Konfiguracja uwierzytelniania w strukturze AD wiczenie 1
Transkrypt
Konfiguracja uwierzytelniania w strukturze AD wiczenie 1
Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak, Piotr Duch Konfiguracja uwierzytelniania w strukturze AD Ćwiczenie 1 – Wyłączanie uwierzytelniania LM 1. Otwórz Group Policy Management i odszukaj Default Domain Controllers Policy. 2. Edytuj Default Domain Controllers Policy i rozwiń gałąź Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. 3. Ustaw Network Security: LAN Manager authentication level na Send NTLMv2 response only. Refuse LM. Spowoduje to, że będą przyjmowane jedynie zapytania NTLM oraz NTLMv2, a odsyłane wyłącznie odpowiedzi NTLMv2. Zapytania LM będą ignorowane. 4. Uruchom gpupdate.exe aby odświeżyć Zasady grup. 1 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak, Piotr Duch Ćwiczenie 2 – Konfigurowanie blokowania konta 1. Otwórz Group Policy Management i odszukaj Default Domain Policy. 2. Edytuj Default Domain Policy i rozwiń gałąź Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy. 3. Ustaw następujące opcje: o Account lockout duration: 60 minut; o Account lockout threshold: 3 niepoprawne próby zalogowania; o Reser account lockout counter after: 60 minut. 4. Uruchom gpupdate.exe aby odświeżyć Zasady grup. 5. Skorzystaj z Active Directory Users and Computers i w Users załóż konto Admin1 z hasłem P@$$word, odznacz konieczność zmiany hasła przez użytkownika przy pierwszym logowaniu. 6. Otwórz właściwości stworzonego konta użytkownika Admin1 i dodaj go do grupy Administrators. 7. Wyloguj się i spróbuj 3 razy zalogować się jako Admin1 używając hasła kis i kolejny raz używając hasła P@$$word. Czy udało się? 8. Zaloguj się ponownie jako Administrator. 2 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak, Piotr Duch 9. Otwórz Dziennik zdarzeń i znajdź wpisy odpowiadające nieudanym próbom zalogowania się. 10. Odnajdź konto Admin1 w Active Directory Users and Computers. Czy konto jest zablokowane? 11. Otwórz właściwości konta użytkownika Admin1 i odblokuj je. 12. Wyloguj się i zaloguj ponownie jako Admin1 używając hasła P@$$word. Czy udało się zalogować? Ćwiczenie 3 – Konfigurowanie złożoności hasła 1. Otwórz Group Policy Management i odszukaj Default Domain Policy. 2. Edytuj Default Domain Policy i rozwiń gałąź Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy. 3 Projektowanie Bezpieczeństwa Sieci Bartosz Matusiak, Piotr Duch 3. Ustaw następujące opcje: o długość historii haseł: 6; o najdłuższy wiek hasła: 35 dni; o najkrótszy wiek hasła: 1 dzień; o minimalna długość hasła: 8 znaków; o hasło musi spełniać określone założenia złożoności: włączone; o przechowuj hasła używając odwracalnego szyfrowania: wyłączone. 4. Jaki będzie efekt zastosowania powyższych opcji? 5. Uruchom gpupdate.exe aby odświeżyć Zasady grup. Ćwiczenie 4 – Konfigurowanie ustawień protokołu Kerberos 1. Otwórz Group Policy Management i odszukaj Default Domain Policy. 2. Edytuj Default Domain Policy i rozwiń gałąź Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Kerberos Policy. 3. Zapoznaj się z dostępnymi możliwościami konfiguracji protokołu Kerberos. 4. Ustaw maksymalny czas tolerancji na 3 minuty. 5. Uruchom gpupdate.exe aby odświeżyć Zasady grup. 4