محدود کردن ورود کاربران و سرویسها با استفاده از سیاستهای احراز هویت Active Directory
Limit logon for users and services with Active Directory authentication policies
بهطور پیشفرض، Active Directory محدودیتهای خاصی را برای پروتکلها یا دستگاههایی که یک کاربر یا سرویس میتواند برای ورود استفاده کند، اعمال میکند. شما میتوانید سیاستهای احراز هویت را پیادهسازی کرده و محدودیتها و ممنوعیتهای خاصی را برای افزایش امنیت ورود اجرا کنید. Active Directory چندین روش برای غیرفعال کردن پروتکلهای قدیمی مانند NTLMv1 یا محدود کردن ورود کاربران به ایستگاههای کاری خاص ارائه میدهد. این امر از طریق تنظیمات مختلف Group Policy قابل دستیابی است و گروه Protected Users بهطور خودکار مجموعهای از محدودیتهای امنیتی را اعمال میکند.
Protected Users vs. Authentication Policies
مشابه گروه Protected Users، سیاستهای احراز هویت میتوانند مجموعهای از قوانین امنیتی را برای ورود به سیستمها در یک مرحله اجرا کنند. با این حال، سیاستهای احراز هویت برخلاف گروه Protected Users قابلیت پیکربندی دارند. این دو مکانیزم با یکدیگر تضاد ندارند و بهجای آن، امنیت را بهطور مشترک تقویت میکنند. بهعنوان مثال، در حالی که گروه Protected Users برای حسابهای سرویس و کامپیوتر اعمال نمیشود، سیاستهای احراز هویت گزینههای خاصی را برای این حسابها ارائه میدهند. علاوه بر این، حسابهای کاربری در گروه Protected Users میتوانند با تنظیمات اضافی از طریق سیاستهای احراز هویت سفارشی شوند.
سیاستهای احراز هویت به حداقل سطح عملکرد دامنه Windows Server 2012 R2 نیاز دارند و تنظیمات زیر را برای تمام انواع حسابها فراهم میکنند:
مشخص کردن مدت زمان اعتبار بلیت درخواست بلیت (TGT): این تنظیم مدت زمان اعتبار TGT را که برای درخواست بلیتهای سرویس برای دسترسی به منابع شبکه استفاده میشود، تعیین میکند. بهطور پیشفرض، مدت زمان اعتبار TGT به مدت ۱۰ ساعت تنظیم شده است. با این حال، برای اعضای گروه Protected Users، مدت زمان اعتبار TGT به ۴ ساعت محدود شده است. این مدت زمان اعتبار نمیتواند از این حد ۴ ساعته با استفاده از یک سیاست احراز هویت برای این حسابها افزایش یابد.
تنظیمات خاص برای حسابهای کاربری
الزام به استفاده از NTLM secret متغیر برای احراز هویت NTLM: این تنظیم تضمین میکند که هر بار که کاربری وارد میشود، هش جدیدی تولید میشود و هش قبلی معتبر نخواهد بود. این امر یک لایه امنیتی اضافی را اضافه میکند تا بهرهبرداری از هش دزدیده شده برای مهاجمین دشوارتر شود. با این حال، این گزینه برای اعضای گروه Protected Users اعمال نمیشود، زیرا استفاده از احراز هویت NTLM برای آنها ممنوع است.
اجازه به بازگشت به رمز عبور حساب دامنه: این تنظیم استفاده از هش ثابت اصلی را در صورت عدم موفقیت احراز هویت با NTLM secret متغیر به دلیل مشکلات سازگاری مجاز میکند.
مشخص کردن شرایط کنترل دسترسی که دستگاههای درخواستکننده بلیت TGT برای یک حساب کاربری را محدود میکند: این تنظیم ورود به سیستم کاربر را به دستگاههای خاص بر اساس شرایط کنترل دسترسی تعریف شده محدود میکند. بهعنوان مثال، میتواند اعمال کند که حسابهای امتیازدار تنها به Domain Controller (DC) یا Privileged Access Workstation (PAW) وارد شوند.
اجازه به احراز هویت NTLM شبکه زمانی که کاربر به دستگاههای منتخب محدود است: این گزینه بهطور واضح قابل درک است، اما برای اعضای گروه Protected Users اعمال نمیشود.
تنظیمات اضافی برای سرویسها
سرویسهایی که تحت حساب کاربری، کامپیوتر یا حسابهای سرویس اجرا میشوند، میتوانند ارتباطات خود را به دستگاهها یا کاربران خاص محدود کنند. این محدودیتها با استفاده از بلیتهای سرویس Kerberos اعمال میشوند.
ایجاد یک سیاست احراز هویت
برای ایجاد سیاستهای احراز هویت، میتوانید از Active Directory Administrative Center (ADAC) یا PowerShell استفاده کنید. در حالی که PowerShell برای تجزیه و تحلیل و ایجاد سیاستها بسیار مؤثر است، تعریف محدودیتهای اتصال و دستگاه نیاز به استفاده از Security Descriptor Definition Language (SDDL) پیچیده دارد. رابط کاربری گرافیکی (GUI) در ADAC رویکردی راحتتر برای مدیریت سیاستهای احراز هویت ارائه میدهد. این رابط از Set-ADAuthenticationPolicy cmdlet در پسزمینه استفاده میکند و به شما این امکان را میدهد که دستورات PowerShell تولید شده را بهطور دلخواه کپی و ویرایش کنید تا انعطافپذیری بیشتری داشته باشید.
برای ایجاد یک سیاست احراز هویت جدید، به Authentication Policy در نوار ناوبری ADAC بروید و سپس از گزینههای موجود در پانل سمت راست، گزینه New را انتخاب کنید.
وقتی فرم ظاهر شد، باید یک نام برای سیاست تعیین کنید. همچنین از شما خواسته میشود که بین دو حالت انتخاب کنید:
- Only audit policy restrictions به این معنی که محدودیتها فقط نظارت میشوند و بهطور فعال اعمال نمیشوند.
- Enforce policy restrictions که در آن محدودیتهای سیاست بهطور فعال اعمال میشوند.
نظارت نیاز به بررسی ورودیهای مرتبط در Event Log دارد که میتوانید آنها را در مسیر زیر پیدا کنید:
Applications and Services Logs => Microsoft => Windows => Authentication => AuthenticationPolicyFailure-DomainController
بهطور پیشفرض، این گزارشگیری غیرفعال است و برای شروع ردیابی رویدادهای مربوط به سیاست باید بهطور دستی فعال شود.
شما میتوانید سیاست را بهطور مستقیم به حسابهای خاص اختصاص دهید یا آن را از طریق یک policy silo اعمال کنید که در صورت بروز تضاد اولویت دارد. در بخش پایینتر فرم، گزینههایی برای محدود کردن ورود کاربران وجود دارد. برای محدود کردن دسترسی به دستگاههای خاص، از query builder موجود در بخش مربوطه استفاده کنید. این ابزار به شما این امکان را میدهد که شرایط دسترسی دقیق را تعریف کرده و همچنین برای محدود کردن بلیتهای سرویس به ارتباطات خاص استفاده شود.
هنگام تنظیم محدودیتها، روی Add Items کلیک کنید تا دستگاهها یا گروههای حاوی دستگاههای موردنظر برای محدود کردن کاربران انتخاب شوند. علاوه بر این، باید یک عملگر منطقی برای گنجاندن یا حذف دستگاههای انتخابشده انتخاب کنید. این امکان پیادهسازی رویکرد whitelist (دستگاههای مجاز) یا blacklist (دستگاههای مستثنیشده) را فراهم میکند.
منطق زیر اعمال میشود:
- Not Member of any: ورود به سیستم زمانی که کامپیوتر کاربر به هر یک از گروههای مشخص شده تعلق دارد، ناموفق خواهد بود. (OR منطقی)
- Not Member of: اگر کامپیوتر کاربر به تمام گروههای مشخص شده تعلق داشته باشد، ورود به سیستم ناموفق خواهد بود. (AND منطقی)
- Member of any: ورود به سیستم زمانی که کامپیوتر کاربر به هیچ یک از گروههای مشخص شده تعلق ندارد، ناموفق خواهد بود. (OR منطقی)
- Member of: ورود به سیستم فقط در صورتی موفق خواهد بود که کامپیوتر کاربر به تمام گروههای مشخص شده تعلق داشته باشد. (AND منطقی)
پس از ذخیره سیاست احراز هویت، میتوانید جزئیات آن را با استفاده از PowerShell مشاهده کنید:
Get-ADAuthenticationPolicy -Filter 'name -eq "<PolicyName>"'
خروجی بیشتر از تنظیمات مختلف و مقادیر مربوطه را ارائه میدهد. همچنین شامل عبارت SDDL استفاده شده برای شرایط دسترسی و عملگر منطقی اعمال شده است.
سیاستهای احراز هویت امنیت ورود کاربران و سرویسها را با اعمال محدودیتهای مختلف، مانند کنترل استفاده از احراز هویت NTLM یا محدود کردن مدت زمان اعتبار بلیتهای TGT، تقویت میکنند. یک ویژگی کلیدی این است که امکان محدود کردن حسابهای امتیازدار و سرویسها به کامپیوترهای خاص وجود دارد که لایه حفاظت اضافی را فراهم میکند.
