Комментарии 8
Что-то не упомянуты Managed Service Accounts
Можно применить следующее решение:
политику блокировки учетных записей распространить на всех, в том числе и на служебные учетные записи;
в случае блокировки служебной учетной записи осуществлять ее немедленную разблокировку и оповещение администратора безопасности о факте блокировки с указанием компьютера, на котором был неверно введен пароль.
Зачем же такие «костыли»!? Вы всё равно блокируете УЗ, всё-равно «вздрогнет» репликация, а может где-то что-то не отработает как должно.
Если уж задаваться такой целью — не проще ли анализировать журналы на предмет неуспешных попыток?
На контроллере домена в планировщике событий настраиваем задание, срабатывающее по событию блокировки конкретной служебной учетной записи:
Зачем?
Если можно так же сделать задание, срабатывающее на не успешную авторизацию, а там уж на что фантазии хватит: можно считать попытки неуспешные с одного хоста, можно фаерволиться от этого хоста, можно вообще находить его розетку и отключать (если есть такая возможноть), ну или уведомлять администратора!
Блокировка полноценной работы
Вообще «велосипед».
Для таких целей есть куда более подходящие штатные инструменты, описанные например здесь
Более подходящие уже потому, что, к примеру, существуют такие настройки: https://support.microsoft.com/kb/231287/, которые могут Вам понадобиться.
Если уж задаваться такой целью — не проще ли анализировать журналы на предмет неуспешных попыток?
Можно поступить и так, но в обоих случаях возможность уведомления придется решать либо скриптом, либо дополнительным ПО (например NetWrix).
Зачем?
Если можно так же сделать задание, срабатывающее на не успешную авторизацию,
Согласен, написал в статье о такой возможности, просто пример приводил именно того, как это было реализовано. А накручивать в эту сторону можно далеко.
НЛО прилетело и опубликовало эту надпись здесь
Бред какой-то… По большей части — увидели 3 галочки… написали… круто чо :)
Ладно. На самом деле — защита служебных учетных записей не такая уж и сложная задача. На них тоже распространяются правила общей безопасности (сложность пароля, срок действия и т.д.). Но вот уровень сложности — тут намного выше, а срок действия намного короче. Ибо надо не просиживать штаны на работе, а выполнять ее.
Блокировка служебной учетки? Да ну бред… Ну где это видано, чтобы забанить учетку мускла, когда у тебя за спиной 3к пользователей? Во работа то встанет! А изначально пару тройку часов будешь курить бамбук и не понимать, почему кривая 1С не коннектится? Было. Пройдено. Только эта маленькая оплошность лишит компанию пары-тройки миллионов прибыли.
Автоматическая разблокировка? Круто! Опять возвращяемся к нашим баранам во главе с продукцией 1С (да и любого аналога). Блокировка даже миллисекундная — вылет всех клиентов. Это несколько минут задержки работы компании в целом. И скорей всего потеря клиентов компании. Нормальные аналитики — сразу такого админа выкинут из штата.
По сути, вся статья написана тем, кто вообще не понимает АД. А наткнулся на пару примеров и из курса лекций школьного учителя информатики запомнил только «блокировка учетных записей». А функционал АД 2008 и 2012, да чего там далеко ходить и 2013 в разы, как бы не в десятки раз, стал эффективней чем был при 2к4 и тем более чем 2к, где добиться нечто более действенного требовало стронний софт.
БестПрактайсы — это НЕ РУКОВОДСТВО к действию, а ПРИМЕРЫ РАЗНООБРАЗНЫХ ВНЕДРЕНИЙ.
ФСТЕК — что нужно сделать, но не как!
PS Ничего личного, но это факт. И те, кто будут принимать решение о внедрении тех методов, что представлены, лучше еще раз подумайте, над тем, что вы будете делать.
Ладно. На самом деле — защита служебных учетных записей не такая уж и сложная задача. На них тоже распространяются правила общей безопасности (сложность пароля, срок действия и т.д.). Но вот уровень сложности — тут намного выше, а срок действия намного короче. Ибо надо не просиживать штаны на работе, а выполнять ее.
Блокировка служебной учетки? Да ну бред… Ну где это видано, чтобы забанить учетку мускла, когда у тебя за спиной 3к пользователей? Во работа то встанет! А изначально пару тройку часов будешь курить бамбук и не понимать, почему кривая 1С не коннектится? Было. Пройдено. Только эта маленькая оплошность лишит компанию пары-тройки миллионов прибыли.
Автоматическая разблокировка? Круто! Опять возвращяемся к нашим баранам во главе с продукцией 1С (да и любого аналога). Блокировка даже миллисекундная — вылет всех клиентов. Это несколько минут задержки работы компании в целом. И скорей всего потеря клиентов компании. Нормальные аналитики — сразу такого админа выкинут из штата.
По сути, вся статья написана тем, кто вообще не понимает АД. А наткнулся на пару примеров и из курса лекций школьного учителя информатики запомнил только «блокировка учетных записей». А функционал АД 2008 и 2012, да чего там далеко ходить и 2013 в разы, как бы не в десятки раз, стал эффективней чем был при 2к4 и тем более чем 2к, где добиться нечто более действенного требовало стронний софт.
БестПрактайсы — это НЕ РУКОВОДСТВО к действию, а ПРИМЕРЫ РАЗНООБРАЗНЫХ ВНЕДРЕНИЙ.
ФСТЕК — что нужно сделать, но не как!
PS Ничего личного, но это факт. И те, кто будут принимать решение о внедрении тех методов, что представлены, лучше еще раз подумайте, над тем, что вы будете делать.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита служебных учетных записей Microsoft