Hoofdstuk 7 - Beveil..

Report

Met behulp van beleid (policy) kan een
beheerder instellingen configureren. Deze
instellingen hebben betrekking op de
beveiliging van de toegang tot een domein of
tot de individuele systemen in het domein of
op het netwerk.
Beveiliging en beheer
2


Met behulp van beleid vermijdt u dat
gebruikers handelingen verrichten die door
het bedrijf niet zijn toegestaan.
Via de beleidsinstellingen kunnen
gebruikersmogelijkheden helder,
overzichtelijk en automatisch worden
aangeboden.
Beveiliging en beheer
3

Beleid kunt u op twee manieren instellen:
◦ met de MMC-module Local Security Policy
◦ met de MMC-module Group Policy Management
Editor.
Beveiliging en beheer
4


In de MMC-module Local Security Policy
bevinden zich de beveiligingsinstellingen
voor een computer in het netwerk.
Dit is hetzelfde als de MMC Lokaal
beveiligingsbeleid in Windows Vista.
Beveiliging en beheer
5

U start deze MMC-module via Start,
Administratieve Tools, Local Security Policy.
Beveiliging en beheer
6

U kunt de MMC Local Security Policy ook
opvragen met het commando secpol.msc
Beveiliging en beheer
7

Het venster Local Security Policy verschijnt. U
ziet dat het venster uit zeven hoofdgroepen
bestaat
Beveiliging en beheer
8


Het venster Local Security Policy verschijnt. U
ziet dat het venster uit zeven hoofdgroepen
bestaat
Beveiliging en beheer
9

De Account Policies dienen om de veiligheid
te vergroten en zijn onderverdeeld in drie
containers :
◦ Password Policy;
◦ Account Lockout Policy;
◦ Kerberos Policy.
Beveiliging en beheer
10


Dubbelklik op de container Account Policies.
De drie containers: Password Policy, Account
Lockout Policy en Kerberos Policy verschijnen.
Beveiliging en beheer
11


Dit beleid bepaalt de veiligheidseisen op de
computer (niet per gebruiker).
Als u dubbelklikt op de container Password
Policy kunt u in het rechtervenster zes
instellingen voor het wachtwoordbeleid
aanpassen
Beveiliging en beheer
12

In de rechtervenster ziet u dat op zes
verschillende instellingen het
wachtwoordbeleid kunt aanpassen.
Beveiliging en beheer
13


Windows Server 2008 onthoudt eerder
gebruikte wachtwoorden.
Als standaard is dit beleid ingesteld op 24
verschillende wachtwoorden. Dit betekent dat
de laatste 24 wachtwoorden worden
onthouden. Een wachtwoord kan dus pas
weer gebruikt worden nadat het 24 keer is
gewijzigd.
Beveiliging en beheer
14

Klik op Enforce password history; u ziet dat u
de ingestelde waarde 24 niet kunt
veranderen.
Beveiliging en beheer
15



De reden is simpel: u hebt de server
gepromoveerd tot domeincontroller.
Binnen een domein geldt dat de instellingen
van de Default Domain Policy boven de Local
Security Policy gaat.
De lokale waarden worden overgenomen door
de Default domain Settings.
Beveiliging en beheer
16


Groepsbeleid kan zowel op het niveau van het
domein als op het niveau van de organisatieeenheden (OU’s) bepaald worden.
Hierdoor kunnen we een algemeen beleid
voor het domein bepalen en variaties
(aanvullingen of uitzonderingen) daarop
vastleggen per OU.
Beveiliging en beheer
17


Alle domeincontrollers in het domein worden
beïnvloed door de instellingen die in deze
MMC-module worden opgeslagen.
U roept dit beleid op met de MMC-module
Group Policy Management Editor.
Beveiliging en beheer
18

Een GPO of Group Policy Object
(groepsbeleidsobject) biedt de mogelijkheid om
instellingen voor groepsbeleid op te slaan in
een enkel object. GPO’s worden opgeslagen in
de Active Directory (AD).
Beveiliging en beheer
19


U kunt ook een GPO aanmaken op basis van
een reeds bestaande GPO (Source Starter
GPO).
Dan heeft het nieuwe groepsbeleidsobject
alle instellingen en bijhorende waarden die in
het Source Starter GPO werden gedefinieerd.
Beveiliging en beheer
20


GPO’s worden verwerkt op het niveau waarop
ze geplaatst zijn.
Er kunnen meerdere GPO’s in één domein
aangemaakt worden.
Beveiliging en beheer
21

GPO’s worden in de volgende volgorde
uitgevoerd:
◦
◦
◦
◦
De lokale GPO.
De Site niveau geplaatste GPO’s.
De op domein niveau geplaatste GPO’s.
Ten slotte de in een OU geplaatste GPO’s.
Beveiliging en beheer
22


Bepaalde OU’s worden nogmaals
onderverdeeld in andere OU’s.
De GPO’s die in de OU op een lager niveau
zijn verstrekt, gaan boven die op een hoger
niveau.
Beveiliging en beheer
23

Het maken van groepsbeleid doet u met de
Group Policy Management Editor als volgt.
Beveiliging en beheer
24

Open de Group Policy Management Editor via
Start, Administrative Tools, Group Policy
Management.
Beveiliging en beheer
25


Navigeer naar het domein: GVB.be in
Forest: GVB.be/Domains).
Klik met rechts op de domeinnaam en maak
een nieuw GPO (Group Policy Object).
Beveiliging en beheer
26

Selecteer Create a GPO in this domain, and
link it here.
Beveiliging en beheer
27

Geef de GPO een nieuwe naam Main GPO en
klik vervolgens op OK.
Beveiliging en beheer
28

Verwijder de GPO Main GPO door er met de
rechtermuisknop op te klikken en Delete te
selecteren
Beveiliging en beheer
29

U gaat nu de GPO Default Domain Policy
bewerken.
Beveiliging en beheer
30

Open de GPO Default Domain Policy; klik erop
met de rechtermuisknop en kies Edit.
Beveiliging en beheer
31

Bij het openen van de Group Policy Management
Editor ziet u dat binnen een GPO tweemodules
voorkomen:
◦ Computer Configuration.
◦ User Configuration.
Beveiliging en beheer
32

In deze modules bevinden zich verschillende
containers, ingedeeld naar specifiek te
configureren policies.
Beveiliging en beheer
33


Deze module bevat de groepspolicies voor het
computersysteem onafhankelijk van de
gebruiker.
Dit beleid wordt toegepast tijdens het opstarten
van het computersysteem.
Beveiliging en beheer
34

Deze module bevat de groepspolicies voor de
gebruiker onafhankelijk van het
computersysteem.
Beveiliging en beheer
35

Via Computer configuration, Windows Settings,
Security Settings kunt u het beleid via een GPO
dat gelinkt kan zijn aan een site, een domein of
een OU bekijken of bewerken.
Beveiliging en beheer
36

Selecteer de container “Account Policies” en
open vervolgens de container “Password Policy”.
Beveiliging en beheer
37

U ziet dezelfde zes verschillende opties als bij
de Password Security van de Local Security
Policy.
◦
◦
◦
◦
◦
◦
Enforce password history.
Maximum password age.
Minimum password age.
Minimum password length.
Password must meet complexity requirements.
Store password using reversible encryption.
Beveiliging en beheer
38
Beveiliging en beheer
39

Met deze optie dwingt u de gebruiker een
wachtwoord niet steeds opnieuw te gebruiken.
Beveiliging en beheer
40

Als hier de waarde 24 staat, wat de
standaardinstelling is, betekent dit dat een
wachtwoord pas weer kan worden gebruikt als er
tussentijds 24 verschillende wachtwoorden zijn
gebruikt.
Beveiliging en beheer
41

Selecteer de optie Define this policy setting en
verander de waarde 24 in de waarde 3. Klik op
OK.
Beveiliging en beheer
42



Met deze optie dwingt u de gebruiker een
wachtwoord een maximum aantal dagen te
gebruiken.
Indien deze periode is verstreken, moet een
nieuw wachtwoord worden gebruikt.
Standaard verloopt het wachtwoord na 42
dagen. Dus na 42 dagen moet de gebruiker een
nieuw wachtwoord instellen.
Beveiliging en beheer
43


Afhankelijk van de belangrijkheid, kan de
beheerder een kortere of een langere tijd
instellen.
Natuurlijk is het beter het wachtwoord niet te
lang laten staan, omdat dan de geheimhouding
niet meer is verzekerd.
Beveiliging en beheer
44

Dubbelklik op de policy Maximum password
age. Laat de standaardinstelling staan en klik op
OK.
Beveiliging en beheer
45


Met deze optie dwingt u de gebruiker een
wachtwoord gedurende een minimum aantal
dagen te gebruiken, voordat een nieuw
wachtwoord kan worden gebruikt.
Hiermee voorkomt u dat de gebruiker heel snel
een aantal wachtwoorden gebruikt en dan weer
gebruik kan maken van zijn oude wachtwoord.
Beveiliging en beheer
46

Verander de standaardwaarde in 30 en klik
vervolgens op OK.
Beveiliging en beheer
47


Met deze optie dwingt u de gebruiker een
vastgesteld aantal karakters te gebruiken.
Hiermee wordt vermeden dat gebruikers lege of
te korte wachtwoorden kunnen gebruiken.
Standaard is de instelling 7 karakters.
Beveiliging en beheer
48

Verander deze standaardwaarde in de waarde 5.
Beveiliging en beheer
49


Met deze optie dwingt u de gebruiker een
combinatie van hoofdletters, letters, leestekens
en cijfers te gebruiken.
Het niveau van de netwerkbeveiliging neemt
hierdoor toe.
Beveiliging en beheer
50

Laat de standaardinstelling staan op “Enable” en
klikt op “OK”.
Beveiliging en beheer
51


Dit beleid geeft de mogelijkheid applicaties te
draaien die protocollen gebruiken die voor
authenticatiedoeleinden kennis moeten hebben
van het wachtwoord van de gebruiker.
Wachtwoorden opslaan met omkeerbare
encryptie is hetzelfde als cleartext versies
opslaan van deze wachtwoorden. Juist om deze
reden zou dit beleid nooit aangezet mogen
worden.
Beveiliging en beheer
52

Laat deze optie ongewijzigd of “Disable”.
Beveiliging en beheer
53

Het “Password Policy” is nu volledig ingesteld.
Beveiliging en beheer
54


Zoals we al hebben gezien, zijn GPO’s goede
mogelijkheden om centraal uw netwerk te
beheren.
U kunt namelijk organisatie-eenheden
aanmaken. Deze zijn meestal een afspiegeling
van uw organisatie.
Beveiliging en beheer
55



Wij hebben al een OU ‘Leerlingen’ aangemaakt.
U kunt dan een GPO aanmaken; een Group Policy
Object.
Let op: deze worden niet op een groep gezet,
maar op een Organisational Unit.
Beveiliging en beheer
56


Start de Group Policy Management console.
Selecteer Group Policy Objects, klik met de
rechtermuisknop en selecteer vervolgens New.
Beveiliging en beheer
57

Geef de nieuwe GPO de naam Leerlingen en klik
vervolgens op.
Beveiliging en beheer
58

De GPO Leerlingen is aangemaakt.
Beveiliging en beheer
59


Link de GPO aan de organisatie eenheid Leerlingen.
Klik op de OU Leerlingen met de rechtermuisknop
en selecteer Link an Existing GPO…
Beveiliging en beheer
60

Dubbelklik op de GPO Leerlingen.
Beveiliging en beheer
61

De GPO Leerlingen is nu gekoppeld aan de
organisatie groep Leerlingen.
Beveiliging en beheer
62

Stel het wachtwoordbeleid in voor de GPO
Leerlingen.
◦
◦
◦
◦
Geschiedenis wachtwoord bijhouden op 3.
Maximum leeftijd van het wachtwoord 30.
Minimum leeftijd van het wachtwoord 29.
Minimum lengte van het wachtwoord 5.
Beveiliging en beheer
63



Om te vermijden dat de harde schijven van de
fileserver worden volgeschreven, kunt u de
opslagcapaciteit instellen.
U kunt dat doen voor alle gebruikers van het
domein of per organisatie-eenheid.
Wij gaan de opslagcapaciteit instellen op de
organisatie-eenheid Leerlingen.
Beveiliging en beheer
64



Start de Group Policy Management Console.
Open de GPO Leerlingen.
Open de container Disk Quotas via Computer
Configuration/Administrative
Templates/System/Disk Quotas.
Beveiliging en beheer
65

Dubbelklik op de setting Enable disk quotas.
Selecteer het keuzerondje Enable en klik
vervolgens op de knop Next Settings om de
eerst volgende setting in te stellen.
Beveiliging en beheer
66

Enable Enforce disk quota limit Properties en klik
vervolgens op Next Settings.
Beveiliging en beheer
67


Enable de Default quota and warning level
Properties. Wijzig de waarde op 500 MB.
Rol de pagina naar beneden via het pijltje en
wijzig de Warning Value op 400 MB.
Beveiliging en beheer
68

Als de gebruiker (in de OU Leerlingen) een
diskcapaciteit van 400 MB bereikt heeft,
ontvangt hij een waarschuwing. Bij het bereiken
van een diskcapaciteit van 500 MB kan hij niets
meer opslaan.
Beveiliging en beheer
69

Hier kunt u eventueel de log activeren om een
overzicht te hebben wie de opslagcapaciteit
bereikt heeft.
Beveiliging en beheer
70


Enable de log.
De opslagcapaciteit is ingesteld voor de
organisatie-eenheid Leerlingen.
Beveiliging en beheer
71

Experimenteer met de volgende
beveiligingen:
◦ Leerlingen mogen geen gebruik maken van de
opdrachtprompt.
◦ Leerlingen mogen geen software installeren.
◦ Leerlingen mogen het netwerk niet doorbladeren.
◦ Leerlingen mogen het bureaublad niet wijzigen.
◦ Maak een veilig beheersnetwerk via deze GPO.
Beveiliging en beheer
72


Maak een nieuwe GPO Leerkrachten aan.
Koppel de GPO Leerkrachten aan de OU
Leerkrachten.
Beveiliging en beheer
73


De administrator heeft doorgaans wel wat beters
te doen dan wachtwoorden resetten.
Daarom kunt u deze taak gerust delegeren aan
de groep Leerkrachten.
Beveiliging en beheer
74


Met het delegeren van beheertaken alleen heeft
u er nog niet voor gezorgd dat de gebruiker of
gebruikersgroep het beheer ook daadwerkelijk
kan uitvoeren.
Daarvoor moeten de noodzakelijke beheertools
aan die gebruiker of gebruikersgroep ter
beschikking worden gesteld.
Beveiliging en beheer
75

De mogelijkheden tot het delegeren voor
beheertaken zijn:
◦ U kunt beheertaken delegeren voor sites, domeinen of
organisatie-eenheden.
◦ Beheertaken kunt u aan gebruikers of
gebruikersgroepen.
◦ U kunt precies bepalen welke beheertaken u delegeert.
Beveiliging en beheer
76


Start de MMC Active Directory Users and
Computers.
Open het snelmenu van de organisatie-eenheid
Leerlingen.
Beveiliging en beheer
77

Klik Delegate Control.
Beveiliging en beheer
78

De wizard Delegation of Control start. Klik op
Next.
Beveiliging en beheer
79


Het venster Users or Groups wordt geopend.
Klik op de knop Add om gebruikers of groepen
toe te voegen.
Beveiliging en beheer
80


Type Leerkrachten in het tekstvak en klik op OK.
Klik vervolgens op Next.
Beveiliging en beheer
81


Het wizardvenster Tasks to Delegate verschijnt.
De taken die zijn aangevinkt, delegeert u naar
de groep Leerkrachten.
Beveiliging en beheer
82

Vink enkel de taak Reset user password and
force password change at next logon aan,
zodanig deze taak gedelegeerd wordt. Klik op
Next.
Beveiliging en beheer
83


De beheertaken voor de organisatie-eenheid
Leerlingen zijn ingesteld.
Klik op Finish.
Beveiliging en beheer
84


U heeft de groep Leerkrachten nog geen tools
ter beschikking gesteld om de beheertaken uit
te voeren.
Maak een nieuwe GPO Leerkrachten voor de
organisatie-eenheid Leerkrachten.
Beveiliging en beheer
85



Nu gaat u een MMC (Microsoft Management
Console) aanmaken, zodanig gebruikers lid van
de groep Leerkrachten het wachtwoord van de
leerlingen kunnen resetten.
MMC is een omgeving waarin een of meer
management utilities kunnen worden geplaatst.
Door het MMC ontwerp zijn deze utilities
allemaal volgens eenzelfde structuur te
bedienen.
Beveiliging en beheer
86



Meld u aan als administrator op de hoofdserver.
Maak een nieuwe map tools aan en deel deze
voor de gebruikers van de groep Leerkrachten
waar later de MMC in zal bewaard worden.
Type het command MMC in de tekstbox Start
Search.
Beveiliging en beheer
87


Type het command MMC in de tekstbox Start
Search.
Het MMC constructievenster verschijnt.
Beveiliging en beheer
88

Selecteer in het constructievenster het menu File
en selecteer vervolgens de optie Add / Remove
Snap-in….
Beveiliging en beheer
89

Selecteer Active Directory Users and Computers
en klik op de knop Add. Klik vervolgens op OK.
Beveiliging en beheer
90

De gekozen Snap-in verschijnt in de Name zone.
Beveiliging en beheer
91


U gaat nu de MMC opslaan in verschillende
Console Modi.
Selecteer in de MMC console1 het menu File en
vervolgens de optie Options.
Beveiliging en beheer
92
U ziet dat er vier verschillende console modi zijn:
 Author mode.
Hiermee heeft u de bevoegdheid tot het
toevoegen, bewerken of verwijderen snap ins.
De toegang tot de console menu’s zijn ook
mogelijk.
 User mode – full access.
De gebruikers kunnen geen snap ins toevoegen.
De toegang tot de console menu’s zijn wel
toegestaan.
Beveiliging en beheer
93


User mode – limited access, multiple window.
De gebruikers kunnen geen snap ins toevoegen.
De toegang tot console menu’s is niet mogelijk.
Er kunnen wel meerdere vensters in de MMC
worden weergegeven.
User mode – limited access, single window.
De gebruikers kunnen geen snap ins toevoegen.
De toegang tot console menu’s is niet mogelijk.
Er kan maar één venster in de MMC worden
weergegeven.
Beveiliging en beheer
94
U kunt eventueel ook een vinkje plaatsen bij:
 Do not save changes to this console.
De gebruikers kunnen de aangebrachte
wijzigingen niet opslaan.
 Allow the user to customize views.
De optie Customize is niet meer in het menu
View aanwezig.
Beveiliging en beheer
95


Bewaar de MMC in de Author mode.
Vervolgens slaat u de MMC op onder de naam
“Reset password.msc in C:\tools.
Beveiliging en beheer
96



Ga nu naar uw Vista client.
Meld u aan als JJanssens2 (een leerkracht) en typ
\\hoofdserver\Tools in.
Dubbelklik vervolgens op de MMC Reset
password.
Beveiliging en beheer
97


Open de container Active Directory Users and
Computers en dubbelklik op initialen.be.
Open de organisatie-eenheid Leerlingen.
Beveiliging en beheer
98


Klik via de rechtermuisknop de gebruikersnaam
welk wachtwoord u wilt resetten en selecteer
Reset Password.
Voer het nieuwe wachtwoord in en bevestig dit.
Het wachtwoord is gereset.
Beveiliging en beheer
99


Auditing is bedoeld om het systeem te
controleren op bepaalde acties en op wat er
gelukt is of mislukt. U kunt bijvoorbeeld
controleren hoe vaak het aanmelden is gelukt of
mislukt.
Het hoofddoel van auditing is natuurlijk
troubleshooting. U kunt al de fouten in de
logboek Event Viewer bekijken.
Beveiliging en beheer
100


Meld u aan als administrator op de Hoofdserver.
Open de MMC Group Policy Management via
start en dubbelklik op het domein initialen.be.
Beveiliging en beheer
101


Dubbelklik de container Group Policy Objects.
Bewerk via de rechtermuisknop de policy
Leerlingen die u al eerder hebt aangemaakt
Beveiliging en beheer
102

Open computer configuration/Policies/Windows
Settings/Security Settings/Local Policies/Audit
Policy.
Beveiliging en beheer
103


Dubbelklik op Audit system events.
Selecteer Define these policy settings en failure.
Beveiliging en beheer
104

Nu worden alle foutieve pogingen van
aanmelden in het logbestand geregistreerd.
Beveiliging en beheer
105

Er zijn negen verschillende opties van de Audit
Policies:
◦
◦
◦
◦
◦
◦
◦
◦
◦
Audit
Audit
Audit
Audit
Audit
Audit
Audit
Audit
Audit
account logon events.
account management.
directory service access.
logon events.
object access.
policy change.
privilege use.
process tracking.
system events.
Beveiliging en beheer
106
Registreert het aan- en afmelden van gebruikers
op het domein, alsmede het slagen (Success) of
niet slagen (Failure) ervan.
Beveiliging en beheer
107
Registreert elke wijziging van gebruikeraccount
en groepen; daarbij hoort het wijzigen van
wachtwoorden. Hier kunt u ook loggen of dat
met succes of niet is gebeurt.
Beveiliging en beheer
108
Registreert elke toegang tot de Active Directory.
Beveiliging en beheer
109
Registreert als er een toegangsverificatie plaats
vindt. De event heeft betrekking op het lokale
systeem.
Beveiliging en beheer
110
Registreert de toegang tot een map, bestand of
printer. Dit werkt enkel en alleen indien op het
object zelf Auditing is aangezet.
Beveiliging en beheer
111
Registreert de wijzigingen die gemaakt worden
in het policy beleid.
Beveiliging en beheer
112
Registreert dat een gebruiker gebruik maakt van
privileges. Dit werkt alleen indien op het object
zelf Auditing is aangezet.
Beveiliging en beheer
113
Registreert gebeurtenissen die te maken hebben
met de voortgang van het proces.
Beveiliging en beheer
114
Registreert systeem events zoals het starten en
afsluiten van het systeem.
Beveiliging en beheer
115


We gaan de effecten eens bekijken in de
praktijk.
Meld u op de hoofdserver aan als administrator.
Beveiliging en beheer
116

Open de Event viewer via Start / Administrative
Tools / Event Viewer.
Beveiliging en beheer
117

Selecteer Windows Logs en vervolgens Security.
Beveiliging en beheer
118

Verwijder alle items in deze log. Klik via de
rechtermuisknop op Security en selecteer Clear
Log of klik aan de rechterzijde op Clear log.
Beveiliging en beheer
119

U kunt deze log bewaren, leegmaken of de
transactie ongedaan maken. Klik op Clear.
Beveiliging en beheer
120

Meld u nu aan op de Windows Vista als
JVermeulen (een leerling) en maak met opzet
een fout in het wachtwoord.
Beveiliging en beheer
121

In de log kunt u zien dat de gebruiker
JVermeulen een verkeerd wachtwoord heeft
ingegeven.
Beveiliging en beheer
122


Het is mogelijk om een GPO te exporteren naar
een HTML-bestand.
Zo is het gemakkelijk om bijvoorbeeld de
documentatiemap te vervolledigen.
Beveiliging en beheer
123


Open de MMC Group Policy Management.
Dubbelklik op de OU Leerlingen.
Beveiliging en beheer
124

Klik op de rechterhelft op de Link Order met de
rechtermuisknop en selecteer Save Report.
Beveiliging en beheer
125

Geef het bestand de naam Leerlingen in en klik
op de knop Save.
Beveiliging en beheer
126

Het HTML bestand bevat alle ingestelde en
gewijzigde beveiligingen.
Beveiliging en beheer
127
Beveiliging en beheer
128

similar documents