления разных сомнительных действий. Используя свои администраторские права, они могут легко похитить доменные учетные записи других администраторов.

    Детализация прав сервисных учетных записей

    Учетные записи в Windows имеют набор различных прав входа в систему. Это локальный вход, вход в качестве пакетного задания, в качестве службы, и др. В крупном домене всегда есть служебные учетные записи, которые необходимы для массовой работы различного ПО, служб, запуска заданий, и так далее. Обязательно нужно не полениться и минимизировать права данных учетных записей под свою область применения, и явно запретить ненужные полномочия. Это снизит риски быстрого распространения угроз в случае утечки контроля над такой записью.

    Обращение к SMB по именам и запрет использования NTLM

    К файловым ресурсам (SMB) в домене лучше обращаться только через доменное имя, а не через IP. Помимо удобства администрирования, так вы явным образом заставите хост аутентифицироваться по протоколу Kerberos, который хоть и имеет свои недостатки, но является значительно более защищенным, чем протокол NTLMv2, который задействуется при обращении по IP файлового ресурса. Перехват NTLMv2 хеша опасен тем, что можно словарной атакой неспешно восстанавливать пароль пользователя оффлайн, то есть, никак не беспокоя атакуемую инфраструктуру. Очевидно, что это не заметно для администраторов, в отличие онлайн-атак по перебору паролей.

    Касательно протокола NTLM (который без «v2») – он должен быть запрещен. Помимо атак по перебору паролей, можно использовать атаку типа «Pass-the-hash». Эта атака по сути разрешает переотправку хеша NTLM без изменения и попыток подобрать пароль на произвольный хост, где разрешен NTLM. Сам хеш может быть украден из другой сессии в ходе атаки. Если у вас разрешены оба протокола NTLM, возможна ситуация, когда атакующий может понизить предпочтение с NTLMv2 до NTLM, и хост-жертва выберет самую слабую аутентфикацию.

    Будьте внимательны, многие инфраструктуры представляют собой медленно модернизируемый «зоопарк», который с непонятными целями сохраняет старые традиции образца начала 2000х годов, поэтому там возможно все.

    Блокировка механизма WPAD

    Есть два механизма, которые включены по умолчанию, и в совокупности позволяют проводить атаку «человек посередине», причем практически не обнаруживая атакующего. Это механизм автоматического обнаружения прокси через специальное сетевое имя (WPAD), и механизм широковещательного разрешения имен LLMNR.

    Через WPAD некоторое ПО (в домене это чаще всего служба обновлений WSUS и некоторые браузеры) выполняет поиск HTTP прокси, и готово при необходимости прозрачно авторизоваться на нем при помощи NTLM(v2). Таким образом, оно добровольно «выдает» хеш учетной записи, которая инициировала подключение. Его можно в последствии перебирать по словарю, и восстановить пароль. Либо применять атаку «Pass-the-hash», описанную выше, если не отключен NTLM (про это см. пункт выше).

    Устройства выполняют поиск сервера WPAD через DNS, и, если это не сработает, задействуют широковещательный запрос LLMNR или NetBIOS. И тут атакующему уже значительно проще ответить на вопрос хоста, где же находится «правильный» сервер конфигурации прокси. Дополнительный негативный эффект — такой поиск прямо замедляет скорость подключения, так как тратится время на поиск прокси.

    Решение – в групповых политиках запретить и автообнаружение прокси для ПО, и протокол LLMNR. На DNS адрес WPAD (wpad.domain.name) в DNS поставить заглушку. LLMNR это фактически имитация DNS на сегменте сети L2 путем широковещательных запросов. В доменной сети при нормально работающем DNS он не нужен. С NetBIOS все сложнее, он до сих пор используется во многих случаях, и его выключение может обрушить работу, так что здесь все же остается лазейка для навязывания WPAD.

    Включение UAC на максимум

    Не выключайте User Account Control (UAC), а лучше наоборот, установите его на максимум. UAC, конечно, реализован не очень удобно и не информативно, но вы не представляете, как обидно пентестеру получить формальную возможность удаленного выполнения команд от имени пользователя с администраторскими правами, но без фактической возможности выполнения именно привилегированных действий, которые как раз при «обычной» работе надоедают запросами о подтверждении. Обойти UAC или повысить права конечно, возможно, но это лишние препятствия.

    Отключение скрытых файловых ресурсов

    Хотя бы для машин администраторов, «важных» пользователей и серверов обязательно отключайте скрытые ресурсы $ADMIN, C$, D$, и т.д. Это первоочередная излюбленная цель любой сетевой malware и злоумышленников при получении более-менее привилегированных прав в домене.

    Сетевые диски как ярлыки

    Спорное решение, и явно не всем подходит, но был случай, когда это спасло от эпидемии шифровальщиков. По возможности, предоставлять пользователям удаленные общие файловые ресурсы не как сетевые диски, а как ярлыки на рабочем столе. Причина простая – malware иногда перебирает буквы дисков, и при этом не всегда в состоянии найти ресурсы, не подключенные в виде дисков.


    Ревизия содержимого SPF

    Проверьте SPF-запись вашего почтового домена. А потом проверьте ее еще раз.

    Многие недооценивают значимость этой записи, и при этом не понимают работу протокола SMTP. SPF запись показывает, какие ресурсы могут легитимно отправить почту от имени вашего домена. Для частного случая отправки писем на ваш домен от вашего домена (то есть, для внутренней переписки внутри вашего же домена) эта запись показывает, кто (т.е. конкретные хосты) может отправлять письма без авторизации, от имени любого пользователя. Чаще всего здесь делают две незначительные на вид ошибки, приводящие к огромным проблемам.

    1) «~all» в конце SPF записи почтового домена. Не знаю почему, но большинство публичных мануалов рекомендуют оставить такую настройку. Такая настройка дает письму статус «не прошло проверку, но помечено как опасное и все равно доставлено» при отправке почты от ресурсов, прямо не указанных в SPF домена. Это говорит получателю, что решение о легитимности отправляемой почты перекладывается на жесткость настроек его спам-фильтра и других механизмов фильтрации. Далее, есть вероятность, что ваш собственный спам-фильтр настроен мягко (особенно часто это бывает с «публичными» пользователями компании, которые боятся «прозевать» письма), и это приводит к тому, что любой хост Интернета отправит вам же письмо от вашего же домена, и с некоторой вероятностью оно пройдет во входящие, а не в спам. Очень забавно видеть пользователей и даже ИТ-администраторов, беспрекословно выполняющих срочные указания от «важного начальства» из подобных поддельных писем при пентестах с социальной составляющей. Конечно же, не исключена ситуация со слабыми спам-фильтрами и у ваших контрагентов, и тогда уже вы будете делать им заманчивые предложения без своего ведома.

    SPF для подавляющего большинства компаний должна содержать только –all в конце, разумеется, после тщательной сверки своего содержимого.

    2) Бывает, что по ошибке в SPF корпоративного домена оказываются внешние адреса, через которые пользователи компании выходят в интернет. Последствия понятны – возможность нелегитимной отправки писем от кого угодно из корпоративного домена, куда угодно. Обычно администраторы в таких ситуациях говорят – «но у нас же есть авторизация на почте», напрочь забывая про сам механизм протокола SMTP.

    Один раз видел ситуацию, когда в SPF оказался выход гостевого WiFi. Это сразу дает возможность злоумышленнику слать легитимную почту от целевого домена, даже без получения привилегированного доступа во внутреннюю сеть компании-жертвы.

    Для борьбы с такими атаками дополнительно поможет система подписей DKIM, показывающая, кто есть на самом деле отправитель, но ее внедрение процесс не моментальный, поэтому начать стоит именно с настроек SPF – ужесточить ее и сделать полную ревизию по разрешенным адресам.


    Организуйте DMZ

    Организуйте DMZ, и навсегда перестаньте «пробрасывать» порты из Интернет в основную сеть. Правильная DMZ эта та, ресурсы в которой с двух сторон закрыты файерволами (как от внутренней сети, так и от Интернет), а трафик разрешен крайне выборочно, и только минимально необходимый. На мой взгляд, настоящий специалист по ИБ должен думать, что его хост из DMZ по уже взломан, и оценивать риски исходя из этого. На такие мысли наводит тот факт, что в DMZ очень часто оказываются нестандартные приложения, которые несут специфичную бизнес-логику, ставятся подрядчиками на потоке, как вариант – делаются на заказ и очень плохо проверяются, например, на банальные для WEB уязвимости. Штатный специалист по ИБ чаще всего в состоянии создать DMZ, но не в состоянии проверить приложения на уязвимости. Исходя из этого и нужно действовать.

    Типичный вариант правильно организованной DMZ и общий принцип движения трафика. Стрелки – направления инициации трафика из/в DMZ.

    Бюджетный дизайн DMZ для параноиков, в которой каждый ресурс находится в отдельной изолированной сети, и ресурсы не «кушают» много трафика:

    Что касается «проброса» портов, то помимо риска «взлома» сервиса, существует неявный риск сбора информации о внутренней сети. Например, в ходе пентестов зачастую видно порты RDP, которые были «скрыты» путем смены со стандартного 3389 на какой-нибудь 12345. Разумеется, они легко обнаруживаются сканерами, легко идентифицируются именно как RDP, но помимо простого обнаружения, они могут, например, предоставить информацию об имени компьютера и домена (путем просмотра сертификата службы RDP), или информацию о логинах пользователей.

    Полностью изолированный гостевой WiFi

    Гостевой WiFi должен быть максимально изолирован от основной сети (отдельный VLAN, отдельный провод от маршрутизатора интернет до точки доступа, и т.д.). Дополнительно, по возможности, выключайте гостевой WiFi в нерабочее время по расписанию на оборудовании.

    Здесь есть один нюанс. Многие правильно выделяют гостевой WiFi в отдельный изолированный VLAN, но при этом зачем-то выдают клиентам адреса DNS серверов Active Directory. Наиболее рациональное оправдание – «чтобы работали ресурсы из DMZ по внутренним адресам». Однако, это является уязвимостью, и это хорошо помогает злоумышленнику при несанкционированном анализе внутреннего устройства сети, ведь запросы к DNS (PTR по внутренним диапазонам IP) обычно никак не ограничиваются.

    Решение – создать легкий внутренний DNS сервер специально для WiFi, либо использовать публичные DNS в Интернет.

    Не создавайте «корпоративный» WiFi на едином Preshared-ключе

    Это очень частая проблема. Один ключ от WiFi часто живет годами, ведь «нельзя же беспокоить пользователей лишний раз». Это неизбежно снижает безопасность такой конфигурации до нуля с течением времени. Основные причины – текучка сотрудников в организации, кражи устройств, работа malware, возможность перебора пароля сети.

    Решение: авторизация на WiFi только через WPA2-Enterprise, для того, чтобы каждый пользователь имел свои персональные, легко блокируемые учетные данные, которые контролируются централизованно. Если внутренняя сеть на самом деле не нужна для WiFi устройств, а нужен только Интернет, нужно сделать WiFi по типу гостевого. Сам дизайн аутентификации WPA2-Enterprise это предмет отдельной статьи.

    Правильная сегментация сети

    Максимально сегментируйте сеть на VLAN, максимально ограничьте широковещательный трафик. Об этом пишут все мануалы по дизайну сети, почему-то это редко кем соблюдается, особенно в малом и среднем сегменте компаний, но это крайне полезно как с точки зрения удобства администрирования, так и с точки зрения безопасности.

    В любом случае обязательно нужно держать ПК пользователей отдельно от серверов, иметь отдельный VLAN для management-интерфейсов устройств (сетевых устройств, интерфейсов iLO/IMPI/IP KVM, и т.д.). Все это снизит возможности подделки адресов, упростит настройку сетевого доступа, снизит вероятность атак за счет широковещательных запросов, а значит повысит и стабильность работы.

    На мой взгляд как безопасника (но уже чувствую летящие помидоры от сетевиков), количество VLAN для пользователей больше зависит от количества коммутаторов доступа и от количества условных групп пользователей по административному признаку, а не от самого количества пользователей. Имеет смысл сделать количество пользовательских VLAN на уровне числа коммутаторов доступа (даже если они собраны в стек). Так очень сильно ограничится широковещательный трафик, не будет «размазывания» одного VLAN по множеству коммутаторов доступа. Это не сделает для сети лишней работы, так как чаще всего трафик пользователей идет либо в серверный сегмент, либо в Интернет (т.е. в любом случае в сторону уровня ядра сети или уровня распределения), а не между самими пользователями. В таком случае легче отлаживать сеть, и предотвращать атаки, связанные с широковещательными пакетами.

    Для малых сетей ситуация сильно отличается – зачастую сегментировать нечего, сеть слишком мала. Однако, во всех организациях, где появляется минимальных набор серверов, обычно вместе с серверами закупаются управляемые коммутаторы, иногда с функциями L3. Почему-то они используются как просто коммутаторы, зачастую даже без минимальной настройки, хотя настройка L3 для простой маршрутизации между 2-3 сетями очень проста.

    Защита от ARP spoofing и поддельных DHCP серверов

    Два механизма, на языке технологий Cisco: DHCP snooping и ARP Inspection, помогут расстроить разных шутников-пользователей и реальных злоумышленников. После их внедрения вы получите предотвращение появлений ложных DHCP серверов в сети (которые могут появиться как по ошибке — кто-то перепутал настольный «домашний» маршрутизатор форм-фактора «мыльница советская» с такого же типа коммутатором, так и в результате атаки), и атак типа «человек посередине» через ARP протокол. В сочетании с малыми размерами VLAN (предыдущий пункт) это отлично снизит возможный ущерб.

    Если такие функции невозможно настроить, как минимум стоит указать жесткую привязку MAC адреса шлюза сети с физическим портом коммутатора.

    Port security

    Если кабельная сеть и оборудование позволяют, настройте на коммутаторах доступа port security. Это хорошо защищает, хоть и не полностью, от подключения «левых» и «лишних» устройств, несанкционированного перемещения компьютеров в пространстве.

    Противодействие «левым» устройствам

    Даже с описанными выше защитными мерами (port security, dhcp snooping, arp inpection), возможно появление «левых устройств», причем, как показывает практика, наиболее вероятное устройство в этом случае – «домашний» роутер с функцией «клонировать MAC-адрес компьютера на внешний интерфейс». Поэтому, есть следующий шаг развития сетевой тирании – 802.1x. Однако, это уже серьезное решение, требующее хорошего планирования, поэтому возможен более простой способ выявления самовольных роутеров (именно выявления, а не пресечения). Здесь хорошо поможет анализ трафика на промежуточном звене сети на предмет параметра протокола IP — TTL. Можно сделать span порт на коммутаторе, зеркалирующий трафик в сервер со снифером, и анализировать этот трафик на наличие пакетов с аномальным TTL. В этом поможет банальный tcpdump/Wireshark. Трафик с таких роутеров будет иметь TTL меньше на 1, чем легальный трафик.

    Либо же, можно настроить правило фильтрации по конкретным TTL, если сетевые устройства это позволяют. Конечно, от серьезных злоумышленников это не спасет, но чем больше препятствий, тем лучше для защищенности.

    Удаленный доступ

    При организации удаленного подключения к сети забудьте про протокол PPTP. Он, конечно, настраивается быстро и легко, но помимо наличия уязвимостей в самом протоколе и его составляющих, он плох тем, что очень хорошо виден сканерами сети (из-за работы на TCP на одном и том же порте), зачастую плохо проходит через NAT за счет транспорта на GRE, от чего на него жалуются пользователи, и по своему дизайну не содержит второго фактора аутентификации.

    Чтобы внешнему злоумышленнику было удобнее работать, аутентификацию на таком VPN обычно привязывают к доменным учетным записям, не вводя второй фактор аутентификации, что часто и эксплуатируется.

    Решение-минимум: использовать протоколы на UDP (либо свободно инкапсулирующиеся в UDP), которые не так видны при сканировании, с предварительной аутентификацией по PSK, либо по сертификату (L2TP/IPSec, OpenVPN, разные вендорские реализации IPSec). Обязательно нужно настроить перечень адресов и портов внутри сети, куда можно получить доступ, используя VPN.

    Запретите прямой произвольный доступ в интернет для «пользовательской» сети

    Прямой выход в интернет для пользователей – это зло, хотя с удешевлением каналов Интернет его становится все больше и больше, особенно в малых и средних компаниях. Многие администраторы ограничивают исходящие порты для пользователей на минимальный набор, вроде 80, 443, пытаясь экономить полосу. С точки зрения Malware и злоумышленников, это ничем не отличается от свободного доступа в Интернет.

    На мой взгляд, всегда нужен прокси-сервер, пусть без кеширования и авторизации, даже в самых маленьких сетях, и запрет на прямой выход в интернет для пользователей. Основная причина — множество всяческой malware обращается на свои центры управления именно по HTTP(S), либо по чистому TCP c популярными портами (80/443/25/110…), но при этом она зачастую не в состоянии обнаружить настройки прокси в системе.

    Возьмите под контроль IPv6

    Если вы не интересовались использованием IPv6, повторите все действия по фильтрации трафика применительно к IPv6, либо запретите его. Ваша инфраструктура может неявно использовать его, но вы можете и не знать об этом. Это опасно проблемами несанкционированного получения доступа в сети.

    Трафик в межфилиальных сетях

    Если у вас под контролем крупная сеть с удаленными филиалами, и в ней настроен Site-to-Site VPN, не поленитесь максимально ограничить трафик, который идет к вам в центр, причем именно на центральном оборудовании, а не в филиалах. Не воспринимайте каналы с удаленными филиалами как «свою родную» сеть. Обычно в компаниях филиалы защищены меньше центра, и большинство атак начинаются именно с филиалов, как с «доверенных» для центра сетей.

    Ограничение icmp ping

    Ограничьте список адресов, которые могут «пинговать» важные сервисы. Это снизит обнаружение ваших хостов, хоть и ненамного. При этом не забудьте, что ping – это не весь протокол icmp, а только один вид сообщений в icmp, и не нужно его (icmp) запрещать целиком. По крайней мере, вам точно будут нужны для корректного взаимодействия со всеми сетями некоторые сообщения видов Destination Unreachable. Не создавайте полным запретом ICMP на своих маршрутизаторах так называемую MTU Discovery Black Hole.


    Сертификаты SSL для всего и везде

    Не ленитесь защищать шифрованием все сервисы, куда можно пристроить SSL/TLS. Для хостов из домена Active Directory можно настроить AD Certificate Services, либо распространять сертификаты служб через групповые политики. Если нет денег для защиты публичных ресурсов, воспользуйтесь бесплатными сертификатами, например, от startssl.

    Для себя, т.е. администраторов, всегда можно пользоваться легким самодельным удостоверяющим центром, например, easy-rsa, либо самоподписанными сертификатами. Вы же заметите, что на вашем внутреннем администраторском ресурсе внезапно возникла ошибка доверия к ранее одобренному сертификату?

    Если вам кажется, что вашему сайту-визитке ничего не угрожает, то надо учесть, что шифрование спасет вас не только от кражи учетных данных, но и от подмены трафика. Все наверно видели на сайтах с доступом по открытому HTTP заботливо встроенную операторами связи рекламу? А если вам встроят не рекламу, а «правильный» скрипт?

    Wildcard SSL сертификат

    Если вы стали счастливым обладателем wildcard-сертификата (для доменов «*.ваш-домен»), не торопитесь его распространять по всем публичным серверам. Сделайте себе отдельный сервер (или кластер), к примеру, на Nginx, который будет «разгружать» от шифрования входящий трафик. Так вы сильно снизите количество каналов утечки закрытого ключа вашего сертификата, и в случае его компрометации, не будете менять его сразу на множестве сервисов.

    Linux-хосты чаще всего видно в роли веб-серверов, классической связки LAMP (Linux + Apache + Mysql + PHP, или любой другой скриптовый язык), которую чаще всего и ломают за счет дыр в веб-приложении, поэтому опишу самый минимум для данной связки, который относительно легко внедряется, и не требует большого опыта настройки и отладки (вроде мер типа SELinux/AppArmor).

    Доступ к серверу

    Не поленитесь запретить вход по ssh для root, настроить авторизацию только по сертификатам и сместить порт ssh куда-нибудь далеко со стандартного 22.

    Если на сервере не один администратор, активируйте для каждого механизм sudo, а для root используйте пароль, который никто не знает, кроме бумаги, которая все время лежит в конверте и в сейфе. В этом случае вход через ssh по паролям категорически нельзя разрешать.
    Если же наоборот, администратор один, то деактивируйте sudo (особенно в том случае, если у вас по каким-то причинам сохранился вход через ssh по паролю), и для администраторских задач используйте аккаунт root.

    Ну и конечно, классика — не работайте под рутом.

    Iptables

    Не поленитесь настроить iptables, даже если вам кажется, что iptables ничего не решит, например, если на сервере из сетевых приложений работают только Web и ssh, которые и так должны быть разрешены. В случае получения минимальных полномочий злоумышленником на сервере, iptables поможет предотвратить дальнейшее распространение атаки.

    Правильно настроенный iptables, как и любой другой файервол, разрешает только минимально необходимое (включая исходящие соединения через цепочку правил output). На случай минимальной конфигурации Web-сервера в iptables будет не более 10 строк. По сложности, это значительно проще настройки firewall для доменного хоста Windows, где можно нечаянно запретить динамические RPC порты, доменные службы и другие важные для работы коммуникации, так как не всегда очевидна даже последовательность коммуникации. Поэтому, для настройки iptables под web-сервер не нужны особые знания по сетям, и можно настроить файервол значительно легче.

    Противодействие повышению прав в случае взлома

    Отправьте Apache работать в chroot. Как вариант, сделайте отдельные разделы в файловой системе для /var/ и /tmp, смонтируйте их с флагами noexec,nosuid. Так вы защитите сервер от исполнения локальных эксплоитов в бинарном виде, которые могут повысить права атакующего. Запретите исполнение интерпретаторов скриптовых языков типа Perl, Python для «других пользователей» (chmod o-x), куда относится веб-сервер, если это не требуется веб-серверу и другим службам. Чем меньше в системе «других служб», а соответственно, пользователей под них, тем проще это сделать.

    Пара слов о настройке web-сервера на примере Apache

    Здесь перечислено то, что может сделать системный администратор для защиты веб-приложения, даже не зная специфики веб-программирования.

    — Запретите наличие VirtualHost, который отвечает на запросы вида http(s)://ip-адрес/, даже если приложение на сервере одно. Так вы значительно снизите возможность обнаружения приложения.
    — Запретите в конфигурации apache вывод ошибок (опции ServerSignature Off, ServerTokens Prod), это затруднит определение версии ОС и Apache.
    — Установите через mod_headers опции для Cookies HTTP_only и Secure для вашего веб-приложения, даже если у вас веб-приложение делает это само. Это защитит вас от перехвата Cookies через прослушку нешифрованного HTTP и части атак XSS.
    — Отключите вывод ошибок на страницы сайта в конфиге языка сайта (это в первую очередь касается PHP). Это затруднит атакующему изучение слабых мест вашего веб-приложения.
    — Контролируйте, чтобы индексы директорий были выключены (опция «–Indexes» в настройках сайта или файлов .htaccess).
    — Дополнительно сделайте basic-авторизацию на директорию с администраторской панелью сайта.
    — Установите принудительное перенаправление с 80 порта на 443, если у вас есть настроенный TLS. Запретите устаревшие алгоритмы SSL (SSLProtocol all -SSLv2 -SSLv3), слабые алгоритмы шифрования и вариант его полного отсутствия через директиву SSLCipherSuite. Это защитит от атак на «понижение» уровня шифрования.

    Проверить свою настройку SSL можно, например, через https://www.ssllabs.com/ssltest/

    Настройте аудит системы

    Включите и настройте auditd по показательным событиям (создание пользователя, изменение прав, изменение конфигурации) с отправкой уведомлений на удаленный сервер. Все взломы не производятся одномоментно, поэтому периодически осматривая логи, пусть даже и вручную, можно обнаружить подозрительную активность. Дополнительно это поможет при «разборе полетов» в случае инцидентов.

    Ставьте только минимально необходимое в системе

    ОС на основе Linux хороши тем, что можно гибко выключать/удалять ненужные компоненты. С точки зрения безопасности, в первую очередь, это относится к сетевым и локальным демонам. Если вы видите, что на вашем только что установленном сервере работают демоны, которые явно или косвенно не относятся к задаче данного сервера, задумайтесь – действительно ли они нужны. Для большинства случаев это всего лишь стандартная установка, и они легко и без последствий выключаются и/или удаляются. Например, не всем нужен RPC, который включен по умолчанию в Debian. Не ждите, пока под такие сервисы найдут уязвимости и сделают эксплойт, а вы забудете обновиться.

    Даже не обладая навыками специалиста по тестированию на проникновение, можно дополнительно включить в самоконтроль минимальные «пентестерские» действия. Вам помогут:

    Сканеры безопасности

    Проверьте действительную видимость открытых портов при помощи nmap/zenmap. Иногда это дает результаты, которых вы не ожидаете, например, в случае ошибочной настройки правил фильтрации трафика, или в случае, когда сеть большая и сегментация персонала по зонам ответственности также очень значительна.

    Проверьте хосты в сети на типовые уязвимости при помощи сканера OpenVAS. Результаты также бывают неожиданными, особенно в крупных сетях, где обычно существует хаос разной степени. Главное при использовании сканеров безопасности – отличать ложные срабатывания от настоящих уязвимостей.

    Все перечисленные утилиты бесплатны. Делайте это регулярно, не забывайте обновлять сканеры.

    Брутфорс учетных записей

    Проверяйте учетные записи сотрудников на предмет слабых паролей. В минимальной комплектации в этом поможет файловый ресурс, доступный любому доменному пользователю после авторизации, и утилита THC Hydra. Сформируйте словари из паролей, которые подходили бы под вашу парольную политику, но при этом были бы простые, вроде «123QAZxsw». Количество слов в каждом – не более числа допустимых попыток авторизации в домене, минус 2-3 для запаса. И пропустите через брутфорс все учетные записи домена, уверен, найдете много интересного.

    Разумеется, на эти проверки заранее нужно получить официальное (желательно, «бумажное») разрешение от руководства, иначе это будет походить на попытку неавторизованного доступа к информации.

    Напоследок, пентестерская байка касательно паролей. Осенью 2015 года мы делали социальный пентест с применением фишинга – выманивали доменные пароли. У двух попавшихся пользователей пароль был «Jctym2015» («Осень2015»). Посмеялись, забыли. В ноябре 2015 года делаем подобный пентест в другой организации, никак не связанной с первой, опять те же пароли, и опять сразу у нескольких пользователей. Начали что-то подозревать, нашли в одной оранжевой социальной сети такое вот руководство к действию:



    Надеюсь, кому-нибудь эти простые советы помогут существенно защитить свою инфраструктуру. Конечно, есть еще масса различных технических и организационных тонкостей, касающихся вопросов «как надо делать», и «как делать не надо», но все они могут быть раскрыты только в рамках конкретной инфраструктуры.

    Права доступа — Вебмастер. Справка

    Примечание. Если права на управление сайтом подтверждены в Яндекс Почте для домена, права на сайт в Яндекс Вебмастере подтвердятся автоматически.

    Если у вас несколько сайтов, то подтвердить права необходимо для каждого сайта в отдельности. Если необходимо подтвердить права на поддомены сайта, вы можете воспользоваться упрощенной схемой.

    Добавьте сайт в Вебмастер и на странице выберите способ подтверждения:

    HTML-файл в корневом каталоге (рекомендуемый)
    1. Создайте HTML-файл с заданным уникальным именем и содержимым, и разместите его в корневом каталоге вашего сайта.

    2. Убедитесь, что файл содержит только указанный выше код. Если в HTML-файл автоматически добавляется дополнительный контент, например, элементы дизайна, проверьте настройки вашего сервера. Если вам не удается создать файл с указанным содержимым, используйте другой способ подтверждения прав.

      Если сайт работает по IPv4 и IPv6, убедитесь, что по всем IP-адресам сайт отвечает корректно.

    3. Нажмите кнопку Проверить.

    TXT-запись в DNS
    1. Добавьте в DNS-записи сайта запись типа TXT, содержащую указанное уникальное значение.

    2. Проверьте, что адрес сайта в Вебмастере, для которого вы подтверждаете права, совпадает с адресом сайта, для которого создаете DNS-запись. Например, адреса с префиксом www и без него считаются разными сайтами. Записи могут обновляться достаточно долго.

      Если сайт работает по IPv4 и IPv6, убедитесь, что по всем IP-адресам сайт отвечает корректно.

    3. Когда DNS-записи обновятся, нажмите кнопку Проверить.

    Также вы можете получить права на управление сайтом от другого пользователя с помощью делегирования прав. Таким образом, права на сайт могут получить несколько человек. Список пользователей, подтвердивших права, отображается на странице .

    Если вы не можете воспользоваться ни одним из указанных способов, но имеете непосредственное отношение к сайту, обратитесь к сотруднику, который отвечает за поддержку сайта.

    Чтобы добавить в Вебмастер сайт и его поддомены, нужно подтвердить права на основной домен и на его поддомены. Для подтверждения прав на основной домен воспользуйтесь одним из способов (с помощью HTML-файла, метатега и т. д.), на поддомены — используйте код, сформированный для основного домена. Рассмотрим пример подтверждения прав с помощью HTML-файла:

    1. Добавьте основной домен сайта в Вебмастер.

    2. Добавьте в корневой каталог сайта HTML-файл с кодом подтверждения, сформированный в Вебмастере.

    3. Добавьте в сервис поддомен сайта.

    4. Добавьте в корневой каталог поддомена HTML-файл, сформированный для основного домена.

    Аналогично можно подтвердить права на поддомен с помощью метатега и TXT-записи в DNS.

    Упрощенное подтверждение прав недоступно при делегировании — если права на управление основным доменом сайта были вам делегированы другим пользователем, то при добавлении поддоменов в сервис вам необходимо подтвердить права на управление отдельно для каждого поддомена.

    1. В Вебмастере перейдите на страницу Права доступа и выберите сайт.

    2. Нажмите кнопку Сбросить права. Затем выберите новый метод и следуйте инструкциям.

    Вопросы и ответы по Amazon Route 53 – Amazon Web Services

    Вопрос. Что такое обработка отказа сервиса DNS?

    Переброс сервиса DNS включает в себя два этапа: проверка работоспособности и собственно переброс. Проверка работоспособности представляет собой автоматический запрос, отправляемый приложению через Интернет для проверки его доступности и работоспособности. Можно настроить аналогичные способы проверок работоспособности для типичных запросов пользователей, таких как запрос веб-страницы с некоторого адреса URL. При использовании переброса сервиса DNS сервис Route 53 возвращает ответы только для тех ресурсов, которые работоспособны и доступны. Благодаря этому ваши конечные пользователи будут перенаправлены с отказавших или неработоспособных компонентов вашего приложения.

    Вопрос. Как начать использовать функцию обработки отказа сервиса DNS?

    Подробные инструкции по началу работы вы найдете в руководстве разработчика Amazon Route 53. Настроить функцию переброса сервиса DNS можно также из консоли управления Route 53.

    Вопрос. Поддерживается ли при обработке отказа переключение сервиса DNS на балансировщики нагрузки сервиса Elastic Load Balancing (ELB)?

    Да, вы можете настроить переброс сервиса DNS на балансировщики нагрузки ELB. Для переброса сервиса DNS на адрес балансировщика ELB нужно создать запись псевдонима, указывающую на балансировщик нагрузки ELB, и для параметра Evaluate Target Health задать значение true. Route 53 автоматически выполняет проверку работоспособности ваших балансировщиков ELB, и вам не требуется делать этого самостоятельно. Вам также не требуется связывать ресурсную запись балансировщика ELB с самостоятельно созданной проверкой работоспособности. Сервис Route 53 автоматически свяжет эту запись с проверками работоспособности, создаваемыми от вашего имени. Проверка работоспособности ELB также определяет работоспособность серверных инстансов, на которых работают данные балансировщики ELB. Подробные сведения об использовании функции переброса сервиса DNS с конечными точками ELB см. в Руководстве разработчика по Amazon Route 53.

    Вопрос. Можно ли настроить резервный сайт, который будет использоваться только в случае неработоспособности основного?

    Да. Можно использовать переброс сервиса DNS для поддержки резервного сайта (например, статичного сайта, развернутого в корзине Amazon S3) и переключения на него в случае, если основной сайт станет недоступным.

    Вопрос. Для каких типов записей DNS можно выполнять проверку работоспособности Route 53?

    Проверить можно любой тип записи, поддерживаемый сервисом Route 53, кроме записей SOA и NS.

    Вопрос. Можно ли выполнить проверку работоспособности URL сервера, если его IP-адрес неизвестен?

    Да. Можно настроить переброс сервиса DNS для балансировщиков Elastic Load Balancers и корзин Amazon S3 с помощью Консоли Amazon Route 53. При этом необязательно создавать собственную проверку работоспособности. Для таких типов конечных точек сервис Route 53 автоматически создает и управляет проверками работоспособности вместо пользователя. Они используются, когда пользователь создает запись псевдонима, указывающую на ELB или корзину Amazon S3, и включает в этой записи параметр Evaluate Target Health.

    При создании проверки работоспособности для любых других конечных точек можно указать либо имя DNS точки (например, www.example.com), либо IP-адрес.

    Вопрос. Один из моих URL-адресов находится за пределами AWS. если он расположен не на платформе AWS?

    Да. Можно настроить проверку работоспособности для компонентов приложения, находящихся за пределами сервисом AWS, аналогично созданию записи ресурса Route 53, которая указывает на внешний адрес. В случае сбоя можно переключиться на любую конечную точку в любом местоположении. Например, прежняя версия приложения может работать в центре обработки данных за пределами сервисов AWS, а резервный инстанс этого приложения – в сервисах AWS. Можно настроить проверки работоспособности прежней версии приложения, находящейся за пределами сервисов AWS, и, если проверка не срабатывает, автоматически выполнить переброс на резервный инстанс в сервисах AWS.

    Вопрос. Если в ситуации переброса имеется несколько работоспособных конечных точек, будет ли сервис Route 53 учитывать уровень нагрузки на них во время принятия решения о том, куда направить трафик с неработоспособной конечной точки?

    Нет. Сервис Route 53 не принимает решений о маршрутизации на основании нагрузки или доступных ресурсов конечных точек. Пользователь должен самостоятельно убедиться, что резервные конечные точки обладают достаточными ресурсами и масштабируемостью, чтобы обработать трафик, перенаправленный из отказавшей конечной точки.

    Вопрос. Сколько последовательных проверок работоспособности URL сервера должны закончиться неудачей, чтобы он считался неработоспособным?

    По умолчанию предел составляет три проверки работоспособности. Если конечная точка не пройдет три проверки подряд, сервис Route 53 посчитает ее неработоспособной. Однако сервис Route 53 продолжит выполнять проверки работоспособности и направлять трафик к этой конечной точке, когда она пройдет три проверки работоспособности подряд. Предел можно устанавливать в диапазоне 1–10 проверок. Дополнительную информацию см. в Руководстве разработчика по Amazon Route 53.

    Вопрос. Каким образом будет выполнен обратный переброс сервиса DNS после возобновления работоспособного состояния конечной точки?

    Если отказавшая конечная точка пройдет заданное количество последовательных проверок работоспособности, указываемое при создании проверки (по умолчанию – три проверки подряд), сервис Route 53 автоматически восстановит записи DNS. Трафик будет снова направляться к этой конечной точке без необходимости вмешательства пользователя.

    Вопрос. С какой периодичностью выполняется проверка работоспособности?

    По умолчанию проверки работоспособности выполняются каждые 30 секунд. Можно выбрать более короткий промежуток в 10 секунд.

    При выборе более короткого промежутка сервис Route 53 сможет быстрее определить отказ конечной точки, в результате чего переброс сервиса DNS и перенаправление трафика произойдут быстрее.

    Частые проверки работоспособности приводят к увеличению запросов к конечной точке в три раза, что следует учитывать, если конечная точка имеет ограниченные ресурсы для обработки сетевого трафика. См. страницу цен сервиса Route 53 для получения сведений о ценах на использование частых проверок работоспособности и других дополнительных функций. Дополнительную информацию см. в Руководстве разработчика по Amazon Route 53.

    Вопрос. Какую нагрузку на конечную точку (например, на веб-сервер) создает процедура проверки работоспособности?

    Каждая проверка работоспособности выполняется из нескольких местоположений по всему миру. Количество и набор местоположений настраивается, вы можете изменять количество местоположений, из которых проводится каждая из проверок работоспособности, с помощью консоли Amazon Route 53 или API. Каждое местоположение проверяет URL сервера независимо от других через заданный пользователем интервал (по умолчанию – 30 секунд, альтернативный ускоренный вариант – 10 секунд). Учитывая текущее стандартное количество местоположений, выполняющих проверку работоспособности, URL сервера будет получать запрос каждые 2–3 секунды при стандартном интервале проверок и один или несколько запросов в секунду при более частом интервале проверок.

    Вопрос. Проверки работоспособности Route 53 следуют после выполнения переадресации HTTP?

    Нет. Проверки работоспособности сервиса Route 53 рассматривают коды HTTP 3xx как успешный результат, поэтому они не переходят по перенаправлениям. Это может приводить к неожиданным результатам для проверок на совпадение строк. Проверка работоспособности выполняет поиск указанной строки в теле перенаправления. Поскольку проверка работоспособности не выполняет переход, она не отправляет запрос в указанное в перенаправлении местоположение и не получает от него ответ. Для проверок на совпадение строк рекомендуется не настраивать проверку работоспособности на местоположение, которое возвращает перенаправление HTTP.

    Вопрос. Какова последовательность событий при выполнении переброса?

    При неуспешной проверке работоспособности и перебросе сервиса произойдут следующие события:

    Сервис Route 53 проводит проверку работоспособности приложения. В этом примере приложение не пройдет три проверки, что вызовет следующую последовательность событий.

    Сервис Route 53 отключает записи ресурсов в отказавшей конечной точке и больше не обслуживает их. Это и есть этап переброса, в результате которого трафик начнет перенаправляться в работоспособную конечную точку или несколько точек.

    Вопрос. Требуется ли настроить время жизни (TTL) для записей, для того чтобы использовать функцию переброса сервиса DNS?

    Промежуток времени, в течение которого преобразователь адресов DNS сохраняет в кэше ответ, определяется значением, которое называют временем жизни. Этот параметр определяется для каждой записи. При использовании переброса сервиса DNS рекомендуется устанавливать параметр TTL в значение не более 60 секунд, чтобы минимизировать время, необходимое для остановки направления трафика в отказавшую конечную точку. При настройке переброса сервиса DNS для конечных точек ELB и Amazon S3 следует использовать записи псевдонимов с фиксированным значением TTL 60 секунд. Для этих типов конечных точек нет необходимости настраивать значения TTL, чтобы можно было использовать переброс сервиса DNS.

    Вопрос. Что произойдет, если все конечные точки окажутся неработоспособными?

    Сервис Route 53 может переключиться только на работоспособную конечную точку. Если в наборе записей ресурса отсутствуют работоспособные конечные точки, сервис Route 53 будет работать так, будто все проверки работоспособности проходят успешно.

    Вопрос. Можно ли использовать функцию переброса сервиса DNS, не применяя маршрутизацию на основе задержки (LBR)?

    Да. Можно настроить переброс сервиса DNS без применения LBR. В частности, можно использовать переброс сервиса DNS для настройки простых сценариев переброса, в которых сервис Route 53 контролирует основной веб-сайт и переключается на резервный, когда основной станет недоступным.

    Вопрос. Можно ли настроить выполнение проверки работоспособности сайта, доступ к которому осуществляется только по HTTPS?

    Да. Сервис Route 53 поддерживает проверки работоспособности по протоколам HTTPS, HTTP и TCP.

    Вопрос. Выполняется ли при проверке работоспособности URL сервера с доступом по HTTPS проверка сертификата SSL?

    Нет. Проверки работоспособности по протоколу HTTPS проверяют, можно ли подключиться к конечной точке по протоколу SSL и возвращает ли она действительный код ответа HTTP. Но такие проверки не проверяют SSL-сертификат, возвращаемый конечной точкой.

    Вопрос. Поддерживается ли при проверке работоспособности конечной точки с доступом по HTTPS индикация имени сервера (SNI)?

    Да, при проверке работоспособности по протоколу HTTPS поддерживается индикация имени сервера (SNI).

    Вопрос. Как с помощью проверок работоспособности убедиться, что веб-сервер возвращает корректный контент?

    Проверки работоспособности сервиса Route 53 можно использовать для проверки наличия требуемой строки в ответе сервера, выбрав опцию Enable String Matching. Такой вариант можно применять для проверки, содержит ли передаваемый сервером HTML-контент ожидаемую строку. Также можно создать отдельную страницу состояния и проверять состояние сервера с точки зрения внутренних процессов и операций. Дополнительную информацию см. в Руководстве разработчика по Amazon Route 53.

    Вопрос. Как просмотреть состояние созданной проверки работоспособности?

    Текущее состояние проверки работоспособности, а также причину, по которой она не была пройдена, можно посмотреть в консоли Amazon Route 53 или с помощью API сервиса Route 53.

    Кроме того, все результаты проверки работоспособности публикуются в виде метрик Amazon CloudWatch. Они содержат работоспособность конечной точки, а также задержку ее ответа. Текущее и предыдущие состояния проверки работоспособности можно найти на графике метрики Amazon CloudWatch, расположенном во вкладке проверок работоспособности консоли Amazon Route 53. Для метрики можно также создать предупреждения Amazon CloudWatch, чтобы сервис отправлял оповещения при изменении состояния проверки работоспособности.

    Метрики Amazon CloudWatch для всех проверок работоспособности Amazon Route 53 также доступны в консоли Amazon CloudWatch. Каждая метрика Amazon CloudWatch включает параметр Health Check ID (например, 01beb6a3-e1c2-4a2b-a0b7-7031e9060a6a), который используется для определения, какую проверку отслеживает метрика.

    Вопрос. Как можно измерить производительность URL сервера в приложении с помощью Amazon Route 53?

    Проверка работоспособности Amazon Route 53 включает дополнительную функцию измерения задержки, которая возвращает данные о времени, в течение которого конечная точка отвечает на запрос. При включении функции измерения задержки проверка работоспособности Amazon Route 53 создаст дополнительные метрики Amazon CloudWatch, отображающие время, которое потребовалось средствам проверки работоспособности Amazon Route 53, чтобы установить соединение и начать передачу данных. Amazon Route 53 возвращает отдельный набор метрик задержки для всех регионов AWS, в которых выполняется проверка работоспособности Amazon Route 53.

    Вопрос. Каким образом можно получать оповещения о том, что проверки работоспособности некоторой конечной точки заканчиваются неудачей?

    Каждая проверка работоспособности сервиса Route 53 выводит результаты в метрике CloudWatch. Можно настроить широкий диапазон оповещений и автоматических действий CloudWatch, срабатывающих, когда значение проверки работоспособности выходит за указанный предел. Сначала в консоли Route 53 или CloudWatch настройте предупреждение CloudWatch для метрики проверки работоспособности. Затем добавьте действие оповещения и укажите электронный адрес или тему SNS, на которые следует отправить оповещение. Полную информацию см. в Руководстве разработчика по Amazon Route 53.

    Вопрос. Я создал(а) предупреждение для проверок работоспособности, но требуется повторно отправить письмо подтверждения для связанной с ним темы SNS. Как это сделать?

    Письмо с подтверждением можно повторно отправить из консоли SNS. Чтобы найти название темы SNS, связанной с конкретным предупреждением, щелкните название предупреждения в консоли Route 53 и посмотрите в поле «Send notification to» (Отправить уведомление для).

    В консоли SNS разверните список тем и выберите тему для предупреждения. Откройте поле Create Subscription, выберите протокол электронной почты и введите требуемый электронный адрес. Нажатие на кнопку «Subscribe» приведет к повторной отправке письма с подтверждением.

    Вопрос. Я применяю обработку отказа сервиса DNS с переключением на балансировщики нагрузки сервиса Elastic Load Balancing (ELB). Как просмотреть их состояние?

    Для настройки переброса сервиса DNS с конечными точками ELB рекомендуется использовать записи псевдонимов с опцией Evaluate Target Health. При использовании этой опции не нужно создавать собственные проверки работоспособности для конечных точек ELB, поэтому сервис Route 53 не создает для них отдельные метрики CloudWatch.

    Эти метрики работоспособности балансировщика нагрузки можно получить двумя способами. Во-первых, сервис Elastic Load Balancing создает метрики, указывающие работоспособность балансировщика нагрузки и связанных с ним работоспособных инстансов. Подробную информацию о настройке метрик CloudWatch для балансировщиков ELB см. в Руководстве разработчика по ELB. Во-вторых, можно создать собственную проверку работоспособности для параметра CNAME, предоставляемого балансировщиком ELB, например elb-example-123456678.us-west-2.elb.amazonaws.com. Эту проверку нельзя будет использовать для переброса сервиса DNS (потому что опция Evaluate Target Health уже предоставляет переброс сервиса DNS), но вы сможете просмотреть метрики CloudWatch для данной проверки и создать предупреждения для оповещения о непройденной проверке.

    Полную информацию об использовании переброса сервиса DNS с конечными точками ELB см. в Руководстве разработчика по Amazon Route 53.

    Вопрос. Для записей псевдонимов, указывающих на корзины веб-сайта Amazon S3: какие параметры проходят проверку работоспособности, если задать значение true для опции Evaluate Target Health?

    Amazon Route 53 выполняет проверку работоспособности сервиса Amazon S3 во всех регионах AWS. При включении функции Evaluate Target Health для псевдонима, указывающего на корзину веб-сайта Amazon S3, Amazon Route 53 проверит состояние сервиса Amazon S3 в регионе AWS, в котором расположена эта корзина. Amazon Route 53 не проверяет существование соответствующей корзины и наличие действительного содержимого веб-сайта; Amazon Route 53 способен выполнить только аварийный переброс в другое местоположение, если сервис Amazon S3 будет недоступен в регионе AWS, в котором расположена эта корзина.

    Вопрос. Какова стоимость использования метрик CloudWatch при выполнении проверок работоспособности в Route 53?

    Метрики CloudWatch для проверок работоспособности Route 53 бесплатны.

    Вопрос. Можно ли настраивать переброс сервиса DNS на основе внутренних метрик работоспособности, таких как нагрузка на ЦПУ, состояние сети или памяти?

    Да. Проверки работоспособности сервисом Amazon Route 53 на основе метрик позволяют выполнять переброс сервиса DNS на основе любой метрики, доступной в рамках Amazon CloudWatch, включая предоставляемые AWS метрики и пользовательские метрики ваших приложений. Если в Amazon Route 53 создана проверка работоспособности на основе метрик, такая проверка возвращает результат «состояние неработоспособности» всякий раз, когда связанная с проверкой метрика Amazon CloudWatch переходит в состояние предупреждения.

    Проверки работоспособности на основе метрик удобно применять для переброса сервиса DNS для URL серверов, которые нельзя проверить стандартной проверкой работоспособности сервиса Amazon Route 53, таких как инстансы внутри виртуального частного облака (VPC), имеющего только частные IP-адреса Используя функцию Amazon Route 53 расчетной проверки работоспособности можно также осуществить более сложные сценарии обработки отказов, сочетая результаты проверок работоспособности на основе метрик с результатами стандартных проверок работоспособности сервисом Amazon Route 53, которые делают запросы в отношении URL сервера от сети средств проверки работоспособности по всему миру. Например, вы можете создать конфигурацию проверки работоспособности, при которой URL сервера будет признан неработоспособным в случае, если недоступна его публичная веб-страница либо его неработоспособность показывают такие внутренние метрики, как загрузка ЦПУ, объем сетевого входящего/исходящего трафика или количество дисковых операций чтения и записи.

    Вопрос. Мой веб-сервер получает от сервиса Route 53 запросы проверки работоспособности, которых я не создавал(а). Как прекратить подобные запросы?

    Бывает, что клиенты сервиса Amazon Route 53 создают запросы проверки работоспособности с указанием IP-адреса или домена, которые им не принадлежат. Если ваш веб-сервер получает нежелательные запросы HTTP(s), которые исходят от сервиса Amazon Route 53 и связаны с проверкой работоспособности, просим сообщить об этой нежелательной проверке, заполнив форму, и мы свяжемся с нашим клиентом для решения данной проблемы.

    Вопрос. Если указать доменное имя в качестве целевого для проверки работоспособности, по какому протоколу Amazon Route 53 будет выполнять проверку, IPv4 или IPv6?

    Если указать имя домена в качестве URL сервера для проверки работоспособности сервисом Amazon Route 53, Amazon Route 53 найдет адрес IPv4 этого доменного имени и подключится к URL сервера по протоколу IPv4. Amazon Route 53 не будет пытаться найти адрес IPv6 для URL серверов, определенных именем домена. Если нужно выполнить проверку работоспособности по протоколу IPv6, а не IPv4, следует в качестве типа адреса/URL сервера вместо «domain name» выбрать «IP address» и ввести в поле «IP address» значение адреса IPv6.

    Вопрос. Где можно узнать диапазоны адресов IPv6 для серверов DNS и средств проверки работоспособности Amazon Route 53?

    AWS в настоящее время публикует свои диапазоны IP-адресов в формате JSON. Чтобы узнать текущие диапазоны, загрузите файл .json по следующей ссылке. Если доступ к этому файлу осуществляется программно, примите меры к тому, чтобы приложение загружало файл только после успешной проверки сертификата TLS, возвращаемого сервером AWS.

    Загрузить: ip-ranges.json

    Чтобы определить диапазоны IP-адресов серверов Route 53, ищите в поле «service» следующие значения.

    Серверы DNS сервиса Route 53: искать «ROUTE53»

    Средства проверки работоспособности сервиса Route 53: искать «ROUTE53_HEALTHCHECKS»

    Дополнительную информацию см. в разделе Диапазоны IP-адресов AWS в общих справочных материалах по Amazon Web Services.

    Имейте в виду, что диапазоны адресов IPv6 на настоящий момент могут отсутствовать в этом файле. Для справки: диапазоны адресов IPv6 для средств проверки работоспособности сервиса Amazon Route 53 перечислены ниже.

    2600:1f1c:7ff:f800::/53
    2a05:d018:fff:f800::/53
    2600:1f1e:7ff:f800::/53
    2600:1f1c:fff:f800::/53
    2600:1f18:3fff:f800::/53
    2600:1f14:7ff:f800::/53
    2600:1f14:fff:f800::/53
    2406:da14:7ff:f800::/53
    2406:da14:fff:f800::/53
    2406:da18:7ff:f800::/53
    2406:da1c:7ff:f800::/53
    2406:da1c:fff:f800::/53
    2406:da18:fff:f800::/53
    2600:1f18:7fff:f800::/53
    2a05:d018:7ff:f800::/53
    2600:1f1e:fff:f800::/53
    2620:107:300f::36b7:ff80/122
    2a01:578:3::36e4:1000/122
    2804:800:ff00::36e8:2840/122
    2620:107:300f::36f1:2040/122
    2406:da00:ff00::36f3:1fc0/122
    2620:108:700f::36f4:34c0/122
    2620:108:700f::36f5:a800/122
    2400:6700:ff00::36f8:dc00/122
    2400:6700:ff00::36fa:fdc0/122
    2400:6500:ff00::36fb:1f80/122
    2403:b300:ff00::36fc:4f80/122
    2403:b300:ff00::36fc:fec0/122
    2400:6500:ff00::36ff:fec0/122
    2406:da00:ff00::6b17:ff00/122
    2a01:578:3::b022:9fc0/122
    2804:800:ff00::b147:cf80/122

    Инструкция по установке и настройке DFS и DFS Replication в домене Active Directory

    Что такое Active Directory?

    Наличие общих каталогов для доступа к определенным документам и файлам является важной проблемой в бизнес-среде. Системным администраторам необходимо найти удобное решение для обмена общими данными.

    Distributed File System (DFS) (Распределенная файловая система) — это продукт Microsoft для упрощенного доступа пользователей к географически распределенным файлам. DFS позволяет создавать деревья виртуальных каталогов, объединяющих общие папки по всей сети.

    Существует два типа DFS:

    1. Namespace DFS (Пространство имен DFS) — виртуальное дерево, объединяющее общие папки из всей сети. Возможно настроить несколько пространств имен DFS.
    2. Replication DFS (Репликация DFS) — создает реплицированную общую папку и отслеживает изменения в файлах.

    Установка

    В нашем случае установка производится на контроллер домена.

    Откройте панель управления сервером Windows и найдите Add roles and features (Добавить роли и компоненты).

    В качестве типа установки укажите Role-based or feature-based installation (Установка ролей и компонентов).

    Выберите ваш сервер из пула серверов.

    В следующем окне отметьте DFS Namespaces и DFS Replication.

    Затем установите выбранные компоненты.

    Настройка пространства имен DFS

    Прежде, чем перейти к добавлению пространства имен, необходимо создать хотя бы одну сетевую директорию на любом из серверов, добавленных в домен. В данном примере используется созданная на том же контроллере домена папка с общим доступом.

    Для предоставления общего доступа к папке достаточно выбрать опцию Общий Доступ (Give access to) при нажатии на папку правой кнопкой мыши и выбрав доменного пользователя или группу пользователей, которым будет предоставлен доступ. В результате будет отображен путь до сетевой папки вида \\MachineName\Folder.

    Теперь можно приступить непосредственно к добавлению пространства имен DFS.

    В меню Start выберите Windows Administrative Tools -> DFS Managment.

    Или в поиске введите команду dfsmgmt.msc.

    Для создания нового пространства имен выберите в правой части экрана New Namespace.

    Введите имя сервера, на которым установлена роль DFS.

    Введите любое удобное для вас название. Нажмите кнопку Edit Settings.

    В открывшемся окне необходимо настроить права доступа к пространству имен для пользователей сети. Чтобы предоставить полный доступ, нажмите кнопку Customize.

    Выберите полный контроль с помощью галочек и нажмите Apply -> Ok.

    На следующем шаге выберите Domain-based namespace, т.к. используются доменные службы Active Directory (AD DS).

    Примечание:

    • Domain-based namespace — обладает преимуществами, позволяет обеспечить доступность пространства имен с помощью нескольких серверов пространств имен, скрывает имя сервера пространства имен от пользователей, упрощает замену сервера пространства имен или перенос пространства имен на другой сервер.
    • Stand-alone namespace — позволяет создать распределенную файловую систему не используя доменные службы Active Directory (AD DS), увеличивает доступность namespace с помощью отказоустойчивого кластера.

    Проверьте конфигурацию и нажмите Create.

    В результате вы увидите сообщение об успешном создании пространства имен.

    Добавление нового каталога в существующее пространство имен DFS

    Чтобы создать каталог в созданном namespace, откройте DFS Management, выберите нужное пространство и справа в вертикальном меню нажмите New Folder.

    Введите удобное имя каталога и нажмите Add, для того чтобы связать каталог DFS и созданную ранее сетевую папку на сервере-участнике домена.

    Введите имя сетевого каталога и кликнете OK.

    Нажмите OK для сохранения изменений.

    Подключиться к данному пространству с другого сервера можно набрав в проводнике следующий адрес:

    \\<доменное имя>\<имя пространства имен>

    Например:

    \\instructions.1cloud.ru\DFS

    Настройка DFS-репликации на Windows Server

    Чтобы настроить репликацию данных, необходимо установить роль DFS Replication на втором добавленном в домен сервере.

    Теперь создадим на втором сервере сетевую папку, в которую будут реплицироваться данные из директории, добавленной ранее на контроллер домена.

    На сервере пространства имен (в данном случае на Контроллере Домена)откройте DFS Management, выберете нужное пространство и справа в вертикальном меню кликните Add Folder Target.

    Введите имя добавленного в домен сервера и созданного на предыдущем шаге сетевого каталога.OK.

    Откроется окно с вопросом о создании новой группы репликаций. Нажмите Yes.

    Откроется настройщик Replication DFS. Проверьте имя группы репликации и каталога, который вы собираетесь реплицировать.

    На следующем шаге проверьте пути сетевых директорий.

    Выберите основной узел, с которого данные будут реплицироваться в другие директории, являющиеся частью пространства имен DFS.

    В качестве типа топологии выбираем Full mesh — чтобы изменения на одном узле, сразу же появлялись и на остальных.

    На последнем шаге необходимо настроить расписания реплицирования данных. В первом случае репликация производится моментально, во втором можно настроить удобное расписание.

    Проверьте настройки и нажмите Create.

    В результате вы увидите сообщение об успешном создании группы репликаций.

    На данное системное сообщение кликните OK левой кнопкой мыши.

    Откройте каталог, в который будет происходить первоначальная репликация данных и нажмите Continue. Произойдет первоначальная репликация данных.

    На этом настройка распределенной файловой системы и репликации данных в ней закончена.

     

    P. S. Другие инструкции:


    Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.

    Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

    Управление доступом | Документация ClickHouse

    1. Эксплуатация

    ClickHouse поддерживает управление доступом на основе подхода RBAC.

    Объекты системы доступа в ClickHouse:

    Вы можете настроить объекты системы доступа, используя:

    Рекомендуется использовать SQL-воркфлоу. Оба метода конфигурации работают одновременно, поэтому, если для управления доступом вы используете конфигурационные файлы, вы можете плавно перейти на SQL-воркфлоу.

    Внимание

    Нельзя одновременно использовать оба метода для управления одним и тем же объектом системы доступа.

    Чтобы посмотреть список всех пользователей, ролей, профилей и пр., а также все привилегии, используйте запрос SHOW ACCESS.

    Использование

    По умолчанию сервер ClickHouse предоставляет аккаунт пользователя default, для которого выключена функция SQL-ориентированного управления доступом, но у него есть все права и разрешения. Аккаунт default используется во всех случаях, когда имя пользователя не определено. Например, при входе с клиента или в распределенных запросах. При распределенной обработке запроса default используется, если в конфигурации сервера или кластера не указаны свойства user и password.

    Если вы начали пользоваться ClickHouse недавно, попробуйте следующий сценарий:

    1. Включите SQL-ориентированное управление доступом для пользователя default.
    2. Войдите под пользователем default и создайте всех необходимых пользователей. Не забудьте создать аккаунт администратора (GRANT ALL ON *.* TO admin_user_account WITH GRANT OPTION).
    3. Ограничьте разрешения для пользователя default и отключите для него SQL-ориентированное управление доступом.

    Особенности реализации

    • Вы можете выдавать разрешения на базы данных или таблицы, даже если они не существуют.
    • При удалении таблицы все связанные с ней привилегии не отзываются. Если вы затем создадите новую таблицу с таким же именем, все привилегии останутся действительными. Чтобы отозвать привилегии, связанные с удаленной таблицей, необходимо выполнить, например, запрос REVOKE ALL PRIVILEGES ON db.table FROM ALL.
    • У привилегий нет настроек времени жизни.

    Аккаунт пользователя

    Аккаунт пользователя — это объект системы доступа, позволяющий авторизовать кого-либо в ClickHouse. Аккаунт содержит:

    • Идентификационную информацию.
    • Привилегии, определяющие область действия запросов, которые могут быть выполнены пользователем.
    • Хосты, которые могут подключаться к серверу ClickHouse.
    • Назначенные роли и роли по умолчанию.
    • Настройки и их ограничения, которые применяются по умолчанию при входе пользователя.
    • Присвоенные профили настроек.

    Привилегии присваиваются аккаунту пользователя с помощью запроса GRANT или через назначение ролей. Отозвать привилегию можно с помощью запроса REVOKE. Чтобы вывести список присвоенных привилегий, используется выражение SHOW GRANTS.

    Запросы управления:

    Применение настроек

    Настройки могут быть заданы разными способами: для аккаунта пользователя, для назначенных ему ролей или в профилях настроек. При входе пользователя, если настройка задана для разных объектов системы доступа, значение настройки и ее ограничения применяются в следующем порядке (от высшего приоритета к низшему):

    1. Настройки аккаунта.
    2. Настройки ролей по умолчанию для аккаунта. Если настройка задана для нескольких ролей, порядок применения не определен.
    3. Настройки из профилей настроек, присвоенных пользователю или его ролям по умолчанию. Если настройка задана в нескольких профилях, порядок применения не определен.
    4. Настройки, которые по умолчанию применяются ко всему серверу, или настройки из профиля по умолчанию.

    Роль

    Роль — это контейнер объектов системы доступа, которые можно присвоить аккаунту пользователя.

    Роль содержит:

    • Привилегии
    • Настройки и ограничения
    • Список назначенных ролей

    Запросы управления:

    Привилегии можно присвоить роли с помощью запроса GRANT. Для отзыва привилегий у роли ClickHouse предоставляет запрос REVOKE.

    Политика доступа к строкам

    Политика доступа к строкам — это фильтр, определяющий, какие строки доступны пользователю или роли. Политика содержит фильтры для конкретной таблицы, а также список ролей и/или пользователей, которые должны использовать данную политику.

    Запросы управления:

    Профиль настроек

    Профиль настроек — это набор настроек. Профиль настроек содержит настройки и ограничения, а также список ролей и/или пользователей, по отношению к которым применяется данный профиль.

    Запросы управления:

    Квота

    Квота ограничивает использование ресурсов. См. Квоты.

    Квота содержит набор ограничений определенной длительности, а также список ролей и/или пользователей, на которых распространяется данная квота.

    Запросы управления:

    Включение SQL-ориентированного управления доступом

    • Настройте каталог для хранения конфигураций.

      ClickHouse хранит конфигурации объектов системы доступа в каталоге, установленном в конфигурационном параметре сервера access_control_path.

    • Включите SQL-ориентированное управление доступом как минимум для одного аккаунта.

      По умолчанию управление доступом на основе SQL выключено для всех пользователей. Вам необходимо настроить хотя бы одного пользователя в файле конфигурации users.xml и присвоить значение 1 параметру access_management.

    Ограничения домена при совместном использовании содержимого SharePoint и OneDrive — SharePoint в Microsoft 365

    • Статья
    • 3 минуты на чтение
    • 16 участников

    Полезна ли эта страница?

    да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Если вы хотите ограничить общий доступ к другим организациям (либо на уровне организации, либо на уровне сайта), вы можете ограничить общий доступ по домену.

    Ограничение доменов

    Вы можете ограничить домены, разрешив только указанные вами домены или разрешив все домены, кроме заблокированных.

    Для ограничения доменов на уровне организации

    1. Перейдите к Sharing в центре администрирования SharePoint и войдите в систему с учетной записью, имеющей права администратора для вашей организации.

    2. В разделе Дополнительные параметры для внешнего общего доступа установите флажок Ограничить внешний общий доступ по домену , а затем выберите Добавить домены .

    3. Чтобы создать белый список (самый строгий), выберите Разрешить только определенные домены ; чтобы заблокировать только указанные вами домены, выберите Блокировать определенные домены .

    4. Перечислите домены (максимум 3000) в соответствующем поле в формате domain.com. Если указано несколько доменов, введите каждый домен в новой строке.

      Примечание

      Подстановочные знаки не поддерживаются для записей домена.

    5. Выбрать Сохранить .

    Вы также можете настроить параметр для всей организации с помощью командлета PowerShell Set-SPOTenant.

    Вы также можете ограничить домены на уровне семейства веб-сайтов.Обратите внимание на следующие соображения:

    • В случае конфликтов конфигурация всей организации имеет приоритет над конфигурацией семейства веб-сайтов.

    • Если настроен белый список для всей организации, вы можете настроить белый список только на уровне семейства веб-сайтов. Белый список семейства веб-сайтов должен быть подмножеством белого списка организации.

    • Если настроен черный список для всей организации, вы можете настроить либо белый, либо черный список на уровне семейства веб-сайтов.

    • Для отдельных семейств сайтов OneDrive этот параметр можно настроить только с помощью командлета Windows PowerShell Set-SPOSite.

    Для ограничения доменов для сайта

    1. Перейдите на страницу Активные сайты в центре администрирования SharePoint и войдите в систему с учетной записью, имеющей права администратора для вашей организации.

    2. Выберите сайт, на котором вы хотите ограничить домены.

    3. На вкладке Политики в разделе Внешний общий доступ выберите Изменить .

    4. В разделе Дополнительные параметры для внешнего общего доступа установите флажок Ограничить внешний общий доступ по домену , а затем выберите Добавить домены .

    5. Выберите Разрешить только определенные домены для создания списка разрешений (наиболее строгие) или чтобы заблокировать только указанные вами домены, выберите Блокировать определенные домены .

    6. Перечислите домены (максимум 500) в соответствующем поле, используя формат домена .ком. Если указано несколько доменов, введите каждый домен в новой строке.

      Примечание

      Подстановочные знаки не поддерживаются для записей домена.

    7. Выберите Сохранить , а затем снова выберите Сохранить .

      Примечание

      Чтобы настроить параметр семейства веб-сайтов для семейств веб-сайтов, которые не отображаются в этом списке (например, для сайтов, подключенных к группе, или отдельных семейств веб-сайтов OneDrive), необходимо использовать командлет PowerShell Set-SPOSite.

    Обмен опытом

    После того, как вы ограничите общий доступ доменом, вот что вы увидите, когда поделитесь документом:

    • Обмен контентом с доменами электронной почты, которые не разрешены. Если вы попытаетесь поделиться содержимым с гостем, чей домен адреса электронной почты не разрешен, появится сообщение об ошибке, и совместное использование будет запрещено.

      (Если пользователь уже находится в вашем каталоге, вы не увидите ошибку, но он будет заблокирован, если попытается получить доступ к сайту.)

    • Совместное использование файлов OneDrive с гостями в запрещенных доменах. Если пользователь попытается поделиться файлом OneDrive с гостем, чей домен электронной почты не разрешен, появится сообщение об ошибке, и общий доступ будет запрещен.

    • Обмен контентом с разрешенными доменами электронной почты. Пользователи смогут успешно делиться содержимым с гостем. Появится всплывающая подсказка, сообщающая им, что гость находится за пределами их организации.

    Аудит пользователей и управление жизненным циклом

    Как и в любом сценарии общего доступа к экстрасети, важно учитывать жизненный цикл ваших гостей, как отслеживать их действия и, в конечном итоге, как архивировать сайт. Дополнительную информацию см. в разделе Планирование сайтов экстрасети SharePoint для бизнеса (B2B).

    См. также

    Обзор внешнего общего доступа

    Экстранет для партнеров с Microsoft 365

    Set-SPOTenant

    Реализация административных моделей с наименьшими привилегиями | Документы Майкрософт

    • Статья
    • 40 минут на чтение
    • 15 участников

    Полезна ли эта страница?

    да Нет

    Любая дополнительная обратная связь?

    Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

    Представлять на рассмотрение

    В этой статье

    Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

    Следующая выдержка из Руководства по планированию безопасности учетных записей администраторов, впервые опубликованного 1 апреля 1999 г.:

    «Большинство учебных курсов и документации, связанных с безопасностью, обсуждают реализацию принципа наименьших привилегий, однако организации редко следуют ему.Принцип прост, и его правильное применение значительно повышает вашу безопасность и снижает риск. Принцип гласит, что все пользователи должны входить в систему с учетной записью, имеющей абсолютный минимум разрешений, необходимых для выполнения текущей задачи, и ничего более. Это обеспечивает защиту от вредоносного кода, среди прочих атак. Этот принцип применяется к компьютерам и пользователям этих компьютеров. «Одна из причин, по которой этот принцип так хорошо работает, заключается в том, что он заставляет вас проводить некоторые внутренние исследования.Например, вы должны определить права доступа, которые действительно нужны компьютеру или пользователю, а затем реализовать их. Многим организациям эта задача поначалу может показаться очень трудоемкой; тем не менее, это важный шаг для успешной защиты вашей сетевой среды. «Вы должны предоставить всем пользователям-администраторам домена их привилегии в соответствии с концепцией наименьших привилегий. Например, если администратор входит в систему с привилегированной учетной записью и непреднамеренно запускает вирусную программу, вирус получает административный доступ к локальному компьютеру и ко всему домен.Если бы вместо этого администратор вошел в систему с непривилегированной (неадминистративной) учетной записью, областью поражения вируса был бы только локальный компьютер, поскольку он запускается как пользователь локального компьютера. «В другом примере учетные записи, которым вы предоставляете права администратора на уровне домена, не должны иметь повышенные права в другом лесу, даже если между лесами существуют доверительные отношения. Эта тактика помогает предотвратить масштабный ущерб, если злоумышленнику удастся скомпрометировать один управляемый лес. ● Организации должны регулярно проверять свою сеть для защиты от несанкционированного повышения привилегий.

    Следующая выдержка из комплекта ресурсов по безопасности Microsoft Windows, впервые опубликованного в 2005 г.:

    «Всегда думайте о безопасности с точки зрения предоставления наименьшего количества привилегий, необходимых для выполнения задачи. Если приложение, имеющее слишком много привилегий, должно быть скомпрометировано, злоумышленник может расширить атаку за пределы того, что было бы, если бы приложение имел наименьшее количество возможных привилегий.Например, изучите последствия того, что сетевой администратор непреднамеренно откроет вложение электронной почты, которое запускает вирус.Если администратор вошел в систему с учетной записью администратора домена, вирус будет иметь права администратора на всех компьютерах в домене и, следовательно, неограниченный доступ почти ко всем данным в сети. Если администратор вошел в систему, используя локальную учетную запись администратора, вирус будет иметь права администратора на локальном компьютере и, таким образом, сможет получить доступ к любым данным на компьютере и установить вредоносное программное обеспечение, например, программное обеспечение для регистрации нажатий клавиш на компьютере. Если администратор вошел в систему, используя обычную учетную запись пользователя, вирус будет иметь доступ только к данным администратора и не сможет установить вредоносное программное обеспечение.Используя наименьшие привилегии, необходимые для чтения электронной почты, в этом примере потенциальная область взлома значительно снижается».

    Проблема привилегий

    Принципы, описанные в предыдущих выдержках, не изменились, но при оценке установок Active Directory мы неизменно обнаруживаем чрезмерное количество учетных записей, которым были предоставлены права и разрешения, намного превышающие те, которые необходимы для выполнения повседневной работы. Размер среды влияет на исходное количество чрезмерно привилегированных учетных записей, но не на пропорцию — каталоги среднего размера могут иметь десятки учетных записей в самых высокопривилегированных группах, в то время как большие установки могут иметь сотни или даже тысячи.За некоторыми исключениями, независимо от сложности навыков и арсенала злоумышленника, злоумышленники обычно идут по пути наименьшего сопротивления. Они усложняют свои инструменты и подходят только тогда, когда более простые механизмы выходят из строя или им мешают защитники.

    К сожалению, путь наименьшего сопротивления во многих средах оказался чрезмерным использованием учетных записей с широкими и глубокими привилегиями. Широкие привилегии — это права и разрешения, которые позволяют учетной записи выполнять определенные действия в большом поперечном разрезе среды — например, сотрудникам службы поддержки могут быть предоставлены разрешения, позволяющие им сбрасывать пароли для многих учетных записей пользователей.

    Глубокие привилегии — это мощные привилегии, которые применяются к узкому сегменту населения, например, предоставление инженеру прав администратора на сервере, чтобы он мог выполнять ремонт. Ни широкие, ни глубокие привилегии не обязательно опасны, но когда многим учетным записям в домене постоянно предоставлены широкие и глубокие привилегии, если только одна из учетных записей скомпрометирована, ее можно быстро использовать для перенастройки среды в соответствии с целями злоумышленника или даже для разрушать большие сегменты инфраструктуры.

    Атаки с передачей хэша, которые представляют собой тип атаки с кражей учетных данных, распространены повсеместно, поскольку инструменты для их выполнения находятся в свободном доступе и просты в использовании, а также потому, что многие среды уязвимы для атак. Атаки с передачей хеша, однако, не являются настоящей проблемой. Суть проблемы двоякая:

    1. Злоумышленнику обычно несложно получить глубокие привилегии на одном компьютере, а затем широко распространить эти привилегии на другие компьютеры.
    2. Обычно в вычислительной среде слишком много постоянных учетных записей с высокими уровнями привилегий.

    Даже если атаки с передачей хеша будут устранены, злоумышленники просто будут использовать другую тактику, а не другую стратегию. Вместо того чтобы внедрять вредоносное ПО, содержащее инструменты для кражи учетных данных, они могут внедрять вредоносное ПО, регистрирующее нажатия клавиш, или использовать любое количество других подходов для захвата учетных данных, которые действуют во всей среде. Независимо от тактики, цели остаются прежними: учетные записи с широкими и глубокими привилегиями.

    Предоставление чрезмерных привилегий встречается не только в Active Directory в скомпрометированных средах.Когда в организации выработалась привычка предоставлять больше привилегий, чем требуется, это обычно встречается во всей инфраструктуре, как описано в следующих разделах.

    В Active Directory

    В Active Directory часто обнаруживается, что группы EA, DA и BA содержат чрезмерное количество учетных записей. Чаще всего группа EA организации содержит наименьшее количество участников, группы DA обычно содержат множитель числа пользователей в группе EA, а группы администраторов обычно содержат больше участников, чем совокупность других групп.Часто это происходит из-за убеждения, что администраторы каким-то образом «менее привилегированы», чем DA или EA. Хотя права и разрешения, предоставляемые каждой из этих групп, различаются, их следует фактически считать равноправными группами, поскольку член одной из них может сделать себя членом двух других.

    На рядовых серверах

    Когда мы извлекаем данные о членстве в локальных группах администраторов на рядовых серверах во многих средах, мы обнаруживаем, что членство варьируется от нескольких локальных и доменных учетных записей до десятков вложенных групп, которые при развертывании обнаруживают сотни и даже тысячи учетных записей с локальными учетными записями. Права администратора на серверах.Во многих случаях доменные группы с большим количеством членов вложены в локальные группы администраторов рядовых серверов, не принимая во внимание тот факт, что любой пользователь, который может изменить членство в этих группах в домене, может получить административный контроль над всеми системами, на которых группа имеет доступ. был вложен в локальную группу администраторов.

    На рабочих станциях

    Хотя на рабочих станциях обычно значительно меньше участников в локальных группах администраторов, чем на рядовых серверах, во многих средах пользователям предоставляется членство в локальной группе администраторов на их персональных компьютерах.Когда это происходит, даже если UAC включен, эти пользователи представляют повышенный риск для целостности своих рабочих станций.

    Важно

    Вам следует тщательно обдумать, требуются ли пользователям права администратора на их рабочих станциях, и если да, то лучшим подходом может быть создание отдельной локальной учетной записи на компьютере, который является членом группы администраторов. Когда пользователям требуется повышение прав, они могут предоставить учетные данные этой локальной учетной записи для повышения, но, поскольку учетная запись является локальной, ее нельзя использовать для компрометации других компьютеров или доступа к ресурсам домена.Однако, как и для любых локальных учетных записей, учетные данные для локальной привилегированной учетной записи должны быть уникальными; если вы создаете локальную учетную запись с одинаковыми учетными данными на нескольких рабочих станциях, вы подвергаете компьютеры атакам с передачей хэша.

    В приложениях

    В атаках, целью которых является интеллектуальная собственность организации, учетные записи, которым были предоставлены мощные привилегии в приложениях, могут быть нацелены на кражу данных. Хотя учетным записям, имеющим доступ к конфиденциальным данным, могут не предоставляться повышенные привилегии в домене или операционной системе, учетные записи, которые могут управлять конфигурацией приложения или получать доступ к информации, предоставляемой приложением, представляют риск.

    В хранилищах данных

    Как и в случае с другими целями, злоумышленники, пытающиеся получить доступ к интеллектуальной собственности в виде документов и других файлов, могут нацеливаться на учетные записи, контролирующие доступ к хранилищам файлов, учетные записи, имеющие прямой доступ к файлам, или даже группы или роли, которые иметь доступ к файлам. Например, если файловый сервер используется для хранения контрактных документов и доступ к документам предоставляется с помощью группы Active Directory, злоумышленник, который может изменить членство в группе, может добавить в группу скомпрометированные учетные записи и получить доступ к контракту. документы.В случаях, когда доступ к документам предоставляется такими приложениями, как SharePoint, злоумышленники могут нацеливаться на приложения, как описано ранее.

    Уменьшение привилегий

    Чем крупнее и сложнее среда, тем сложнее ею управлять и защищать. В небольших организациях пересмотр и снижение привилегий может быть относительно простым делом, но каждый дополнительный сервер, рабочая станция, учетная запись пользователя и приложение, используемые в организации, добавляют еще один объект, который необходимо защитить.Поскольку обеспечить надлежащую защиту каждого аспекта ИТ-инфраструктуры организации может быть сложно или даже невозможно, вам следует сосредоточить усилия в первую очередь на учетных записях, привилегии которых создают наибольший риск, которые обычно являются встроенными привилегированными учетными записями и группами в Active Directory, и привилегированные локальные учетные записи на рабочих станциях и рядовых серверах.

    Защита учетных записей локальных администраторов на рабочих станциях и рядовых серверах

    Хотя этот документ посвящен защите Active Directory, как обсуждалось ранее, большинство атак на каталог начинаются с атак на отдельные хосты.Невозможно предоставить полные рекомендации по защите локальных групп в рядовых системах, но следующие рекомендации могут помочь вам защитить учетные записи локальных администраторов на рабочих станциях и рядовых серверах.

    Защита учетных записей локальных администраторов

    Во всех версиях Windows, находящихся в настоящее время в основной поддержке, локальная учетная запись администратора по умолчанию отключена, что делает учетную запись непригодной для атак с передачей хэша и других атак кражи учетных данных. Однако в доменах, содержащих устаревшие операционные системы или в которых включены локальные учетные записи администратора, эти учетные записи можно использовать, как описано выше, для распространения компрометации между рядовыми серверами и рабочими станциями.По этой причине следующие элементы управления рекомендуются для всех учетных записей локальных администраторов в системах, присоединенных к домену.

    Подробные инструкции по реализации этих элементов управления приведены в приложении H: Защита учетных записей и групп локальных администраторов. Однако перед реализацией этих параметров убедитесь, что учетные записи локального администратора в настоящее время не используются в среде для запуска служб на компьютерах или выполнения других действий, для которых эти учетные записи не должны использоваться. Тщательно протестируйте эти настройки, прежде чем применять их в производственной среде.

    Элементы управления для учетных записей локальных администраторов

    Встроенные учетные записи администратора никогда не должны использоваться в качестве учетных записей служб на рядовых серверах, а также не должны использоваться для входа на локальные компьютеры (за исключением безопасного режима, который разрешен, даже если учетная запись отключена). Целью реализации описанных здесь параметров является предотвращение использования локальной учетной записи администратора каждого компьютера, если предварительно не будут отменены средства защиты. Внедряя эти элементы управления и отслеживая изменения учетных записей администраторов, вы можете значительно снизить вероятность успеха атаки, нацеленной на локальные учетные записи администраторов.

    Настройка объектов групповой политики для ограничения учетных записей администраторов в системах, присоединенных к домену

    В одном или нескольких объектах групповой политики, которые вы создаете и связываете с подразделениями рабочих станций и рядовых серверов в каждом домене, добавьте учетную запись администратора к следующим правам пользователя в Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначения прав пользователя :

    • Запретить доступ к этому компьютеру из сети
    • Запретить вход в качестве пакетного задания
    • Запретить вход в качестве службы
    • Запретить вход через службы удаленных рабочих столов

    При добавлении учетных записей администратора к этим правам пользователя укажите, добавляете ли вы локальную учетную запись администратора или учетную запись администратора домена, помечая учетную запись.Например, чтобы добавить учетную запись администратора домена NWTRADERS к этим правам отказа, вы должны ввести учетную запись как NWTRADERS\Administrator или перейти к учетной записи администратора для домена NWTRADERS. Чтобы убедиться, что вы ограничиваете учетную запись локального администратора, введите Administrator в эти параметры прав пользователя в редакторе объектов групповой политики.

    Примечание

    Даже если локальные учетные записи администратора будут переименованы, политики все равно будут применяться.

    Эти параметры гарантируют, что учетная запись администратора компьютера не может использоваться для подключения к другим компьютерам, даже если она включена непреднамеренно или злонамеренно.Локальный вход с использованием учетной записи локального администратора нельзя полностью отключить, и вам не следует пытаться это сделать, поскольку локальная учетная запись администратора компьютера предназначена для использования в сценариях аварийного восстановления.

    Если рядовой сервер или рабочая станция отсоединяются от домена без других локальных учетных записей, которым предоставлены административные привилегии, компьютер можно загрузить в безопасном режиме, включить учетную запись администратора, а затем использовать эту учетную запись для восстановления компьютера. .Когда ремонт будет завершен, учетная запись администратора должна быть снова отключена.

    Защита локальных привилегированных учетных записей и групп в Active Directory

    Закон номер шесть: безопасность компьютера зависит от надежности администратора. — Десять непреложных законов безопасности (версия 2.0)

    Представленная здесь информация предназначена для предоставления общих рекомендаций по защите встроенных учетных записей и групп с наивысшими привилегиями в Active Directory. Подробные пошаговые инструкции также приведены в Приложении D. Защита встроенных учетных записей администраторов в Active Directory, Приложении E. Защита групп администраторов предприятия в Active Directory, Приложении F. Защита групп администраторов домена в Active Directory и в Приложении G. : Защита групп администраторов в Active Directory.

    Перед реализацией любого из этих параметров следует также тщательно протестировать все параметры, чтобы определить, подходят ли они для вашей среды. Не все организации смогут реализовать эти настройки.

    Защита встроенных учетных записей администраторов в Active Directory

    В каждом домене Active Directory учетная запись администратора создается как часть создания домена. Эта учетная запись по умолчанию является членом групп «Администраторы домена» и «Администраторы» в домене, а если домен является корневым доменом леса, учетная запись также является членом группы «Администраторы предприятия».Использование учетной записи локального администратора домена должно быть зарезервировано только для первоначальных действий по сборке и, возможно, для сценариев аварийного восстановления. Чтобы обеспечить возможность использования встроенной учетной записи администратора для восстановления в случае невозможности использования других учетных записей, не следует изменять членство учетной записи администратора по умолчанию ни в одном домене леса. Вместо этого следует следовать рекомендациям по защите учетной записи администратора в каждом домене леса. Подробные инструкции по реализации этих элементов управления приведены в Приложении D: Защита встроенных учетных записей администраторов в Active Directory.

    Элементы управления для встроенных учетных записей администраторов

    Целью реализации описанных здесь параметров является предотвращение использования учетной записи администратора каждого домена (не группы), если не будет изменен ряд элементов управления. Внедряя эти элементы управления и отслеживая изменения учетных записей администратора, вы можете значительно снизить вероятность успешной атаки, используя учетную запись администратора домена. Для учетной записи администратора в каждом домене вашего леса необходимо настроить следующие параметры.

    Включить флаг «Учетная запись конфиденциальна и не может быть делегирована» для учетной записи

    По умолчанию все учетные записи в Active Directory могут быть делегированы. Делегирование позволяет компьютеру или службе предоставлять учетные данные для учетной записи, которая прошла проверку подлинности на компьютере или службе, другим компьютерам для получения служб от имени учетной записи. Когда вы включаете учетную запись , она является конфиденциальной и не может быть делегирована атрибутом в учетной записи на основе домена, учетные данные учетной записи не могут быть представлены другим компьютерам или службам в сети, что ограничивает атаки, использующие делегирование для использования учетных данных учетной записи в других системах. .

    Включить флаг «Для интерактивного входа в систему требуется смарт-карта» для учетной записи

    При включении Смарт-карта требуется для интерактивного входа в систему с атрибутом учетной записи, Windows сбрасывает пароль учетной записи на случайное значение из 120 символов. Установив этот флаг для встроенных учетных записей администратора, вы гарантируете, что пароль для учетной записи не только длинный и сложный, но и не известен ни одному пользователю. Технически нет необходимости создавать смарт-карты для учетных записей перед включением этого атрибута, но, если возможно, смарт-карты следует создать для каждой учетной записи администратора до настройки ограничений учетной записи, а смарт-карты следует хранить в безопасных местах.

    Хотя установка смарт-карты требуется для интерактивного входа в систему. Флаг сбрасывает пароль учетной записи, но не запрещает пользователю с правами на сброс пароля учетной записи устанавливать для учетной записи известное значение и использовать имя учетной записи и новый пароль для доступа ресурсов в сети. В связи с этим вам следует реализовать следующие дополнительные элементы управления в учетной записи.

    Настройка объектов групповой политики для ограничения учетных записей администраторов доменов в системах, присоединенных к домену

    Хотя отключение учетной записи администратора в домене делает учетную запись фактически непригодной для использования, следует ввести дополнительные ограничения для учетной записи на случай, если учетная запись будет включена непреднамеренно или злонамеренно.Хотя эти элементы управления в конечном итоге могут быть отменены учетной записью администратора, цель состоит в том, чтобы создать элементы управления, которые замедляют продвижение злоумышленника и ограничивают ущерб, который может нанести учетная запись.

    В одном или нескольких объектах групповой политики, которые вы создаете и связываете с подразделениями рабочих станций и рядовых серверов в каждом домене, добавьте учетную запись администратора каждого домена к следующим правам пользователя в Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности\Локальные политики\Назначения прав пользователя :

    • Запретить доступ к этому компьютеру из сети
    • Запретить вход в качестве пакетного задания
    • Запретить вход в качестве службы
    • Запретить вход через службы удаленных рабочих столов

    Примечание

    При добавлении к этому параметру учетных записей локального администратора необходимо указать, настраиваете ли вы локальные учетные записи администратора или учетные записи администратора домена.Например, чтобы добавить локальную учетную запись администратора домена NWTRADERS к этим правам отказа, необходимо либо ввести учетную запись как NWTRADERS\Administrator , либо перейти к учетной записи локального администратора для домена NWTRADERS. Если вы введете Administrator в этих настройках прав пользователя в редакторе объектов групповой политики, вы ограничите учетную запись локального администратора на каждом компьютере, к которому применяется объект групповой политики.

    Мы рекомендуем ограничивать учетные записи локальных администраторов на рядовых серверах и рабочих станциях таким же образом, как и учетные записи администраторов домена.Поэтому обычно следует добавлять учетную запись администратора для каждого домена в лесу и учетную запись администратора для локальных компьютеров в эти параметры прав пользователя.

    Настройка объектов групповой политики для ограничения учетных записей администраторов на контроллерах домена

    В каждом домене леса следует изменить политику контроллеров домена по умолчанию или политику, связанную с подразделением контроллеров домена, чтобы добавить учетную запись администратора каждого домена к следующим правам пользователя в Computer Configuration\Policies\Windows Settings\Security Settings\Local Политики\Назначения прав пользователя :

    • Запретить доступ к этому компьютеру из сети
    • Запретить вход в качестве пакетного задания
    • Запретить вход в качестве службы
    • Запретить вход через службы удаленных рабочих столов

    Примечание

    Эти параметры гарантируют, что локальная учетная запись администратора не может использоваться для подключения к контроллеру домена, хотя учетная запись, если она включена, может локально входить в контроллеры домена.Поскольку эту учетную запись следует включать и использовать только в сценариях аварийного восстановления, предполагается, что будет доступен физический доступ по крайней мере к одному контроллеру домена или можно будет использовать другие учетные записи с разрешениями на удаленный доступ к контроллерам домена.

    Настройка аудита встроенных учетных записей администраторов

    Когда вы защитите учетную запись администратора каждого домена и отключите ее, вам следует настроить аудит для отслеживания изменений в учетной записи. Если учетная запись включена, ее пароль сброшен или в учетную запись внесены какие-либо другие изменения, оповещения должны быть отправлены пользователям или группам, ответственным за администрирование AD DS, в дополнение к группам реагирования на инциденты в вашей организации.

    Защита администраторов, администраторов домена и групп администраторов предприятия

    Защита корпоративных групп администраторов

    Группа администраторов предприятия, расположенная в корневом домене леса, не должна ежедневно содержать пользователей, за возможным исключением учетной записи локального администратора домена, при условии, что она защищена, как описано ранее и в Приложении D. : Защита встроенных учетных записей администраторов в Active Directory.

    Когда требуется доступ EA, пользователи, учетным записям которых требуются права и разрешения EA, должны быть временно помещены в группу администраторов предприятия.Несмотря на то, что пользователи используют учетные записи с высоким уровнем привилегий, их действия должны проверяться и предпочтительно выполняться с одним пользователем, выполняющим изменения, и другим пользователем, наблюдающим за изменениями, чтобы свести к минимуму вероятность непреднамеренного неправильного использования или неправильной настройки. Когда действия завершены, учетные записи должны быть удалены из группы EA. Это может быть достигнуто с помощью ручных процедур и документированных процессов, стороннего программного обеспечения для управления привилегированными удостоверениями/доступом (PIM/PAM) или их комбинации.Рекомендации по созданию учетных записей, которые можно использовать для управления членством в привилегированных группах в Active Directory, приведены в разделе «Привлекательные учетные записи для кражи учетных данных», а подробные инструкции приведены в Приложении I: Создание учетных записей управления для защищенных учетных записей и групп в Active Directory.

    Администраторы предприятия по умолчанию являются членами встроенной группы администраторов в каждом домене леса. Удаление группы «Администраторы предприятия» из групп «Администраторы» в каждом домене является неуместным изменением, поскольку в случае сценария аварийного восстановления леса, скорее всего, потребуются права EA.Если группа «Администраторы предприятия» была удалена из группы «Администраторы» в лесу, ее следует добавить в группу «Администраторы» в каждом домене и реализовать следующие дополнительные элементы управления:

    .
    • Как описано ранее, в группе «Администраторы предприятия» не должно быть пользователей на ежедневной основе, за возможным исключением учетной записи администратора корневого домена леса, которая должна быть защищена, как описано в Приложении D. Защита встроенного администратора. Учетные записи в Active Directory.
    • В объектах групповой политики, связанных с OU, содержащими рядовые серверы и рабочие станции в каждом домене, группа EA должна быть добавлена ​​к следующим правам пользователя:
      • Запретить доступ к этому компьютеру из сети
      • Запретить вход в качестве пакетного задания
      • Запретить вход в качестве службы
      • Запретить локальный вход
      • Запретить вход через службы удаленных рабочих столов.

    Это предотвратит вход членов группы EA на рядовые серверы и рабочие станции.Если серверы перехода используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы перехода расположены в подразделении, с которым не связаны ограничительные объекты групповой политики.

    • Аудит должен быть настроен на отправку предупреждений, если в свойства или членство в группе EA внесены какие-либо изменения. Эти оповещения должны быть отправлены, как минимум, пользователям или группам, ответственным за администрирование Active Directory и реагирование на инциденты. Вы также должны определить процессы и процедуры для временного заполнения группы EA, включая процедуры уведомления, когда выполняется законное заполнение группы.
    Защита групп администраторов домена

    Как и в случае с группой администраторов предприятия, членство в группах администраторов домена должно быть обязательным только в сценариях сборки или аварийного восстановления. В группе DA не должно быть обычных учетных записей пользователей, за исключением локальной учетной записи администратора для домена, если она защищена, как описано в Приложении D: Защита встроенных учетных записей администраторов в Active Directory.

    Когда требуется доступ DA, учетные записи, которым требуется этот уровень доступа, должны быть временно помещены в группу DA для рассматриваемого домена.Несмотря на то, что пользователи используют учетные записи с высоким уровнем привилегий, действия следует проверять и предпочтительно выполнять с одним пользователем, выполняющим изменения, и другим пользователем, наблюдающим за изменениями, чтобы свести к минимуму вероятность непреднамеренного неправильного использования или неправильной настройки. После завершения действий учетные записи должны быть удалены из группы администраторов домена. Это может быть достигнуто с помощью ручных процедур и документированных процессов, с помощью стороннего программного обеспечения для управления привилегированным доступом (PIM/PAM) или их комбинации.Рекомендации по созданию учетных записей, которые можно использовать для управления членством в привилегированных группах в Active Directory, приведены в Приложении I: Создание учетных записей управления для защищенных учетных записей и групп в Active Directory.

    Администраторы домена по умолчанию являются членами групп локальных администраторов на всех рядовых серверах и рабочих станциях в соответствующих доменах. Это вложение по умолчанию не следует изменять, поскольку оно влияет на возможность поддержки и параметры аварийного восстановления. Если группы администраторов домена были удалены из локальных групп администраторов на рядовых серверах, их следует добавить в группу администраторов на каждом рядовом сервере и рабочей станции в домене с помощью параметров группы с ограниченным доступом в связанных объектах групповой политики.Также должны быть реализованы следующие общие элементы управления, подробно описанные в Приложении F: Защита групп администраторов домена в Active Directory.

    Для группы администраторов домена в каждом домене леса:

    1. Удалите всех участников из группы DA, за исключением, возможно, встроенной учетной записи администратора для домена, при условии, что она защищена, как описано в Приложении D: Защита встроенных учетных записей администратора в Active Directory.

    2. В объектах групповой политики, связанных с OU, содержащими рядовые серверы и рабочие станции в каждом домене, группа DA должна быть добавлена ​​к следующим правам пользователя:

      • Запретить доступ к этому компьютеру из сети
      • Запретить вход в качестве пакетного задания
      • Запретить вход в качестве службы
      • Запретить локальный вход
      • Запретить вход через службы удаленных рабочих столов

      Это предотвратит вход членов группы DA на рядовые серверы и рабочие станции.Если серверы перехода используются для администрирования контроллеров домена и Active Directory, убедитесь, что серверы перехода расположены в подразделении, с которым не связаны ограничительные объекты групповой политики.

    3. Аудит должен быть настроен на отправку предупреждений, если в свойства или членство в группе DA внесены какие-либо изменения. Эти оповещения должны быть отправлены, как минимум, пользователям или группам, ответственным за администрирование AD DS и реагирование на инциденты. Вы также должны определить процессы и процедуры для временного заполнения группы DA, включая процедуры уведомления, когда выполняется законное заполнение группы.

    Защита групп администраторов в Active Directory

    Как и в случае с группами EA и DA, членство в группе администраторов (BA) должно быть обязательным только в сценариях сборки или аварийного восстановления. В группе «Администраторы» не должно быть обычных учетных записей пользователей, за исключением локальной учетной записи администратора для домена, если она защищена, как описано в Приложении D: Защита встроенных учетных записей администраторов в Active Directory.

    Когда требуется доступ администратора, учетные записи, которым требуется этот уровень доступа, должны быть временно помещены в группу администраторов для рассматриваемого домена.Несмотря на то, что пользователи используют учетные записи с высоким уровнем привилегий, действия следует проверять и, желательно, выполнять с пользователем, выполняющим изменения, и другим пользователем, наблюдающим за изменениями, чтобы свести к минимуму вероятность непреднамеренного неправильного использования или неправильной настройки. После завершения действий учетные записи должны быть немедленно удалены из группы «Администраторы». Это может быть достигнуто с помощью ручных процедур и документированных процессов, с помощью стороннего программного обеспечения для управления привилегированным доступом (PIM/PAM) или их комбинации.

    Администраторы по умолчанию являются владельцами большинства объектов AD DS в соответствующих доменах. Членство в этой группе может потребоваться в сценариях сборки и аварийного восстановления, в которых требуется владение или возможность стать владельцем объектов. Кроме того, DA и EA наследуют ряд своих прав и разрешений в силу своего членства по умолчанию в группе администраторов. Вложение групп по умолчанию для привилегированных групп в Active Directory не должно изменяться, а группа администраторов каждого домена должна быть защищена, как описано в Приложении G: Защита групп администраторов в Active Directory и в общих инструкциях ниже.

    1. Удалите всех участников из группы «Администраторы», за возможным исключением учетной записи локального администратора для домена, при условии, что она защищена, как описано в Приложении D: Защита встроенных учетных записей администраторов в Active Directory.

    2. Членам группы администраторов домена никогда не нужно входить на рядовые серверы или рабочие станции. В один или несколько объектов групповой политики, связанных с рабочими станциями и подразделениями рядовых серверов в каждом домене, необходимо добавить группу «Администраторы» со следующими правами пользователя:

      .
      • Запретить доступ к этому компьютеру из сети
      • Запретить вход в систему как пакетное задание,
      • Запретить вход в качестве службы
      • Это предотвратит использование членов группы «Администраторы» для входа в систему или подключения к рядовым серверам или рабочим станциям (если сначала не будет нарушено несколько элементов управления), где их учетные данные могут быть кэшированы и, таким образом, скомпрометированы.Никогда не следует использовать привилегированную учетную запись для входа в менее привилегированную систему, а применение этих элементов управления обеспечивает защиту от ряда атак.
    3. На OU контроллеров домена в каждом домене леса группе Администраторы должны быть предоставлены следующие права пользователя (если они еще не имеют этих прав), что позволит членам группы Администраторы выполнять функции, необходимые для сценарий аварийного восстановления для всего леса:

      • Доступ к этому компьютеру из сети
      • Разрешить локальный вход
      • Разрешить вход через службы удаленных рабочих столов
    4. Аудит должен быть настроен на отправку оповещений при любых изменениях свойств или членства в группе администраторов.Эти оповещения должны быть отправлены как минимум членам группы, ответственной за администрирование AD DS. Оповещения также должны быть отправлены членам группы безопасности, и должны быть определены процедуры для изменения членства в группе администраторов. В частности, эти процессы должны включать процедуру, с помощью которой группа безопасности уведомляется о том, что группа администраторов будет изменена, чтобы при отправке предупреждений они были ожидаемыми, а тревога не поднималась. Кроме того, должны быть реализованы процессы для уведомления группы безопасности о завершении использования группы администраторов и удалении используемых учетных записей из группы.

    Примечание

    При реализации ограничений для группы администраторов в объектах групповой политики Windows применяет параметры к членам локальной группы администраторов компьютера в дополнение к группе администраторов домена. Поэтому следует соблюдать осторожность при реализации ограничений для группы администраторов. Несмотря на то, что рекомендуется запрещать сетевой, пакетный и служебный вход в систему для членов группы «Администраторы», где это возможно реализовать, не ограничивайте локальный вход или вход через службы удаленных рабочих столов.Блокировка этих типов входа может заблокировать законное администрирование компьютера членами локальной группы администраторов. На следующем снимке экрана показаны параметры конфигурации, которые блокируют неправомерное использование встроенных локальных учетных записей и учетных записей администраторов домена в дополнение к неправомерному использованию встроенных локальных групп или групп администраторов домена. Обратите внимание, что право пользователя «Запретить вход в систему через службы удаленных рабочих столов » не включает группу «Администраторы», поскольку включение этого параметра в этот параметр также блокирует эти входы в систему для учетных записей, которые являются членами группы «Администраторы» локального компьютера.Если службы на компьютерах настроены для работы в контексте любой из привилегированных групп, описанных в этом разделе, реализация этих параметров может привести к сбою служб и приложений. Поэтому, как и в случае со всеми рекомендациями в этом разделе, вам следует тщательно протестировать настройки на предмет их применимости в вашей среде.

    Управление доступом на основе ролей (RBAC) для Active Directory

    Вообще говоря, управление доступом на основе ролей (RBAC) — это механизм группировки пользователей и предоставления доступа к ресурсам на основе бизнес-правил.В случае Active Directory реализация RBAC для AD DS — это процесс создания ролей, которым делегируются права и разрешения, чтобы члены роли могли выполнять повседневные административные задачи, не предоставляя им чрезмерных привилегий. RBAC для Active Directory можно спроектировать и внедрить с помощью собственных инструментов и интерфейсов, используя уже имеющееся у вас программное обеспечение, приобретая сторонние продукты или сочетая эти подходы. В этом разделе не приводятся пошаговые инструкции по реализации RBAC для Active Directory, а вместо этого обсуждаются факторы, которые следует учитывать при выборе подхода к реализации RBAC в ваших установках AD DS.

    Собственные подходы к RBAC для Active Directory

    В простейшей реализации RBAC вы можете реализовать роли как группы AD DS и делегировать права и разрешения группам, что позволит им выполнять ежедневное администрирование в рамках назначенной роли.

    В некоторых случаях существующие группы безопасности в Active Directory можно использовать для предоставления прав и разрешений, соответствующих функции задания. Например, если определенные сотрудники в вашей ИТ-организации отвечают за управление и обслуживание зон и записей DNS, делегирование этих обязанностей может быть таким же простым, как создание учетной записи для каждого администратора DNS и добавление его в группу администраторов DNS в Active Directory.Группа «Администраторы DNS», в отличие от групп с более высоким уровнем привилегий, имеет несколько мощных прав в Active Directory, хотя членам этой группы были делегированы разрешения, позволяющие им администрировать DNS, и она по-прежнему подвергается компрометации, а злоупотребление может привести к повышению привилегий.

    В других случаях может потребоваться создать группы безопасности и делегировать права и разрешения объектам Active Directory, объектам файловой системы и объектам реестра, чтобы позволить членам групп выполнять назначенные административные задачи.Например, если операторы вашей службы поддержки отвечают за сброс забытых паролей, помощь пользователям в решении проблем с подключением и устранение неполадок в настройках приложений, вам может потребоваться объединить параметры делегирования для пользовательских объектов в Active Directory с привилегиями, позволяющими пользователям службы поддержки удаленно подключаться к компьютеры пользователей для просмотра или изменения параметров конфигурации пользователей. Для каждой роли, которую вы определяете, вы должны указать:

    1. Какие задачи члены роли выполняют повседневно, а какие реже.
    2. В каких системах и в каких приложениях членам роли должны быть предоставлены права и разрешения.
    3. Какие пользователи должны получить членство в роли.
    4. Как будет осуществляться управление принадлежностью к ролям.

    Во многих средах ручное создание элементов управления доступом на основе ролей для администрирования среды Active Directory может оказаться сложной задачей для реализации и обслуживания. Если у вас есть четко определенные роли и обязанности по администрированию вашей ИТ-инфраструктуры, вы можете использовать дополнительные инструменты, которые помогут вам создать управляемое собственное развертывание RBAC.Например, если в вашей среде используется Forefront Identity Manager (FIM), вы можете использовать FIM для автоматизации создания и заполнения административных ролей, что может упростить текущее администрирование. Если вы используете Microsoft Endpoint Configuration Manager и System Center Operations Manager (SCOM), вы можете использовать роли для конкретных приложений, чтобы делегировать функции управления и мониторинга, а также обеспечить согласованную настройку и аудит для всех систем в домене. Если вы внедрили инфраструктуру открытых ключей (PKI), вы можете выдавать и требовать смарт-карты для ИТ-персонала, отвечающего за администрирование среды.С помощью FIM Credential Management (FIM CM) вы даже можете комбинировать управление ролями и учетными данными для вашего административного персонала.

    В других случаях для организации может быть предпочтительнее рассмотреть возможность развертывания стороннего программного обеспечения RBAC, которое предоставляет готовые функции. Ряд поставщиков предлагает коммерческие готовые (COTS) решения для RBAC для каталогов и операционных систем Active Directory, Windows и отличных от Windows. При выборе между собственными решениями и сторонними продуктами следует учитывать следующие факторы:

    1. Бюджет. Инвестируя в разработку RBAC с использованием программного обеспечения и инструментов, которые у вас уже есть, вы можете снизить затраты на программное обеспечение, связанные с развертыванием решения.Однако если у вас нет сотрудников, имеющих опыт создания и развертывания собственных решений RBAC, вам может потребоваться привлечение консультационных ресурсов для разработки вашего решения. Вам следует тщательно взвесить ожидаемые затраты на специально разработанное решение с затратами на развертывание готового решения, особенно если ваш бюджет ограничен.
    2. Состав ИТ-среды: если ваша среда состоит в основном из систем Windows или если вы уже используете Active Directory для управления системами и учетными записями, отличными от Windows, настраиваемые собственные решения могут предоставить оптимальное решение для ваших нужд.Если ваша инфраструктура содержит много систем, не работающих под управлением Windows и не управляемых Active Directory, вам может потребоваться рассмотреть варианты управления системами, отличными от Windows, отдельно от среды Active Directory.
    3. Модель привилегий
    4. в решении: если продукт полагается на размещение своих учетных записей служб в высокопривилегированных группах в Active Directory и не предлагает варианты, которые не требуют предоставления чрезмерных привилегий программному обеспечению RBAC, вы на самом деле не уменьшили свою Active Directory. поверхность атаки, вы только изменили состав наиболее привилегированных групп в каталоге.Если поставщик приложения не может предоставить элементы управления для учетных записей служб, которые сводят к минимуму вероятность взлома и злонамеренного использования учетных записей, вы можете рассмотреть другие варианты.

    Управление привилегированной идентификацией

    Управление привилегированными учетными записями (PIM), иногда называемое управлением привилегированными учетными записями (PAM) или управлением привилегированными учетными данными (PCM), представляет собой разработку, создание и реализацию подходов к управлению привилегированными учетными записями в вашей инфраструктуре.Вообще говоря, PIM предоставляет механизмы, с помощью которых учетным записям предоставляются временные права и разрешения, необходимые для выполнения функций исправления сборки или разрыва, вместо того, чтобы оставлять привилегии постоянно привязанными к учетным записям. Независимо от того, создаются ли функции PIM вручную или реализуются посредством развертывания стороннего программного обеспечения, могут быть доступны одна или несколько из следующих функций:

    • «Хранилища» учетных данных, где пароли для привилегированных учетных записей «извлекаются» и назначаются начальные пароли, а затем «регистрируются» после завершения действий, после чего пароли для учетных записей снова сбрасываются.
    • Временные ограничения на использование привилегированных учетных данных
    • Одноразовые учетные данные
    • Предоставление привилегии рабочим процессом с мониторингом и отчетностью о выполненных действиях и автоматическим удалением привилегии, когда действия завершены или истекло отведенное время
    • Замена жестко запрограммированных учетных данных, таких как имена пользователей и пароли в сценариях, интерфейсами прикладного программирования (API), которые позволяют извлекать учетные данные из хранилищ по мере необходимости
    • Автоматическое управление учетными данными учетной записи службы

    Создание непривилегированных учетных записей для управления привилегированными учетными записями

    Одна из проблем при управлении привилегированными учетными записями заключается в том, что по умолчанию учетные записи, которые могут управлять привилегированными и защищенными учетными записями и группами, являются привилегированными и защищенными учетными записями.Если вы внедрите соответствующие решения RBAC и PIM для своей установки Active Directory, эти решения могут включать подходы, которые позволят вам эффективно удалить членство в наиболее привилегированных группах в каталоге, заполняя группы только временно и при необходимости.

    Однако, если вы реализуете собственный RBAC и PIM, вам следует подумать о создании учетных записей, которые не имеют привилегий и имеют единственную функцию заполнения и удаления привилегированных групп в Active Directory, когда это необходимо.Приложение I: Создание учетных записей управления для защищенных учетных записей и групп в Active Directory содержит пошаговые инструкции, которые можно использовать для создания учетных записей для этой цели.

    Внедрение надежных средств контроля аутентификации

    Закон номер шесть: Кто-то действительно пытается угадать ваши пароли. — 10 непреложных законов управления безопасностью

    Pass-the-hash и другие атаки с кражей учетных данных не являются специфическими для операционных систем Windows и не новы.Первая атака с передачей хеша была создана в 1997 году. Однако исторически сложилось так, что для этих атак требовались специализированные инструменты, они были случайными и требовали от злоумышленников относительно высокого уровня навыков. Внедрение бесплатно доступных, простых в использовании инструментов, которые изначально извлекают учетные данные, привело к экспоненциальному увеличению количества и успешности атак с целью кражи учетных данных в последние годы. Однако атаки с кражей учетных данных ни в коем случае не являются единственными механизмами, с помощью которых учетные данные становятся целью и компрометируются.

    Несмотря на то, что вы должны внедрить элементы управления для защиты от атак с целью кражи учетных данных, вы также должны определить учетные записи в своей среде, которые с наибольшей вероятностью станут мишенью для злоумышленников, и внедрить надежные средства проверки подлинности для этих учетных записей. Если ваши наиболее привилегированные учетные записи используют однофакторную аутентификацию, такую ​​как имена пользователей и пароли (оба являются «чем-то, что вы знаете», что является одним из факторов аутентификации), эти учетные записи слабо защищены. Все, что нужно злоумышленнику, — это знание имени пользователя и пароля, связанного с учетной записью, и атаки с передачей хэша не требуются, злоумышленник может аутентифицироваться как пользователь в любых системах, которые принимают однофакторные учетные данные.

    Хотя реализация многофакторной проверки подлинности не защищает вас от атак с передачей хэша, реализация многофакторной проверки подлинности в сочетании с защищенными системами может. Дополнительные сведения о реализации защищенных систем приведены в разделе «Реализация безопасных административных хостов», а параметры проверки подлинности обсуждаются в следующих разделах.

    Общие элементы управления аутентификацией

    Если вы еще не внедрили многофакторную проверку подлинности, например смарт-карты, подумайте об этом.Смарт-карты реализуют аппаратную защиту закрытых ключей в паре открытого и закрытого ключей, предотвращая доступ или использование закрытого ключа пользователя, если пользователь не предоставит смарт-карте правильный PIN-код, код доступа или биометрический идентификатор. Даже если PIN-код или пароль пользователя перехватывается регистратором нажатий клавиш на взломанном компьютере, чтобы злоумышленник мог повторно использовать PIN-код или пароль, карта также должна физически присутствовать.

    В тех случаях, когда использование длинных сложных паролей оказалось сложным из-за сопротивления пользователей, смарт-карты предоставляют механизм, с помощью которого пользователи могут использовать относительно простые ПИН-коды или коды доступа, не подвергая учетные данные уязвимости к атакам грубой силы или радужных таблиц.ПИН-коды смарт-карт не хранятся в Active Directory или в локальных базах данных SAM, хотя хэши учетных данных могут по-прежнему храниться в памяти, защищенной LSASS, на компьютерах, на которых смарт-карты использовались для проверки подлинности.

    Дополнительные элементы управления для учетных записей VIP

    Еще одним преимуществом внедрения смарт-карт или других механизмов проверки подлинности на основе сертификатов является возможность использовать гарантию механизма проверки подлинности для защиты конфиденциальных данных, доступных для пользователей VIP.Authentication Mechanism Assurance доступен в доменах, в которых установлен функциональный уровень Windows Server 2012 или Windows Server 2008 R2. Когда этот параметр включен, Authentication Mechanism Assurance добавляет указанное администратором членство в глобальной группе к маркеру Kerberos пользователя, когда учетные данные пользователя аутентифицируются во время входа в систему с использованием метода входа на основе сертификата.

    Это позволяет администраторам ресурсов контролировать доступ к ресурсам, таким как файлы, папки и принтеры, в зависимости от того, входит ли пользователь в систему с использованием метода входа на основе сертификата, в дополнение к типу используемого сертификата.Например, когда пользователь входит в систему с помощью смарт-карты, доступ пользователя к ресурсам в сети может отличаться от доступа, когда пользователь не использует смарт-карту (т. е. когда пользователь входит в систему). введя имя пользователя и пароль). Дополнительные сведения о проверке механизма проверки подлинности см. в документе Проверка механизма проверки подлинности для AD DS в пошаговом руководстве по Windows Server 2008 R2.

    Настройка аутентификации привилегированной учетной записи

    В Active Directory для всех административных учетных записей включите атрибут Требовать смарт-карту для интерактивного входа в систему и проверьте изменения (как минимум) любого из атрибутов на вкладке Учетная запись для учетной записи (например, cn , name, sAMAccountName, userPrincipalName и userAccountControl) административные пользовательские объекты.

    Хотя установка Требовать смарт-карту для интерактивного входа для учетных записей сбрасывает пароль учетной записи до случайного значения из 120 символов и требует смарт-карт для интерактивного входа в систему, этот атрибут по-прежнему может быть перезаписан пользователями с разрешениями, которые позволяют им изменять пароли на учетные записи, а учетные записи затем можно использовать для установления неинтерактивного входа в систему только с именем пользователя и паролем.

    В других случаях, в зависимости от конфигурации учетных записей в Active Directory и параметров сертификата в службах сертификации Active Directory (AD CS) или сторонней PKI, атрибуты имени участника-пользователя (UPN) для административных учетных записей или учетных записей VIP могут конкретный вид атаки, как описано здесь.

    Перехват UPN для подделки сертификата

    Хотя подробное обсуждение атак на инфраструктуры открытых ключей (PKI) выходит за рамки этого документа, количество атак на общедоступные и частные PKI увеличилось в геометрической прогрессии с 2008 года. возможно, даже более плодовиты. Одна из таких атак использует Active Directory и сертификаты, чтобы позволить злоумышленнику подделать учетные данные других учетных записей способом, который может быть трудно обнаружить.

    Когда сертификат предоставляется для проверки подлинности в системе, присоединенной к домену, содержимое атрибута субъекта или альтернативного имени субъекта (SAN) в сертификате используется для сопоставления сертификата с объектом пользователя в Active Directory. В зависимости от типа сертификата и способа его создания атрибут Subject в сертификате обычно содержит общее имя пользователя (CN), как показано на следующем снимке экрана.

    По умолчанию Active Directory создает общее имя пользователя, объединяя имя учетной записи + » » + фамилию.Однако компоненты CN пользовательских объектов в Active Directory не требуются и не гарантируются уникальными, а перемещение учетной записи пользователя в другое место в каталоге изменяет различающееся имя учетной записи (DN), которое представляет собой полный путь к объекту в каталоге. каталог, как показано на нижней панели предыдущего снимка экрана.

    Поскольку не гарантируется, что имена субъектов сертификатов будут статическими или уникальными, содержимое альтернативного имени субъекта часто используется для поиска объекта пользователя в Active Directory.Атрибут SAN для сертификатов, выданных пользователям центрами сертификации предприятия (интегрированными центрами сертификации Active Directory), обычно содержит имя участника-пользователя или адрес электронной почты. Поскольку имена участников-пользователей гарантированно уникальны в лесу доменных служб Active Directory, поиск объекта пользователя по имени участника-пользователя обычно выполняется как часть проверки подлинности с использованием сертификатов или без них, участвующих в процессе проверки подлинности.

    Использование имен участников-пользователей в атрибутах SAN в сертификатах проверки подлинности может быть использовано злоумышленниками для получения мошеннических сертификатов.Если злоумышленник скомпрометировал учетную запись, имеющую возможность чтения и записи имен участников-пользователей на объекты пользователей, атака реализуется следующим образом:

    Атрибут UPN объекта пользователя (например, пользователя VIP) временно изменен на другое значение. Атрибут имени учетной записи SAM и CN также могут быть изменены в это время, хотя обычно в этом нет необходимости по причинам, описанным ранее.

    При изменении атрибута имени участника-пользователя в целевой учетной записи устаревшая включенная учетная запись пользователя или атрибут имени участника-пользователя только что созданной учетной записи пользователя заменяется на значение, изначально назначенное целевой учетной записи.Устаревшие включенные учетные записи пользователей — это учетные записи, которые не входили в систему в течение длительного периода времени, но не были отключены. На них нацелены злоумышленники, которые намерены «спрятаться у всех на виду» по следующим причинам:

    1. Поскольку учетная запись включена, но в последнее время не использовалась, использование учетной записи вряд ли вызовет оповещения, как это могло бы произойти при включении отключенной учетной записи пользователя.
    2. Использование существующей учетной записи не требует создания новой учетной записи пользователя, которая может быть замечена административным персоналом.
    3. Устаревшие учетные записи пользователей, которые все еще включены, обычно являются членами различных групп безопасности и получают доступ к ресурсам в сети, упрощая доступ и «вписываясь» в существующую группу пользователей.

    Учетная запись пользователя, для которой настроено целевое имя участника-пользователя, используется для запроса одного или нескольких сертификатов из служб сертификации Active Directory.

    Когда для учетной записи злоумышленника получены сертификаты, имена участников-пользователей в «новой» учетной записи и целевой учетной записи возвращаются к исходным значениям.

    Теперь у злоумышленника есть один или несколько сертификатов, которые могут быть представлены для аутентификации ресурсам и приложениям, как если бы пользователь был пользователем VIP, чья учетная запись была временно изменена. Хотя полное обсуждение всех способов, которыми злоумышленники могут атаковать сертификаты и PKI, выходит за рамки этого документа, этот механизм атаки предоставляется для иллюстрации того, почему вы должны отслеживать изменения привилегированных учетных записей и учетных записей VIP в AD DS, особенно для изменения любого из атрибутов на вкладке Account для учетной записи (например, cn, name, sAMAccountName, userPrincipalName и userAccountControl).В дополнение к наблюдению за учетными записями вы должны ограничить круг лиц, которые могут изменять учетные записи, до минимально возможного набора административных пользователей. Точно так же учетные записи административных пользователей должны быть защищены и отслеживаться на предмет несанкционированных изменений.

    Ограничение удостоверений по домену  | Документация по диспетчеру ресурсов  | Облако Google

    Диспетчер ресурсов предоставляет ограничение ограничения домена, которое можно использовать в политиках организации для ограничения совместного использования ресурсов на основе домена.Это ограничение позволяет ограничить набор идентификаторов которые разрешено использовать в политиках управления идентификацией и доступом.

    Политики организации могут использовать это ограничение, чтобы ограничить совместное использование ресурсов указанный набор из одного или нескольких доменов Google Workspace, и исключения могут быть предоставляется для каждой папки или для каждого проекта. Для получения дополнительной информации о добавлении исключения, см. раздел Переопределение политики организации для проекта.

    Ограничение ограничения домена не имеет обратной силы.После ограничения домена установлен, это ограничение будет применяться к изменениям политики IAM, сделанным с этого момента вперед, а не к каким-либо предыдущим изменениям. Ограничение домена ограничение будет применяться к любым изменениям политики IAM, включая изменения, которые агент службы вносит в ответ на другое действие. Например, если у вас есть автоматизированная служба, которая импортирует Наборы данных BigQuery агент сервиса BigQuery сделает Политика IAM изменяется во вновь созданном наборе данных. Это действие будет ограничен ограничением ограничения домена и заблокирован.

    Например, рассмотрим две связанные организации: examplepetstore.com и altostrat.com. Вы предоставили удостоверение examplepetstore.com роль IAM в altostrat.com. Позже вы решили ограничить удостоверений по домену и внедрил политику организации с доменом ограничение ограничения в altostrat.com. В этом случае существующие Идентификационные данные examplepetstore.com не потеряют доступ к altostrat.com. От с этого момента вы могли назначать роли IAM только удостоверениям из альтострат.ком домен.

    Ограничение ограничения домена основано на iam.allowedPolicyMemberDomains ограничение списка.

    Примечание: Головная организация не добавляется автоматически в список разрешенных политики, когда вы устанавливаете ограничение ограничения домена. Вы должны добавить свой организация явно для поддержания доступа. Если головная организация не добавлено, а затем удалено предоставление роли Администратор политики организации . от всех пользователей политика организации станет недоступной.

    Если это ограничение установлено для домена Google Workspace, оно повлияет на все удостоверения, которые находятся в этом домене. Сюда входят учетные записи пользователей, которые управляться в консоли Google Workspace, а не из Облачная консоль Google.

    Установка политики организации

    Ограничение ограничения домена является типом ограничение списка. Идентификаторы клиентов Google Workspace можно добавлять и удалять из разрешенных_значений список ограничения ограничения домена.Все домены, связанные с этим На учетную запись Google Workspace распространяется политика организации.

    У вас должно быть разрешение на изменение политики организации для установки этого ограничение. Например, orgpolicy.policyAdmin Роль имеет разрешение на установку ограничений политики организации. То resourcemanager.organizationAdmin Роль имеет разрешение на добавление пользователя в качестве администратора политики организации. Читать Использование ограничений страницу, чтобы узнать больше об управлении политиками на уровне организации.

    Консоль

    Чтобы установить политику организации, включая ограничение ограничения домена:

    1. Перейдите на страницу политик организации в Cloud Console.
      Перейти на страницу политик организации
    2. Нажмите Выберите .
    3. Выберите организацию, для которой вы хотите установить политику.
    4. Щелкните Ограниченный общий доступ к домену .
    5. Нажмите кнопку Редактировать .
    6. В разделе Применимо к выберите Настроить .
    7. В разделе Значения политики выберите Custom .
    8. Введите идентификатор клиента Google Workspace в Значение политики текстовое поле, затем нажмите Введите . Несколько идентификаторов могут быть вошел таким образом.
    9. Нажмите Сохранить . Появится уведомление, подтверждающее, что политика обновлена.

    gcloud

    Политики можно настроить через интерфейс командной строки Google Cloud. Чтобы создать политики, которая включает ограничение ограничения домена, выполните следующие действия. команда:

    политика организации менеджера ресурсов gcloud разрешает \
        --organization ' ORGANIZATION_ID  '\
        я.allowPolicyMemberDomains '  DOMAIN_ID_1  ' \
        '  ДОМЕН_ID_2  '
     

    Где:

    Чтобы узнать об использовании ограничений в политиках организации, см. Использование ограничений.

    Пример политики организации

    В следующем фрагменте кода показана политика организации, включая домен ограничение ограничение:

      ресурс: "organizations/842463781240"
    политика {
      ограничение: "constraints/iam.allowedPolicyMemberDomains"
      etag: "\a\005L\252\122\321\946\334"
      list_policy {
      разрешенные_значения: "C03xgje4y"
      разрешенные_значения: "C03g5e3bc"
      разрешенные_значения: "C03t213bc"
      }
    }
      

    разрешенных_значений — это идентификаторы клиентов Google Workspace, например C03xgje4y .Только удостоверения, принадлежащие домену Google Workspace из списка allow_values ​​ будет разрешено в политиках IAM, как только это применена организационная политика. Пользователи и группы Google Workspace должен быть частью этого домена Google Workspace и службы IAM. учетные записи должны быть дочерними элементами ресурса организации, связанного с данным Домен рабочей области Google.

    Например, если вы создали политику организации только с идентификатором клиента Google Workspace вашей компании, можно добавить только участников из этого домена к IAM-политике с этого момента.

    Пример сообщения об ошибке

    Когда ограничение организации ограничения домена нарушается при попытке добавить принципал, не включенный в список разрешенных_значений , операция завершится ошибкой, после чего появится сообщение об ошибке.

    gcloud

     ОШИБКА: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION:
    Один или несколько пользователей, указанных в политике, не принадлежат разрешенному клиенту.
     

    Консоль

    Получение идентификатора клиента Google Workspace

    Идентификатор клиента Google Workspace, используемый ограничением ограничения домена, может можно получить двумя способами:

    gcloud

    Список организаций gcloud команду можно использовать для просмотра всех организаций, для которых у вас есть менеджер ресурсов.Organization.get разрешение:

      список организаций gcloud
      

    Эта команда вернет DISPLAY_NAME , ID (идентификатор организации) и DIRECTORY_CUSTOMER_ID . Идентификатор клиента Google Workspace — это DIRECTORY_CUSTOMER_ID .

    API

    API каталога Google Workspace можно использовать для получения идентификатора клиента Google Workspace.

    Войдя в систему как администратор Google Workspace, вы можете посетите Customers: получите документацию по методу API и нажмите Выполнить .После авторизации ответ покажет ваш Пользовательский ИД.

    В качестве альтернативы вы можете использовать клиент API:

    1. Получите токен доступа OAuth для области https://www.googleapis.com/auth/admin.directory.customer.readonly .
    2. Выполните следующую команду, чтобы запросить API каталога Google Workspace:

        curl -# -X ПОЛУЧИТЬ "https://www.googleapis.com/admin/directory/v1/customers/customerKey" \
      -H "Авторизация: носитель $access_token" -H "Тип контента: приложение/json"
        

    Эта команда вернет ответ JSON, включая данные клиента. Информация.Идентификатор клиента Google Workspace: id .

    Ограничение поддоменов

    Функция ограничения ограничения домена ограничивает доступ ко всем доменам. которые связаны с данным идентификатором клиента Google Workspace. Каждый Аккаунт Google Workspace имеет ровно один основной домен и ноль или более доменов. вторичные домены. Все домены, связанные с Google Workspace идентификатор клиента будет подлежать ограничению.

    Применение ограничения ограничения домена к ресурсу управляет основным домен и все вторичные домены, которые могут получить доступ к этому ресурсу и его потомки в иерархии ресурсов.

    Примеры распространенных комбинаций доменов и поддоменов Google Workspace см. таблица ниже:

    Основной домен Субдомен Ограничение ограничения домена Разрешен ли [email protected] ?
    домен.com нет Разрешить: domain.com
    домен.com sub.domain.com Разрешить: домен.ком Да
    домен.com sub.domain.com Разрешить: sub.domain.com Да
    sub.domain.com домен.com Разрешить: sub.domain.com Да
    sub.domain.com нет Разрешить: sub.domain.com Да

    Чтобы различать ограничение доступа к домену между двумя доменами, каждый домен должен быть связан с другим аккаунтом Google Workspace.Каждый Аккаунт Google Workspace связан с узлом организации и может иметь применяются их собственные организационные политики. Это позволяет связать domain.com с одной учетной записью Google Workspace и sub.domain.com с другой для более детального контроля доступа. Для получения дополнительной информации см. Управление несколькими организациями.

    Устранение известных проблем

    Политики организации не имеют обратной силы. Если вам нужно принудительно изменить иерархия ресурсов, которая нарушила бы принудительное ограничение, можно отключить политику организации, внесите изменения, а затем включите опять политика.

    В следующих разделах описаны известные проблемы со службами, которые могут возникнуть при это ограничение применяется.

    Общий доступ к данным

    Некоторые продукты Google Cloud, такие как BigQuery, Cloud Functions, Cloud Run, Cloud Storage и Pub/Sub поддерживают общедоступные данные обмен. Применение ограничения общего доступа к домену в организации политика предотвратит обмен публичными данными.

    Для публичного обмена данными отключите домен ограничение общего доступа временно ограничено для ресурса проекта, где данные, которыми вы хотите поделиться, находятся.После того, как вы поделитесь ресурсом публично, вы можете затем снова включите ограничение общего доступа домена.

    Приемник журнала BigQuery для платежного аккаунта

    Учетная запись службы, используемая приемником журналов BigQuery для учетных записей выставления счетов. (формат: b*@*.iam.gserviceaccount.com ) рассматривается как внешний и блокируется ограничение общего доступа домена в политике организации. Чтобы предоставить этому сервисному аккаунту роль в наборе данных BigQuery в проекте с принудительным ограничением домена:

    1. Удалите политику организации, содержащую ограничение ограничения домена.

      1. Если ограничение применяется в политике организации на обоих организация и проект, установите политику организации содержащий ограничение домена на проект, чтобы разрешить все значения.

      2. Если это ограничение применяется в политике организации на родительском организация и унаследованы от проекта, добавьте политику организации содержащий ограничение домена для проекта, со всеми допустимые значения.

    2. Предоставьте соответствующую учетную запись службы (формат: б*@*.iam.gserviceaccount.com ) роль BigQuery, указанная во время процесс создания раковины.

    3. Отменить изменения, внесенные в политику организации с доменом ограничение ограничения на проект.

    Учетная запись службы экспорта Cloud Billing

    Включение экспорта биллинга в корзину с включенным этим ограничением, вероятно, потерпеть неудачу. Не используйте это ограничение для сегментов, используемых для экспорта счетов.

    Адрес электронной почты учетной записи службы экспорта Cloud Billing: 50[email protected].com

    Включить ведение журнала доступа к хранилищу

    Если включено, ограничение ограничения домена будет блокировать любой домен, не специально разрешено в политике организации. Это предотвратит предоставление Доступ к сервисным аккаунтам Google также. Установить ведение журнала доступа к хранилищу в облачном хранилище ведро, к которому применено ограничение ограничения домена, выполните следующие действия:

    1. Удалите политику организации, содержащую ограничение ограничения домена.

    2. Предоставьте [email protected] WRITE доступ к этому сегменту.

    3. Реализовать политику организации с ограничением ограничения домена опять таки.

    Включить Firebase API

    Если включено, ограничение ограничения домена будет блокировать учетные записи служб, которые не разрешены в политике организации. Это делает невозможным включение API Firebase, для которого требуются учетные записи внешних служб во время процесс включения API.После включения API вы можете безопасно применять ограничение ограничения домена, не мешая работе функции API Firebase. Чтобы включить Firebase API:

    1. Удалите политику организации, содержащую ограничение ограничения домена.

    2. Включить API управления Firebase.

    3. Реализовать политику организации с ограничением ограничения домена опять таки.

    Группы Google

    Группам Google, созданным в разрешенном домене, всегда могут быть предоставлены роли в политика IAM, когда применяется ограничение ограничения домена даже если группа содержит участников за пределами этого домена.

    Чтобы администраторы проекта не могли обойти ограничение домена ограничение, администратор Google Workspace должен убедиться, что владельцы групп не может допускать членов из-за пределов домен в Панель администратора Google Workspace.

    Принудительный доступ к учетной записи

    Если вам нужно принудительно получить доступ к учетной записи для проекта с нарушением домена ограничения:

    1. Удалите политику организации, содержащую ограничение ограничения домена.

    2. Предоставить учетной записи доступ к проекту.

    3. Реализовать политику организации с ограничением ограничения домена опять таки.

    Кроме того, вы можете предоставить доступ к группе Google, которая содержит соответствующие сервисные счета:

    1. Создайте группу Google в разрешенном домене.

    2. Используйте панель администратора Google Workspace, чтобы отключить ограничение домена для этой группы.

    3. Добавьте учетную запись службы в группу.

    4. Предоставить доступ группе Google в IAM-политике.

    Оценка риска использования изображения P&P (Библиотека Конгресса)

    1. Могу ли я использовать изображение, которое я нашел в P&P коллекции?

    ответ на этот вопрос предполагает рассмотрение разное вопросы:

    1. Что вы знаете о правах связано с изображением? [подробнее об этом]
      и
    2. Как вы планируете использовать Изображение? (Например, если ваше использование подпадает под «добросовестное использование» пункт в законе об авторском праве, авторское право будет меньше проблем, хотя вы нужно будет обратить внимание на любого донора ограничения) [подробнее об этом]

    Иногда ответ очень ясен.Другой раз ответ вообще не ясен.

    В во всех случаях это обязанность исследователя для определения и удовлетворения авторских прав или другие ограничения использования при публикации или иным образом распространяющие материалы находится в фондах библиотеки.

    1а. Что вы знаете о правах связано с изображением?

    Если у отдела печати и фотографий есть информация об ограничениях авторского права или доноров, связанных с изображением или коллекцией изображений, он передает эту информацию исследователям. через записи каталога и/или права заявления.(Примечание. Пользователи должны знать о других типах прав, которые могут применяться, включая права на неприкосновенность частной жизни, права на публичное использование, лицензирование и товарные знаки.)

    Можете ли вы найти:

    Если нет данных записи каталога или заявление о правах доступно , вам нужно будет найти информация о правах, связанная к изображению или собрать самостоятельно. [более о проведении собственной оценки]

    Примечания найдены в каталоге P&P Записи

    Когда сотрудники P&P получили или собрали информация, касающаяся прав отдельных изображений, к тексту добавляются примечания. записи каталога к объяснить известное.

    • Связана ли запись каталога с изображение включает текст, который говорит «Нет известные ограничения на публикацию» ?
    • Есть ли в каталоге запись включает текст, который гласит: « Публикация могут быть ограничены »и ссылаться на заявление о правах? См. «Права и заявления об ограничениях» ниже.
      Пример:

    • Включает ли запись каталога текст с надписью « Может быть ограничено: Информация о воспроизведении права доступны в LC P&P Ограничения Ноутбук ” (или аналогичный формулировка).Имеется в виду блокнот который сейчас онлайн в виде заявлений о правах. Видеть «Права и Заявления об ограничениях», ниже.
      Пример:

    • Есть ли в каталоге запись включает текст, который гласит: « Права статус не оценен. Для общей информации см. «Авторские права и другие ограничения…» (http://lcweb.loc.gov/rr/print/195_copr.html) .» Этот означает, что Библиотека не получила или собрал информацию, относящуюся к статус прав на изображение (см. «Выполнение Ваша собственная оценка» ниже).
      Пример:

    • Что делать, если есть примечание с формулировкой, отличной от приведенные выше примеры или нет примечания вообще? Записи каталога были созданный в течение длительного период из время, такая формулировка информации о правах может различаться.Если запись делает нет содержать примечание о правах, это может означать библиотека не получила и не собрала информация о правах для изображения, и вам нужно будет собрать эту информацию самостоятельно (см. «Выполнение Ваша собственная оценка», ниже).

    Верх страницы
    Индивидуальные права и ограничения Заявления

    Права и ограничения заявления, написанные P&P для конкретных коллекций или художников доступны онлайн.Посмотри на права страница с информацией об ограничениях или воспользуйтесь поиском по сайту эта страница на имя:

    • коллекция, из которой приходит образ, или
    • художник, который это сделал.

    Если нет сведений о правах для коллекции мы, возможно, не проанализировали это еще. Информация ниже предназначена чтобы помочь вам интерпретировать язык находится в правах и ограничениях заявления.

    • Если изображения защищены авторским правом и срок действия авторских прав истек, мы говорим «Изображения в этом сборнике считаются находиться в общественном достоянии».
      Пример:

      [просмотреть полный отчет]

    • Если вместе изображения встречаются критерий «неизвестно обозначение «ограничения», мы говорим «нет известных ограничений» в правах и ограничениях заявление (см. информация о значении из «Нет известные ограничения» выше).
      Пример:

      [просмотреть полный отчет]

    • Если изображения были размещены в общественном достоянии от создатель или правообладатель, мы говорим, что изображения в открытом доступе в права и ограничения утверждение.
      Пример:

      [просмотреть полное заявление]

    • Если изображения ограничены и в библиотеке есть информация о том, как связаться с правообладателем для разрешения, мы предоставляем эта информация.
      Пример: Ann Telnaes Права и ограничения Информация

      [смотреть полный отчет]

    • Если донор коллекции имеет указанные ограничения, мы предоставляем эта информация.
      • Иногда донорский ограничение на определенное тип использования. Пример : ПОСМОТРЕТЬ Коллекция журнальных фотографий [Посмотреть выписка]
      • Иногда у донора указана длина время, когда коллекция ограничен. Пример : Бриджит Штельцер [смотреть выписка]

    • Заявления о правах иногда сбивает с толку, потому что изображения внутри коллекции были иногда изготовлены или собраны под различные обстоятельства. В то время как обширный большинство изображений в коллекции можно проанализировать одним способом, там могут быть исключения, и некоторые изображения могут быть проанализированы другим способ.

      Пример:
      Администрация/офис безопасности фермерских хозяйств США военной информации / Управление по чрезвычайным ситуациям Управление/администрация по переселению Права на черно-белые фотографии и информация об ограничениях

      [Показать полностью выписка]

      Пример:
      Коллекция Теодора Горыдчака Информация о правах и ограничениях

      [полное заявление]

    Верх страницы
    Самостоятельная оценка прав

    Когда печатает и Отдел фотографий не имеет предоставленный каталог примечания или заявления о правах, вы нужно будет найти информацию о правах, связанную к изображению или коллекции самостоятельно.Вам нужно будет собрать что угодно информацию вы можете об изображении.

    (Напоминание: в все случаев, это обязанность исследователя определить и удовлетворить авторские права или другие ограничения использования при публикации или ином распространении материалы, находящиеся в фондах библиотеки.)

    Изображение было сделано правительством США?

    Есть ли кредит на изображении, которое указывает У.S. федеральное агентство или военные оказание услуг?
    Пример:

    Произведения, созданные должностными лицами и служащими правительства Соединенных Штатов, не подлежат охране авторскими правами в Соединенных Штатах. 17 США § 105. Для получения дополнительной информации о государственных произведениях США и авторских правах см.: https://www.usa.gov/government-works.

    Или у вас есть (или вы можете получить) авторское право Регистрационная информация для Изображение?

    Оценка состояния прав предмета довольно просто, когда имя заявителя авторских прав и регистрационный номер авторского права и дата находится на изображения или в каталоге запишите, что описывает это.

    Пример: Запись каталога с датой авторского права и копирайтом Регистрация количество.

    Поиск авторских прав Информация

    Чтобы определить, вы можете получить информацию об авторских правах если это не в запись в каталоге или на товаре, ты можешь

    • поиск в записях Бюро регистрации авторских прав США самостоятельно, или
    • аренда кто-то для поиска [см., например, P&P’s список искателей] или
    • заплатить Бюро регистрации авторских прав за поиск.

    Регистрации авторских прав с 1978 г. по настоящее время можно найти в Интернете (см.: «Руководство по поиску в каталоге бюро регистрации авторских прав» [pdf]). Дополнительная информация о поиске авторских прав доступен в США Авторское право Офисный циркуляр 22 [pdf], «Как исследовать Статус авторского права на произведение» и из отдела розыска Бюро регистрации авторских прав США (телефон 202-707-6850).Поиски не могут считать окончательным но покажет добросовестное усилие.

    Если вы найдете информацию о регистрации авторских прав, следующим шагом является определение того, как долго, что защита авторских прав будет последний (см. Как долго Авторские права Последнее, ниже)

    В отсутствие информации о регистрации авторских прав, Как вы думаете, статья опубликована? или не опубликовано?

    У.S. закон об авторском праве отличает между «опубликованным» и «неопубликованным» материалом, с разными условиями авторского права применяется к каждому.

    На основании вашего заключения о том, работа, о которой идет речь, опубликована или не опубликована, следующим шагом является определить, как долго защита авторских прав будет прошлой.

    Как долго сохраняются авторские права

    Вы можете применять факты о продолжительности авторского права для определения если срок действия авторских прав истек или действует до сих пор. Полное авторское право закон доступен из США Бюро регистрации авторских прав веб-сайт http://www.copyright.gov/, как и циркуляры, разъясняющие конкретные аспекты права, в том числе циркуляры, касающиеся продолжительности авторского права:

    Следующие факты взяты из циркуляры, перечисленные выше:

    • Произведения, опубликованные или зарегистрированные в У.С. более 95 лет назад являются теперь в открытом доступе. Самый простой расчет (если вы предпочитаете работать с круглыми числами): прибавьте 100 к году, когда объект был опубликован/зарегистрирован в качестве объекта авторского права, и вычтите 4. Объект станет общественным достоянием 1 января этого года [см. # 1 в таблице примеров ниже].

      Примечание : Начиная с конца 1990-х годов и вплоть до 2019 года ключевой датой для оценки авторского права в США был 1923 год. Закон 1976 г., работы зарегистрированы для защиты авторских прав или опубликованы с уведомление об авторских правах были защищены максимум 75 лет защиты авторских прав, предполагая авторские права на произведения были продлены (28 лет первый срок плюс 47 для в второй, если обновлен).Общественный Закон 105-298, принятый в октябре 1998 г. увеличил максимум до 95 лет [28 лет первый срок и 67 для второго, если обновлен]. До 1998 года самая длинная сумма времени произведение может быть защищено было 75 лет, так работ до 1923 года не было дольше защищены (1998 минус 75 лет равняется 1923 г.). Когда закон изменился, 1923 год дата была «заморожена» и оставался таковым до 1 января 2019 года.

    • Опубликованные работы, защищенные авторским правом 95 лет назад или менее, могут быть ограничены авторским правом:
      • Публикации зарегистрирован для авторских прав в США до 31 декабря 1963 г. в настоящее время в общественном достоянии если бы авторское право не было обновленный . Если авторское право не было продлено, срок действия авторского права истекал через 28 лет.Если авторское право было продлено, объект защищен на 95 лет от авторского права Дата. Единственный способ определить, был ли предмет защищены авторским правом и что авторские права были продлены это выполнить поиск по авторским правам (см. выше информацию об авторских правах поиск).[см. #2-5 в таблице примеров ниже]

      • Работы, опубликованные с уведомлением об авторских правах или зарегистрированные в качестве объектов авторского права в период с 1 января 1964 г. по 31 декабря 1977 г., обычно охраняются в течение 95 лет [см. № 6 в таблице примеров ниже].

    Примеры:
      Если произведение было опубликовано или зарегистрировано для защиты авторских прав в США в… Занимаемся математикой В свободном доступе в США.С. по состоянию на
    1) 1923 и авторские права были продлены 1923+100=2023; 2023-4=2019 1 января 2019 г.
    2) 1924 и авторские права были продлены 1924+100=2024; 2024-4=2020 1 января 2020 г.
    3) 1936 и авторские права были продлены 1936+100=2036; 2036-4=2032 янв.1, 2032
    4) 1961, но авторские права были , а не обновлены 1961+28=1989 1990
    5) 1961 и авторские права были продлены 1961+100=2061; 2061-4=2057 1 января 2057
    6) 1965 независимо от того, были ли продлены авторские права 1965+100=2065; 2065-4=2061 янв.1, 2061
    • Произведения, созданные отдельными лицами 1 января 1978 г. или позже, обычно охраняются в течение жизни автора плюс 70 лет.  ( Circular 1 [pdf], «Основы авторского права», стр. 4). Работы, сделанные по найму, охраняются на более длительный срок — см. раздел ниже о работах по найму. Для неопубликованных произведений, дата смерти создателя которых неизвестна, срок авторского права составляет 120 лет с даты создания.

      Примечание об уведомлениях об авторских правах : Для некоторых произведений до 1989 года публикация без уведомления об авторских правах может означать, что объект находится в общественном достоянии. Критерий уведомления об авторских правах достаточно прост для применения к книгам, но немного сложнее с изображениями, поскольку исходное произведение могло иметь уведомление об авторских правах, которое не было воспроизведено в последующих копиях, или авторское право могло относиться к произведению, в котором появилось изображение, а не на самом изображении. Изображения без уведомления об авторских правах могут по-прежнему охраняться авторским правом.Бюро регистрации авторских прав США  , циркуляр 3  [pdf; 125 kb], «Уведомление об авторских правах» разъясняет требования к уведомлению для работ, опубликованных в период с 1 января 1978 г. по 28 февраля 1989 г., и дает ссылку для поиска информации о требованиях до 1978 г.

    Если вы считаете, что материал следует считать неопубликованным, это руководство из США. Авторское право Офис применяется:

    • Произведения, созданные ранее 1 января 1978 г., но не опубликовано или зарегистрированы к этой дате обычно защищены законом об авторском праве для жизнь творца плюс 70 лет. (Круговой 1 [pdf], «Основы авторского права», стр. 4). Для неопубликованных анонимных произведений и произведений, дата смерти автора которых неизвестна, срок авторского права составляет 120 лет с даты создания.

    • Произведения, созданные на или после 1 января 1978 г. вообще охраняются для жизнь создателя плюс 70 лет. (Круговой 1 [pdf], «Основы авторского права», стр. 4)

    Ситуации, когда изображение было сделано «По найму» или анонимно или работа под псевдонимом
    • Работы, сделанные по найму : Одним из усложняющих факторов является создание изображения для кого-то другого («работа, сделанная по найму»).В этом случае сторона, нанявшая человека для создания произведения, считается автором и обладает авторскими правами на это творение. Работы, сделанные по найму, охраняются авторским правом в течение 95 лет с момента публикации или 120 лет с момента создания, в зависимости от того, что короче. ( Circular 1  [pdf], «Основы авторского права», стр. 3–4)

    • Анонимные произведения и произведения под псевдонимом : Срок действия авторского права на произведения по найму и на анонимные произведения и произведения под псевдонимом составляет 95 лет с момента публикации или 120 лет с момента создания, в зависимости от того, что наступит раньше.( Circular 1  [pdf], «Основы авторского права», стр. 4)

    Зарубежные работы

    Для использования в США , следующие применяются правила:

    • Произведения, опубликованные за пределами США, но авторские права зарегистрированы в США более 95 лет назад, считаются находиться в общественном достоянии. [Фишман, главы 18.13 и 18.15]
    • Для работы в других обстоятельствах/странах проконсультируйтесь с U.S. Циркуляр Бюро регистрации авторских прав 38A «Международные отношения в области авторского права».
    Использование За пределами США
    Использование произведений, защищенных авторским правом США, за пределами Соединенных Штатов затруднено и может зависеть от международных договоров и законов других стран.Дополнительную информацию см. в Циркуляре 38A [pdf], «Международные отношения в области авторского права».
    Ситуации, где просто недостаточно Информация

    К сожалению, во многих изображениях P&P отсутствует информация об изображении или связанных с ним с участием изображение (особенно дата создания или имя человека или фирма, создавшая образ) помогите с оценкой прав.

    Пример:
    Здание «Шедевры искусства», Нью-Йорк Уорлд Ярмарка, 1939-1940

    Эти изображения, иногда называемые «сиротскими произведений», больше всего раздражают исследователей пытается определить права.Ты нужно будет рассмотреть то, что вы знаете о том, когда и почему образ создан, какой ты планируете использовать изображение для, а затем оценить риск его использования для эта цель.
    • Запрос авторских прав искать, даже если у вас мало информации продолжать. Документы от Бюро регистрации авторских прав может показать ваши добросовестные усилия по установлению статус прав на изображение.

    • Запишите тип поиск вы сделали и что вы нашли или не нашли, так что вы может продемонстрировать, что вы применяли должную осмотрительность в поиск правообладателя.

    Может помочь, а может и нет знать, что проблема настолько досадна, что США Бюро регистрации авторских прав в последнее время открыл рассмотрение вопросов связанные с бесхозными произведениями, которые он определяется как те, чьи владельцы трудно или даже невозможно найти.(http://www.copyright.gov/orphan/)

    Как насчет копирования одного из изображений P&P из книги или другого опубликованного источника?

    Если вы планируете копировать и публиковать изображение из защищенного авторским правом, опубликованного источник (т.грамм., книга), вы должны уточнить у издателя, поскольку технически он владеет правами на версия, появляющаяся в книге, хотя несколько издателей осознают это или, кажется, желают контролировать такие копирование.

    Находка Дополнительные рекомендации

    Информация доступна из США. Бюро регистрации авторских прав на веб-сайте http://www.copyright.gov/.

    Бюро регистрации авторских прав США, Отдел печати и фотографий и другие подразделения Библиотеки Конгресса не предоставляют юридических консультаций по вопросам авторского права.Следующие ресурсы могут быть полезны в качестве дополнительных рекомендаций:

    • Диаграмма, показывающая, когда элементы переходят в общественное достояние, опубликованное Корнельский информационный центр авторского права [Посмотреть Диаграмма ].

    • Веб-страница Американского общества профессионалов в области изображения, «Передовой опыт ASPP по поиску владельцев авторских прав на фотографическое и изобразительное искусство»

    • Книга, написанная профессионалом исследователь изображений Скотт Тамберт: Как использовать изображения на законных основаниях http://www.pdimages.com/law/

    • Джон Шульц и Барбара Шульц, Изображение Исследование: Практическое руководство . Нью-Йорк: Ван Ностранд, 1991. [звонок номер: TR147.S38 1991 P&P] Это книга, например, вкратце проблема отсутствия точного информация об авторских правах/публикации когда дело доходит до изображений:

    …Изображения могут попасть в темная область, где они могут или могут не быть защищенным авторским правом. Эти ситуации опасны пользователю и раздражает исследователь изображений или исследователь разрешений кто должен попытаться убедить издателя что он имеет законное право на воспроизводить. Когда авторские права неизвестны или двусмысленно, издателям приходится рассчитывать риск решения….( п. 216).

    • Стивен Фишман, Общественность Домен: как найти и использовать без авторских прав Письма, музыка, искусство и многое другое .2-е изд. Беркли, Калифорния: Ноло, 2004. [Номер LC: KF3022.Z9 F57 2004]
    Верх страницы

    1б. Как вы планируете использовать изображение?

    После того, как вы соберете все факты доступны о правах, связанных с участием изображение, подумайте, как вы планируете использовать изображение.

    • Можно ли считать ваше использование «добросовестным использовать» ? Раздел 107 У.S. Закон об авторском праве содержит список различных целей для которого воспроизводится конкретный работа может считаться «честной», такой как критика, комментарий, новость отчетность, преподавание, стипендия, и исследования. См. Информационный бюллетень часто задаваемых вопросов Бюро регистрации авторских прав США. о добросовестном использовании, https://www.copyright.gov/help/faq/faq-fairuse.html.

    • Некоторая информация о конфиденциальности и Права на рекламу доступны в Библиотека Конгресса онлайн «Юридическое» уведомление на http://www.loc.gov/homepage/legal.html#privacy_publicity

    Начало страницы


    2. Все это кажется сложным Когда все, что мне нужно, это чтобы ты подпишите форму, дающую мне разрешение!

    Как государственное учреждение, Библиотека Конгресса, как правило, не владеет правами на материалы коллекций и не не взимать плату за разрешение за использование материалов из коллекций.Мы не может подписывать формы разрешений, потому что, за одним исключением ( Seagram Здание окружного суда архивы), Отдел печати и фотографий не выдает разрешений на публиковать или иначе распространять материалы из его коллекций. Для других материалов в фондах отдела разрешено только вам нужно то, что может быть требуется от любой владелец авторских прав или донор, самостоятельно библиотеки.

    Начало страницы


    3. Если у меня отображается офф сайт значит это нормально использовать?

    Библиотека отображает изображения в формате JPEG и tiffs вне сайта для этих изображений для что показывает анализ прав:

    1. о том, что «Нет известных ограничения», ИЛИ
    2. что срок действия авторских прав истек, ИЛИ
    3. , который выпустил создатель его права ИЛИ
    4. что создатель согласился разрешить свои изображения быть отображается, но все еще сохраняется публикация права.
      Пример:
    5. что подавляющее большинство изображений в большой коллекции не ограничены, несмотря на то, что права оператор сообщает о выборе случаи куда могут применяться ограничения; с этими коллекциями, ни у кого нет когда-либо успешно утверждал такие права.
      Примеры:

    Хотя подавляющее большинство изображений, которые отображают JPEG и размолвки вне сайта попадают в первую три категории, обязательно у тебя нет забрел в одну из немногих коллекций в четвертой категории. Кроме того, хотя тот факт, что jpeg/tiff отображение за пределами сайта может предложить некоторые подсказки как к статусу прав на изображение, вам еще нужно будет сделать твой собственный решимость.Как всегда, вам нужно рассматривать вопросы прав, в том числе авторское право, конфиденциальность, публичность и смежные права в свете вашего предполагаемое использование.

    Верх страницы

    4. Как я должен указать Библиотеку в качестве источника изображений я с использованием?

    Когда материалы из Библиотеки коллекции воспроизведены в издании или веб-сайт или иным образом распространяемый, Библиотека просит любезности кредитной линии.

    В идеале кредит будет включать

    • ссылка на библиотеку Конгресса и
    • конкретная коллекция который включает в себя изображение, и
    • номер воспроизведения изображения (негатив, прозрачность, или цифровой идентификационный номер).

    Такой кредит способствует получению стипендии помогая исследователям найти материал и признает вклад сделано библиотекой г. Конгресс.

    Пример:
    Коллекция братьев Райт, гравюры и фотографии Подразделение Библиотеки Конгресса, LC-ppmsca-04598.

    Когда пространство не позволяет такая надпись, более короткие версии может быть использовано.

    Примеры:
    • Библиотека Конгресса, LC-USZ62-13459
    • LOC, LC-ppmsca-09756
    • Библиотека Конгресса, C4-2356

    Последняя редакция: окт.2021.

    2783840 — Рекомендации по безопасности домена

    Симптом

    • В SuccessFactors LMS права собственности на данные во многих случаях принадлежат администраторам LMS и зависят от структуры домена, ограничений домена и ролей.
    • Эта статья базы знаний поможет решить проблемы с настройкой безопасности домена.

    Изображения/данные в этом KBA взяты из внутренних систем SAP, демонстрационных данных или демонстрационных систем.Любое совпадение с реальными данными чисто случайно.

    Окружающая среда

    Система управления обучением SAP SuccessFactors

    Разрешение

    Модель безопасности LMS

    • Домены и доменные ограничения
    • Роли и разрешения

    Убедитесь, что «местный» подход к обучению так же силен, как и глобальный подход

    • Локальное администрирование и управление
    • Обеспечение администрирования обучения не только централизованно, но и локально для других частей организации
    • Домены и безопасность домена
    • Организационная структура
    • Региональные каталоги
    • Профили назначения
    • Локальные программы

     

    Домены – необходимы для администрирования

               Домены предназначены для администраторов — Каталоги предназначены для пользователей      

    Ключевые термины

    • Домены : Домены являются основой обучения SAP SuccessFactors Learning, поскольку они определяют структуру безопасности.
    • Ограничение домена : Ограничение домена — это список доменов, которые вы хотите открыть для группы администраторов.
    • Объекты : Объекты — это объекты в системе, которые могут быть присоединены к домену (пользователь, код учетной записи, элемент обучения и т. д.).
    • Функции : Функции — это действия, которые можно выполнять над объектом, такие как добавление, удаление или редактирование.
    • Разрешения : Разрешения представляют собой комбинацию объектов и функций (добавление пользователя или удаление кода учетной записи).
    • Роль : Роли — это группы пользователей с одинаковыми настройками домена, разрешений и ограничений домена (например, американские администраторы обучения могут добавлять элементы обучения в домены Северной Америки и Южной Америки).

    Пример домена

    • Каждая запись хранится в домене — пользователь, элемент, инструктор, запланированное предложение
    • Домен хранит один или несколько типов записей
    • Администраторы имеют доступ к одному или нескольким доменам
    • Доступ может включать поддомены

    ПУБЛИЧНЫЙ домен

    Каждая реализация имеет домен безопасности PUBLIC, доступный всем администраторам.

    • При внедрении SuccessFactors Learning вы начинаете с домена безопасности под названием PUBLIC.
    • Этот домен доступен всем администраторам, и все администраторы несут ответственность за безопасность данных в ОБЩЕСТВЕННОМ домене.
    • Он существует вне любых других доменов или иерархий, которые вы создаете.
    • Общепринятой практикой является использование PUBLIC в качестве общего сетевого ресурса.

    Пример:

    • Представьте себе администратора обучения из Северной Америки и администратора обучения из Южной Америки.Каждый имеет доступ к своему региональному домену (североамериканскому домену или южноамериканскому домену).
    • Если североамериканскому администратору нужна копия элемента обучения южноамериканского администратора, южноамериканский администратор может скопировать его и разместить копию в ОБЩЕСТВЕННОМ домене.
    • Североамериканскому администратору достаточно изменить поле Домен элемента обучения на Североамериканский и взять на себя ответственность за безопасность этого элемента обучения.

    Ограничения домена – управление доступом администратора

    • Ограничения домена — это записи, определяющие, в каких доменах могут работать администраторы.
    • Если администратор имеет неограниченный доступ, он может выполнять задачи для записей во всех доменах.
    • При наличии ограничений администратор может выполнять записи задач только в доменах, включенных в ограничение домена.
    • Ограничения домена могут содержать любую комбинацию доменов.
    • Должно быть хотя бы одно доменное ограничение для каждой уникальной комбинации доменов, в которой группа администраторов должна иметь возможность выполнять задачи.

    Обучение администрированию и поддержке

    Администраторы получают доступ к системе, чтобы управлять требованиями к обучению и заданиями для пользователей, предоставлять доступ к учебным материалам (онлайн и запланированные предложения по обучению) и управлять учебными ресурсами.

    • LMS содержит определения ролей, содержащие набор разрешений, предоставляющих доступ к функциям.
    • Пользователям назначается одна роль, тогда как администраторам может быть назначено несколько ролей.
    • Для администраторов каждая роль определяет доступ к объектам данных с использованием ограничений домена и предоставляет возможности рабочего процесса административным функциям.
    • Одна или несколько из этих ролей могут быть назначены администратору.
    • Кроме того, домены ограничивают некоторые роли, ограничивая доступ к объектам LMS домена.

    Модель безопасности домена

    • Централизованное управление > Распределенное управление             
    • Несколько выделенных администраторов > Большая база администраторов

    Структура домена должна в первую очередь определяться сложностью, делегированием и распределением администраторов. Вам нужно более одного домена только в том случае, если вам нужно запретить некоторым администраторам видеть другую сущность, установленную для других.

    Управление ролями администратора — разрешения (рабочие процессы)

    Роли определяют, что администратор может делать с данными, хранящимися в домене, к которому у администратора есть доступ.Они состоят из рабочих процессов — комбинаций функций (действий) и сущностей, предоставляющих системные права.

    Роли администратора — все вместе

    Админ — ВОЗ.  

      

    Ограничение по функциям или объектам

    Ограничения домена могут применяться к рабочим процессам по функциям или объектам.

    Несколько ролей администратора

    Процесс внедрения административной безопасности

    Обучение администрированию — централизованные роли (без ограничений домена)

    • Системный администратор : Эта роль предоставляет доступ к системным административным разрешениям, необходимым для настройки конфигурации приложений и управления безопасностью.Ограничений по домену нет.
    • Дизайнер отчетов : Эта роль может импортировать и экспортировать отчеты для создания пользовательских отчетов. Ограничений по домену нет.
    • Служба поддержки : Эта роль предоставляет пользователям доступ к просмотру для оказания помощи конечному пользователю. Ограничений по домену нет.
    •   Администратор местоположения : эта роль позволяет администратору создавать и редактировать сведения о местах обучения. Ограничений по домену нет.
    • Менеджер по качеству : Эта роль обеспечивает возможность управления качеством и распространения профиля назначения. Ограничений по домену нет.
    •   Администратор опроса : Эта роль позволяет администратору добавлять, редактировать и удалять анкеты опроса. Ограничений по домену нет.
    •   Администратор инструктора : Эта роль позволяет администратору добавлять, редактировать и удалять информацию о инструкторах. Ограничений по домену нет.
    • Администратор предметной области : Эта роль позволяет администратору добавлять, редактировать и удалять предметные области. Ограничений по домену нет.
    • Координатор профилей назначений : Эта роль определяет и распространяет профили назначений. Ограничений по домену нет. Администратор управления потребностями пользователей: эта роль позволяет назначать только обучение. Ограничений по домену нет.

    Обучение администрированию — распределенные роли (ограничения домена)

    Координатор обучения: Координатор обучения добавляет предметы и учебные программы в LMS.Эта роль также назначает пользователям потребности в обучении и может добавлять учебную программу в определенный профиль назначения для автоматизации учебных заданий. Эта роль может записывать обучающие события. Эта роль ограничена доменом.

    • Планировщик : Координатор планирования обучения добавляет запланированные предложения для поддержки пользователей, выполняющих требования к обучению. Эта роль может записывать обучающие события для предложений по расписанию. Эта роль ограничена доменом.
    •   Отчеты : Эта роль предоставляет возможность запуска выбранных ориентированных на пользователя отчетов, полезных для метрических данных.Эта роль не ограничена доменом, поскольку все пользователи находятся в одном домене.
    • Координатор экзамена : Эта роль настраивает экзамены с использованием внутренних функций экзамена LMS. Эта роль ограничена доменом.
    • Exam Reporter : Эта роль позволяет запускать выбранные отчеты, относящиеся к экзаменам. Эта роль не ограничена доменом, поскольку все пользователи находятся в одном домене.
    • Финансовый координатор : Эта роль позволяет администратору просматривать записи о финансовых транзакциях.Эта роль не ограничена доменом.
    • Workers Council : Эти роли (WoC SE и WoC LGD) обеспечивают возможность запуска выбранных пользовательских отчетов, были созданы в соответствии с конкретными и согласованными требованиями к отчетам WoC. Эта роль не ограничена доменом. Результаты отчета доступны только немецким сотрудникам (CC 0001 и CC0023).
    • Администратор программы : Администратор программы добавляет, редактирует или удаляет программы в LMS. Эта роль ограничена доменом.

    Управление доменом обучения

    • Могут ли администраторы изменять объекты обучения за пределами своего домена?
    • Предметы, расписания, учебные программы, онлайн-контент
    • Может ли администратор создавать предложения по расписанию для элементов за пределами своего домена?
    • Может ли администратор добавлять зарегистрированных пользователей в предложение расписания за пределами своего домена?
    • Может ли администратор добавлять свои товары в любой каталог?

    Управление ресурсами

    • Будущие места и сооружения (т.е. классная комната, здания) остаются в центральном домене?
    • Могут ли администраторы получить доступ к любому месту (например, классу) для использования в запланированном предложении?
    • Останется ли оборудование в центральном домене?
    • Преподаватели останутся в центральном домене?
    • Могут ли администраторы добавлять авторизованные элементы любым инструкторам?
    • Все материалы останутся в центральном домене?

    Управление пользователями

    • Вам нужно добавить новых пользователей вручную?
    • Вам нужно назначить обучение ЛЮБОМУ пользователю или только пользователям ДОМЕНА?
    • Нужно ли регистрировать ЛЮБОГО пользователя?
    • Вам нужно записывать обучающее событие для ЛЮБОГО пользователя или только для пользователей ДОМЕНА?
    • Вам нужно записывать событие обучения для ЛЮБОГО элемента или только для элементов ДОМЕНА?
    • Нужно ли записывать обучающее мероприятие для ЛЮБОГО запланированного предложения или только для расписаний ДОМЕНА?

     

    Ключевые слова

    SF, факторы успеха, LMS, безопасность домена, роли и рабочие процессы сущностей, разрешения, доступ, администраторы

    , KBA , LOD-SF-LMS-WOR , Роли и рабочие процессы , Как

    Продукт

    SAP SuccessFactors Изучение всех версий

    Ограничение на 8 событий и сценарии проверки домена: проблемы iOS 14

    Пока рекламодатели готовятся к запуску подсказки iOS 14, самые громкие жалобы связаны с ограничением в 8 событий.Либо они не могут настроить свои восемь событий, либо ограничивают оптимизацию воздействия на тех, кто видит вашу рекламу в Facebook. Facebook покажет вашу рекламу людям, которые с наибольшей вероятностью выполнят желаемое действие. до восьми событий слишком ограничены для их бизнес-модели.

    Давайте поговорим о том, что такое ограничение в 8 событий и как оно влияет на бизнес в следующих сценариях:

    • Малый бизнес и однопиксельный
    • Дом брендов под одним доменом
    • Агентское управление несколькими клиентскими доменами
    • Управление агентством нескольких клиентов в принадлежащем агентству домене
    • События на не принадлежащем владельцу домене (платформа Ecomm)

    Объяснение предела в 8 событий

    Facebook вносит несколько изменений в свои рекламные инструменты, в основном в ответ на запрос Apple о конфиденциальности iOS 14.

    С начала весны 2021 года пользователи многих приложений для iOS (включая Facebook и Instagram) будут получать запрос на разрешение отслеживания в рекламных целях. Это не скрытая настройка или ситуация, когда люди будут включены по умолчанию. Им нужно будет на него ответить.

    В ответ было создано ограничение в 8 событий для веб-событий. Хотя он напрямую отвечает за управление обработкой данных, когда люди отказываются от этого запроса, он будет иметь широкое влияние на всю веб-рекламу.

    Рекламодатели должны будут выбрать и ранжировать восемь веб-событий (стандартные события и пользовательские конверсии. Пользовательские конверсии позволяют создавать правила для событий или URL-адресов, чтобы вы могли лучше отслеживать и оптимизировать определенные действия с рекламой Facebook.), которые можно использовать в целях оптимизации. на домен. Если пользователь iOS отказывается от отслеживания, будет сообщено только о самом важном событии посещения.

    Но это ограничение распространяется не только на таргетинг на iOS. В будущем рекламодатели смогут оптимизировать только одно из восьми событий для каждого домена.Все, что выходит за пределы этих восьми, не будет доступно для оптимизации.

    Проверка домена

    Если в домене несколько пикселей, только владелец домена сможет настроить восемь событий (и связанных пикселей), которые можно использовать для оптимизации. Право собственности на домен подтверждается с помощью процесса, называемого подтверждением домена.

    Проверка домена завершена в разделе «Безопасность бренда» в Business Manager. Владелец домена имеет в своем распоряжении три (а возможно и два) способа подтверждения владения доменом.

    Теперь давайте поговорим о том, как это может повлиять на различные виды бизнеса…

    Малый бизнес и однопиксельный

    На прошлой неделе участник PHC – Elite указал, что технически не всем владельцам доменов необходимо подтверждать свои домены, чтобы настроить свои восемь событий. Это связано с оговоркой в ​​правилах, касающихся владения доменом.

    Из Facebook:

    Подтверждение домена не требуется для редактирования конфигураций событий, если у вас есть только один пиксель в вашем домене или если в вашем домене настроено несколько пикселей, но все они принадлежат одной и той же учетной записи Business Manager.Однако в этих случаях по-прежнему рекомендуется проверка домена.

    Если вы являетесь владельцем домена и на вашем веб-сайте установлен только пиксель, технически вам не нужно подтверждать свой домен. Или, если в вашем домене есть несколько пикселей, которые вы хотите использовать для настройки событий в рамках этих восьми событий, и все они подключены к вашему Business Manager, вам также не нужно подтверждать свой домен.

    После просмотра моей страницы конфигураций веб-событий я заметил, что это верно для одного из моих доменов, который еще не был проверен.Я все еще мог настраивать события.

    Итак, вопрос: Если вам не нужно верифицировать домен для настройки событий, стоит ли это делать?

    Да. Вам следует. Нет причин не подтверждать ваш домен. Это не только дает вам больше контроля над тем, кто может редактировать превью ваших ссылок, но и является хорошим способом доказать Facebook, что вы законны.

    Учитывая все жалобы, связанные с запретом рекламодателей, вы должны сделать все возможное, чтобы показать Facebook, что вы делаете все по правилам.Это включает в себя проверку домена и проверку бизнеса.

    Этим малым предприятиям часто проще всего настроить свои мероприятия. Восемь должно быть достаточно в большинстве случаев.

    Дом брендов под одним доменом

    Здесь все становится сложнее.

    Представьте себе международный бизнес с отдельными линиями продуктов и офисами в разных частях мира. У них есть отдельные отделы маркетинга и, возможно, отдельные рекламные агентства, управляющие различными сегментами.

    Но все они находятся в одном домене.

    Возможно, они используют поддомены, например…

    • shopping.website.com
    • shoes.website.com
    • uk.website.com
    • de.website.com

    Неважно. все они являются частью одного и того же домена. Результат? Все они будут иметь одни и те же восемь событий.

    В то время как эти отдельные сегменты, отделы маркетинга и агентства могут сообщать о пользовательских конверсиях и настраивать таргетинг на индивидуализированные аудитории веб-сайта. Индивидуальная аудитория веб-сайта сопоставляет людей, которые посещают ваш веб-сайт, с людьми на Facebook.Затем вы можете создавать объявления для показа этой аудитории. для деятельности, которая имеет отношение к их разделам веб-сайта, было бы невозможно использовать все их различные веб-события для оптимизации.

    Что им делать??

    Есть несколько вариантов, и один намного радикальнее другого.

    Вариант 1. Настройте отдельные домены для всех отдельных сегментов. Каждая линейка продуктов и местоположение получат свой собственный домен и собственный лимит в 8 событий для оптимизации.

    Вариант 2:

    1. Используйте один Business Manager
    2. Использовать один первичный пиксель для оптимизации
    3. Предоставьте другим сегментам доступ к пикселю и необходимым ресурсам в Business Manager
    4. Настройте восемь общих событий (вероятно, стандартных событий), которые будут применяться ко всем
    5. Разрешить отдельным сегментам добавлять собственные пиксели в свою часть веб-сайта для составления отчетов и создания пользовательской аудитории веб-сайта

    Вариант 2 имеет больше смысла.Он использует глобальный бренд и авторитет домена. Восемь событий, используемых в бизнесе, также создадут больше объема для оптимизации, даже если это не очень важно из-за различий в бизнес-сегментах.

    В конечном счете, я бы не стал предполагать, что вариант 2 окажет негативное влияние на бизнес. Вариант 1 может просто не стоит усилий.

    Агентское управление несколькими клиентскими доменами

    У некоторых агентств будет грубое пробуждение.

    Если вы до сих пор следовали рекомендациям, это не должно быть слишком сложно.Это то, что вы ДОЛЖНЫ делать:

    1. У вашего клиента должен быть свой бизнес-менеджер; если у них его нет, помогите создать
    2. Пиксель вашего клиента должен использоваться на их веб-сайте
    3. Попросите клиента добавить вас в качестве партнера в свой Business Manager и поделиться своим пикселем и необходимыми активами (страницей, аудиториями, возможно, рекламным аккаунтом)

    И затем, что касается лимита в 8 событий…

    1. Клиент должен будет подтвердить свой домен
    2. Клиент должен настроить свои восемь событий

    Конечно, им может понадобиться помощь.И если они добавят вас в свой Business Manager, в зависимости от предоставленного вам уровня доступа вы сможете предоставить больше, чем рекомендации.

    Проблема, конечно, будет у агентств, которые так не настраивают своих клиентов. Если вы не подключитесь к бизнес-менеджеру клиента и не получите доступ к пикселю клиента, а вместо этого выберете запуск всего через себя и свой собственный пиксель, вы скоро столкнетесь с некоторыми трудностями.

    Внезапно вам понадобится проверить эти клиентские домены, и вы не сможете (или не должны) сделать это через свой собственный Business Manager.И если только ваш пиксель находится в этих доменах, вам нужно, чтобы клиент выбрал ваш пиксель для конфигурации события, о чем они в конечном итоге пожалеют после того, как уволят вас.

    Почему? Потому что, если ваш пиксель использовался исключительно, ваш пиксель — это единственное, что собирает данные для оптимизации, создания отчетов и создания аудитории. Ваш пиксель нужно будет удалить, а восемь событий нужно будет перенастроить с новым пикселем — пикселем, который не был активен и, вероятно, будет испытывать трудности в начале.

    Вы больше не сможете прогонять все через себя. Начать нужно с клиента. Клиент владеет своим бизнесом, своим доменом и своим пикселем. Вам понадобится доступ к ним.

    Управление агентством нескольких клиентов в принадлежащем агентству домене

    На прошлой неделе у меня была беседа один на один с клиентом, которая представила уникальную ситуацию. У них много разных клиентов в одной отрасли. Малые предприятия, которые не могут позволить себе владеть и управлять собственными веб-сайтами. Это агентство имеет собственный веб-сайт и создает страницы на своем домене для каждого отдельного бизнеса.

    На первый взгляд это звучит как потенциальная катастрофа, связанная с лимитом в 8 событий. Но потом я стал больше думать об этом…

    Эти клиенты не владеют своим доменом. Домен принадлежит агентству. И все предприятия находятся в смежной отрасли, поэтому весь трафик, который проходит через них, одинаков. Это на самом деле потенциальная выгода, чтобы держать его вместе, потому что все это малые предприятия с небольшим бюджетом.

    Представитель спросил меня, должны ли они создавать отдельные домены для каждого клиента.Я не думаю, что это правильное решение.

    Поскольку домен принадлежит агентству, им необходимо его подтвердить. Их пиксель должен быть основным пикселем на этом веб-сайте. Агентство должно настроить восемь событий, которые должны быть актуальны для всех их клиентов, объединяя действия по всем им.

    Тем не менее, отдельные клиенты могут добавлять свои собственные пиксели на свои страницы. Это не будет частью конфигурации с восемью событиями, но его можно будет использовать для отчетов для конкретных клиентов и создания пользовательской аудитории веб-сайта.На самом деле, это может иметь смысл для агентства.

    События на не принадлежащем владельцу домене (платформа Ecomm)

    Возможно, самая большая проблема, с которой мы столкнулись, — это когда рекламодатель не владеет доменом и не может настраивать события. Я уже рассказывал об этом в недавнем посте, поэтому полностью переписывать не буду. Но подведем итоги…

    Вы можете владеть своим доменом. Возможно, пиксель находится в вашем домене. Вы можете подтвердить свой домен и настроить события для этого домена.Но, возможно, вы используете стороннюю платформу для продажи своего продукта. Вы не сможете настроить или оптимизировать это очень важное событие «Покупка».

    В этот момент у вас будет один, а то и два варианта:

    1. Оптимизация для кликов по ссылкамМетрика кликов по ссылкам измеряет все клики по ссылкам, которые направляют пользователей к объектам на Facebook и за его пределами. ссылка в вашем объявлении.или что-то еще при попытке получить продажи. Конечно, это не идеально. Но Покупка не будет одним из ваших событий оптимизации.

    2. Попросите сторонний веб-сайт перенаправить клиентов на страницу вашего веб-сайта после конверсии. До сих пор многие рекламодатели могли просто использовать свой пиксель в этом стороннем домене. Но теперь, если у вас есть возможность перенаправить, вы должны это сделать. И если эта опция недоступна, нажмите на поддержку этой платформы, чтобы она была создана!

    Узнать больше

    Это одна из многих тем, которые я освещаю в своей рекламе на Facebook и в тренинге по iOS 14.Это DEEP-коллекция из более чем 30 руководств, которые помогут вам подготовиться к этому обновлению. Уроки включают:

    • Встроенное видео
    • Загружаемое аудио
    • Письменное резюме
    • Ссылки по теме, чтобы узнать больше

    ПЕРЕЙДИТЕ СЮДА, ЧТОБЫ ЗАРЕГИСТРИРОВАТЬСЯ!

    Ваша очередь

    Существуют ли другие сценарии, которые создают проблемы для вас, связанные с ограничением в 8 событий или проверкой домена?

    Дайте мне знать в комментариях ниже!

    федералистов | Энциклопедия Первой поправки

    Название «Федералисты» было принято как сторонниками ратификации У.S. Конституции и членами одной из первых двух политических партий страны. Александр Гамильтон был влиятельным федералистом, написавшим множество эссе в «Федералисте» , опубликованном в 1788 году. Эти статьи выступали за ратификацию Конституции. Позже те, кто поддерживал агрессивную фискальную политику Гамильтона, сформировали Партию федералистов, которая выросла, чтобы поддержать сильное национальное правительство, расширительную интерпретацию полномочий Конгресса в соответствии с Конституцией посредством эластичной статьи и более меркантильную экономику.(Изображение с Викисклада, нарисовано Джоном Трамбаллом около 1805 года, общественное достояние)

    Название Федералисты было принято как сторонниками ратификации Конституции США, так и членами одной из первых двух политических партий страны.

    Федералисты боролись за принятие Конституции

    В конфликте 1788 года по поводу ратификации Конституции девятью или более съездами штатов сторонники федералистов боролись за сильный союз и принятие Конституции, а антифедералисты боролись против создания более сильного национального правительства и стремились покинуть Статьи Конфедерации, предшественницы Конституции, без изменений.

    В число федералистов входили крупные собственники на Севере, консервативные мелкие фермеры и бизнесмены, богатые купцы, священнослужители, судьи, юристы и профессионалы. Они выступали за более слабые правительства штатов, сильное централизованное правительство, непрямые выборы государственных чиновников, более длительные ограничения на срок полномочий должностных лиц и представительную, а не прямую демократию.

    Федералисты публиковали газеты Федералистов в газетах Нью-Йорка

    Столкнувшись с мощной антифедералистской оппозицией сильному национальному правительству, федералисты опубликовали в газетах Нью-Йорка серию из 85 статей, в которых они выступали за ратификацию Конституции.Сборник этих статей, написанных Джеймсом Мэдисоном, Александром Гамильтоном и Джоном Джеем (под псевдонимом Публий), был опубликован под номером Федералист в 1788 году.

    Через эти бумаги и другие письма федералисты успешно сформулировали свою позицию в пользу принятия Конституции.

    Джеймс Мэдисон был еще одним автором «Записок федералиста». Чтобы обеспечить принятие Конституции, федералисты, такие как Джеймс Мэдисон, пообещали внести поправки, специально защищающие индивидуальные свободы.Эти поправки, включая Первую поправку, стали Биллем о правах. Позже Джеймс Мэдисон стал демократом-республиканцем и выступал против многих политик федералистов.
    (Изображение предоставлено Исторической ассоциацией Белого дома, картина Джона Вандерлина в 1816 году, общественное достояние)

    Федералисты выступали за уравновешивание ветвей власти

    В свете обвинений в том, что Конституция создала сильное национальное правительство, они смогли доказать, что разделение властей между тремя ветвями власти защищает права людей.Поскольку три ветви были равны, ни одна из них не могла взять на себя управление другой.

    Когда федералисты оспаривали отсутствие индивидуальных свобод, они утверждали, что Конституция не включает билль о правах, потому что новая Конституция не наделяет новое правительство полномочиями подавлять индивидуальные свободы.

    Федералисты далее утверждали, что, поскольку было бы невозможно перечислить все права, предоставленные американцам, было бы лучше не перечислять ни одного.

    В конце концов, однако, чтобы гарантировать принятие Конституции, федералисты пообещали добавить поправки, специально защищающие индивидуальные свободы (федералисты, такие как Джеймс Мэдисон, в конечном итоге согласились поддержать билль о правах в основном для того, чтобы предотвратить возможность второго съезда, который может отменить работу первого).

    Федералисты пошли на компромисс и приняли Билль о правах

    Таким образом, после ратификации Конституции Мэдисон внес 12 поправок во время Первого Конгресса в 1789 году. Штаты ратифицировали 10 из этих поправок, теперь именуемых Биллем о правах, в 1791 году. Первая из этих поправок содержит гарантии свободы религии, слова , пресса, мирное собрание и петиция, а также интерпретируется как защита права на ассоциацию.

    В 1798 году, во время правления Джона Адамса, федералисты попытались подавить инакомыслие, приняв Закон о подстрекательстве к мятежу, который ограничивал свободу слова и печати.Хотя Партия федералистов была сильна в Новой Англии и на Северо-Востоке, она осталась без сильного лидера после смерти Александра Гамильтона и выхода на пенсию Адамса. Его все более аристократические наклонности и противодействие войне 1812 года способствовали его упадку в 1816 году.

    Хотя Билль о правах позволил федералистам и антифедералистам достичь компромисса, который привел к принятию Конституции, эта гармония не распространялась на президентство Джорджа Вашингтона; политические разногласия внутри кабинета вновь созданного правительства возникли в 1792 году по поводу национальной фискальной политики, разделив тех, кто ранее поддерживал Конституцию, на соперничающие группы, некоторые из которых объединились с бывшими антифедералистами.

    Те, кто поддерживал агрессивную фискальную политику Александра Гамильтона, сформировали Партию федералистов, которая позже разрослась, чтобы поддержать сильное национальное правительство, расширительную интерпретацию полномочий Конгресса в соответствии с Конституцией посредством гибкого положения и более меркантильную экономику.

    Их противники-демократы-республиканцы во главе с Томасом Джефферсоном и Джеймсом Мэдисоном, как правило, подчеркивали права штатов и аграрность. В 1798 году, во время правления Джона Адамса, федералисты попытались подавить инакомыслие, приняв Закон о подстрекательстве к мятежу, который ограничивал свободу слова и печати, но оппозиция этому закону помогла республиканцам-демократам одержать победу на выборах 1800 года.

    Партия федералистов прекратила свое существование в 1816 году

    Хотя Партия федералистов была сильна в Новой Англии и на Северо-Востоке, она осталась без сильного лидера после смерти Александра Гамильтона и выхода на пенсию Джона Адамса. Его все более аристократические наклонности и противодействие войне 1812 года способствовали его упадку в 1816 году.

    Эта статья была впервые опубликована в 2009 году. Митци Рамос — преподаватель политологии в Университете Северо-Восточного Иллинойса.

    Отправить отзыв об этой статье .

    Добавить комментарий

    Ваш адрес email не будет опубликован.