सहेजे गए प्रमाण-पत्रों का उपयोग करने के लिए निषिद्ध। व्यवस्थापक खाता नियंत्रण

आरडीपी के माध्यम से रिमोट डेस्कटॉप से ​​कनेक्ट करते समय, क्रेडेंशियल को सहेजना संभव है ताकि उन्हें हर बार दर्ज न किया जा सके। लेकिन एक subtlety है। इसलिए, यदि आप किसी वर्कग्रुप में किसी कंप्यूटर में किसी कंप्यूटर से कंप्यूटर से कनेक्ट कंप्यूटर से कनेक्ट होते हैं, तो आप सहेजे गए डेटा का उपयोग करने में सक्षम नहीं होंगे, और आपको निम्न के जैसा संदेश मिलेगा:

"सिस्टम प्रशासक ने दूरस्थ कंप्यूटर में लॉग इन करने के लिए संग्रहीत क्रेडेंशियल्स के उपयोग पर प्रतिबंध लगा दिया है, क्योंकि इसकी प्रामाणिकता पूरी तरह से सत्यापित नहीं है। नए प्रमाण पत्र दर्ज करें। "

तथ्य यह है कि रिमोट कंप्यूटर से कनेक्ट करते समय बचत प्रमाणपत्र डिफ़ॉल्ट डोमेन नीतियों द्वारा प्रतिबंधित है। हालांकि, इस स्थिति को बदला जा सकता है।

जिस कंप्यूटर से आप कनेक्ट कर रहे हैं, उस पर क्लिक करें विन + आर   और आदेश दर्ज करें   gpedit.mscफिर ठीक क्लिक करें। इसके अतिरिक्त, आपको व्यवस्थापक पासवर्ड दर्ज करना होगा या इसकी पुष्टि करनी होगी।

स्थानीय समूह नीति संपादक की खुली खिड़की में, प्रशासनिक टेम्पलेट्स -\u003e सिस्टम -\u003e पासिंग प्रमाणपत्र अनुभाग पर जाएं। हम पॉलिसी में रूचि रखते हैं सर्वर प्रमाणीकरण "केवल एनटीएलएम" के साथ संग्रहीत क्रेडेंशियल्स के प्रतिनिधिमंडल को अनुमति दें (एनटीएलएम-केवल सर्वर प्रमाणीकरण के साथ सहेजे गए प्रमाण-पत्रों को सहेजने की अनुमति के अंग्रेजी संस्करण में)।

नीति चालू करें, फिर उन सर्वरों को सूचीबद्ध करने के लिए शो बटन पर क्लिक करें जिन्हें हम कनेक्ट करने जा रहे हैं।

सूची भरने के कई तरीके हैं। उदाहरण के लिए:

TERMSRV / remote_pc - एक विशिष्ट कंप्यूटर के लिए क्रेडेंशियल सहेजने की अनुमति दें;
   TERMSRV / * Contoso.com - हम contoso.com डोमेन में सभी कंप्यूटरों के लिए डेटा सहेजने की अनुमति देते हैं;
   TERMSRV / * - अपवाद के बिना सभी कंप्यूटरों के लिए डेटा सहेजने की अनुमति देता है।

चेतावनी:   उदाहरण के रूप में, TERMSRV में पूंजी अक्षरों का उपयोग करें। यदि कोई विशिष्ट कंप्यूटर निर्दिष्ट किया गया है, तो value remote_pc मान चाहिए बिल्कुल मैच   दूरस्थ डेस्कटॉप के "कंप्यूटर" फ़ील्ड में दर्ज नाम के साथ।

सूची भरें, ठीक क्लिक करें और समूह नीति संपादक बंद करें। कमांड कंसोल खोलें और कमांड के साथ नीतियों को अद्यतन करें gpupdate / बल। सब कुछ, आप कनेक्ट कर सकते हैं।

और अधिक स्थानीय समूह नीतियों का उपयोग करके, हम केवल एक विशिष्ट कंप्यूटर पर प्रमाण-पत्रों को संग्रहीत करने की अनुमति देते हैं। कई कंप्यूटरों के लिए, डोमेन में एक अलग ओयू बनाने और संबंधित डोमेन नीति को लिंक करना बेहतर होगा।

आज, नेटवर्क पर सैकड़ों और शायद हजारों प्रशासक खाते हैं। क्या आपके पास इन सभी खातों पर नियंत्रण है, और क्या आप जानते हैं कि वे क्या कर सकते हैं?

मुझे व्यवस्थापक खातों को नियंत्रित करने की आवश्यकता क्यों है?

यदि आप विंडोज नेटवर्क के व्यवस्थापक हैं, और उनमें से अधिकतर हैं, तो आपका करीबी ध्यान कॉर्पोरेट सक्रिय निर्देशिका उद्यम को निर्देशित किया जाना चाहिए। डोमेन नियंत्रकों, सर्वरों, सेवाओं, अनुप्रयोगों और इंटरनेट से कनेक्ट होने की सुरक्षा के बारे में इन सभी चिंताओं के साथ, यह सुनिश्चित करने के लिए थोड़ा समय बचा है कि आपके व्यवस्थापक खातों की निगरानी की जा रही है।

जिन कारणों के लिए आपको इन खातों को नियंत्रित करने की आवश्यकता है, एक विशाल विविधता। सबसे पहले, ऐसे हजारों या बड़े खाते बड़े या मध्यम आकार के नेटवर्क में संभावित रूप से मौजूद हो सकते हैं, इसलिए उच्च संभावनाएं हैं कि ये खाते नियंत्रण से बाहर हो सकते हैं। दूसरा, ज्यादातर कंपनियां सामान्य उपयोगकर्ताओं को स्थानीय व्यवस्थापक खाते तक पहुंचने की अनुमति देती हैं, जिससे परेशानी हो सकती है। तीसरा, मूल प्रशासक खाते को देखभाल के साथ संभाला जाना चाहिए, इसलिए विशेषाधिकारों का प्रतिबंध एक उत्कृष्ट सावधानी पूर्वक उपाय है।

आपके पास कितने व्यवस्थापक खाते हैं?

इस प्रश्न का उत्तर देने के लिए, आपको कुछ गणना करने की आवश्यकता है (जैसा कि जेथ्रो बोडिन कहेंगे)। क्योंकि प्रत्येक विंडोज कंप्यूटर में स्थानीय व्यवस्थापक खाता होता है, फिर हम यहां से शुरू करेंगे। इन कंप्यूटरों में विंडोज एनटी, 2000, एक्सपी और विस्टा शामिल हैं। सुनिश्चित करें कि आप सभी क्लाइंट कंप्यूटर चालू करते हैं जिनका उपयोग प्रशासकों, डेवलपर्स, कर्मचारियों द्वारा किया जाता है, और यहां तक ​​कि सर्वर रूम या एप्लिकेशन डिवाइस पर भी हैं। यदि आपके पास कियोस्क, टेस्ट कंप्यूटर, केंद्रीकृत वर्कस्टेशन इत्यादि हैं, तो आपको हमारी गणना में सभी को शामिल करने की भी आवश्यकता है। अभी तक उपयोगकर्ता खातों को पढ़ने की जरूरत नहीं है, क्योंकि डिवाइस की संख्या उपयोगकर्ताओं की संख्या के अनुरूप नहीं हो सकती है।

अब आपको अपने पास मौजूद सर्वरों की संख्या पर विचार करने की आवश्यकता है। इस सूची में डोमेन नियंत्रकों को शामिल करना अभी तक आवश्यक नहीं है। अपने सभी सर्वरों में, आपको उन सर्वरों का चयन करने की आवश्यकता है जो निम्न कार्य करते हैं: डेटा संग्रहण, प्रिंट सर्वर, अनुप्रयोग सर्वर, मेल सर्वर, कार्यालय सर्वर इत्यादि। इनमें से प्रत्येक सर्वर में एक स्थानीय सैम है, और इसलिए स्थानीय प्रशासक खाता है। इस खाते का अक्सर उपयोग नहीं किया जा सकता है, लेकिन यह एक और अधिक महत्वपूर्ण कारण हो सकता है कि अपने अधिकारों को नियंत्रित करना क्यों आवश्यक है।

अंत में, आपको डोमेन नियंत्रकों पर विचार करना चाहिए। यहां आपके पास एक बहुत ही महत्वपूर्ण व्यवस्थापक खाता है - एक खाता जो सक्रिय निर्देशिका को नियंत्रित करता है। यह व्यवस्थापक खाता न केवल सक्रिय निर्देशिका को नियंत्रित करता है, बल्कि रूट डोमेन, साथ ही कॉर्पोरेट व्यवस्थापक खाते को भी नियंत्रित करता है। यदि आपके पास एक से अधिक डोमेन हैं, तो आपके पास प्रत्येक डोमेन के लिए एक व्यवस्थापक खाता होना चाहिए। संबंधित व्यवस्थापक खाता केवल उस डोमेन में मान्य है जिसमें यह स्थित है, लेकिन फिर भी यह एक बहुत ही महत्वपूर्ण खाता है।

प्रवेश प्रतिबंध

इन व्यवस्थापक खातों के लिए लॉगिन विशेषाधिकारों को भौतिक रूप से सीमित करने की कई संभावनाएं नहीं हैं। हालांकि, इन खातों का दैनिक उपयोग नहीं किया जाना चाहिए। इसलिए उनके उपयोग को सीमित करने के लिए कुछ उपाय करना आवश्यक है। स्पष्ट विकल्प उन खातों की संख्या को सीमित करना है जो इन खातों के पासवर्ड जानते हैं। सक्रिय निर्देशिका से जुड़े व्यवस्थापक खातों के लिए, जब कोई उपयोगकर्ता संपूर्ण पासवर्ड नहीं जानता है तो पासवर्ड असाइन करने की प्रक्रिया विकसित करना अच्छा होगा। यह आसानी से किया जा सकता है जब दो अलग-अलग प्रशासक पासवर्ड का हिस्सा दर्ज करते हैं, और फिर इस भाग को दस्तावेज़ करते हैं। यदि इस खाते की हमेशा आवश्यकता है, तो आपको पासवर्ड के दोनों हिस्सों को प्राप्त करने की आवश्यकता है। एक अन्य विकल्प प्रोग्राम को स्वचालित रूप से पासवर्ड उत्पन्न करने के लिए उपयोग करना है जो आपको जटिल पासवर्ड उत्पन्न करने की अनुमति देता है।

स्थानीय व्यवस्थापक खाते तक पहुंच प्रतिबंधित करना

भले ही आप साधारण उपयोगकर्ताओं को उनके वर्कस्टेशन तक पहुंचने की अनुमति दें या नहीं, आपको स्थानीय व्यवस्थापक खाते में उनकी पहुंच प्रतिबंधित करनी होगी। ऐसा करने के दो आसान तरीके स्थानीय व्यवस्थापक खाते का नाम बदलना और अक्सर इसके लिए पासवर्ड बदलना है। इन सेटिंग्स में से प्रत्येक के लिए समूह नीति ऑब्जेक्ट्स हैं। पहला पैरामीटर कंप्यूटर कॉन्फ़िगरेशन में स्थित है | विंडोज सेटिंग्स | सुरक्षा सेटिंग्स | स्थानीय नीतियां | सुरक्षा विकल्प, जैसा चित्र 1 में दिखाया गया है। नीति जिसे आपको कॉन्फ़िगर करने की आवश्यकता है उसे खाता कहा जाता है: व्यवस्थापक खाते का नाम बदलें।

चित्र 1: स्थानीय व्यवस्थापक खाता नाम बदलने के लिए नीति

दूसरी नीति जिसे आपको कॉन्फ़िगर करने की आवश्यकता है, नीति सेटिंग्स (नीति सेटिंग्स का सूट) के एक नए सूट का हिस्सा है, जो 2007 में दिखाई देगा। यह नीति पॉलिसीमेकर सूट नामक पैकेज का हिस्सा है, और कंप्यूटर कॉन्फ़िगरेशन में स्थित है। विंडोज सेटिंग्स | कंट्रोल पैनल | स्थानीय उपयोगकर्ता और समूह, जैसा चित्रा 2 में दिखाया गया है।

चित्रा 2: स्थानीय प्रशासक खाते प्रशासक खातों के लिए पासवर्ड रीसेट नीति

नोट: यह नीति नियमित उपयोगकर्ता को तब से इस खाते की निगरानी करने से मना नहीं करती है ऐसा करने का एकमात्र तरीका प्रशासक समूह से नियमित उपयोगकर्ता को हटाना है।

नेटवर्क एक्सेस प्रतिबंध

जैसा कि सभी जानते हैं (लेकिन सभी को याद नहीं है), व्यवस्थापक खाते को दैनिक आधार पर उपयोग नहीं किया जाना चाहिए। इस कारण से, इस खाते के तहत नेटवर्क तक पहुंच की अनुमति देने के लिए नेटवर्क को कॉन्फ़िगर करने की कोई आवश्यकता नहीं है। इस खाते के अधिकारों को सीमित करने का एक अच्छा तरीका व्यवस्थापक खाते को नेटवर्क पर सर्वर और डोमेन नियंत्रकों तक पहुंचने से रोकना है। यह जीपीओ कॉन्फ़िगरेशन के साथ आसानी से किया जा सकता है। यह जीपीओ सेटिंग कंप्यूटर कॉन्फ़िगरेशन पर स्थित है | विंडोज सेटिंग्स | सुरक्षा सेटिंग्स | स्थानीय नीतियां | उपयोगकर्ता अधिकार असाइनमेंट, जैसा चित्र 3 में दिखाया गया है। नीति जिसे आपको कॉन्फ़िगर करने की आवश्यकता है उसे नेटवर्क से इस कंप्यूटर तक पहुंच से वंचित कहा जाता है ।

चित्रा 3: किसी व्यवस्थापक से किसी नेटवर्क से कंप्यूटर तक पहुंचने से रोकने के लिए नीति

अन्य सेटिंग्स

आप किसी निगम के भीतर किसी व्यवस्थापक खाते के लिए पहुंच प्रतिबंधित भी कर सकते हैं। अन्य उदाहरण जहां आप पहुंच प्रतिबंधित कर सकते हैं:

• व्यवस्थापक खाते का उपयोग सेवा खाते के रूप में न करें।
• सर्वर और डोमेन नियंत्रकों पर टर्मिनल सेवाओं तक पहुंच से इनकार करें
• सर्वर और डोमेन नियंत्रकों पर सेवा के रूप में लॉग इन करने से व्यवस्थापक को रोकें
• बैच नौकरी के रूप में व्यवस्थापक खाता लॉगिन अक्षम करें

ये सेटिंग्स केवल नेटवर्क पर कंप्यूटर पर व्यवस्थापक खाते के प्रभाव को सीमित कर देगी। ये सेटिंग्स किसी उपयोगकर्ता को इस एक्सेस को कॉन्फ़िगर करने के लिए व्यवस्थापकीय अधिकारों से नहीं रोकती हैं। इस मामले में, आपको एक व्यवस्थापक खाते को कॉन्फ़िगर करने के लिए ऑडिटिंग कॉन्फ़िगर करना होगा, साथ ही यह जांचें कि उस खाते को लॉग इन करने और उपयोगकर्ता अधिकारों का उपयोग करने के लिए कब उपयोग किया गया था। फिर, इन सेटिंग्स को जीपीओ का उपयोग करके बनाया जा सकता है। आप इन सेटिंग्स को कंप्यूटर कॉन्फ़िगरेशन में देख सकते हैं | विंडोज सेटिंग्स | सुरक्षा सेटिंग्स | स्थानीय नीतियां | लेखापरीक्षा नीति, जैसा चित्र 4 में दिखाया गया है।

चित्रा 4: किसी खाते का प्रबंधन और उपयोग करने के लिए लेखा परीक्षा स्थापित करने की नीति

का सारांश

व्यवस्थापक खाता सबसे महत्वपूर्ण खाता है जो विंडोज ऑपरेटिंग सिस्टम की दुनिया में मौजूद है। यह खाता इतना शक्तिशाली है कि इसका उपयोग तब तक नहीं किया जाना चाहिए जब तक कि वास्तविक आवश्यकता उत्पन्न न हो, जैसे आपातकालीन बहाली या प्रारंभिक सेटअप। इस खाते के प्रभाव के दायरे को सीमित करने के लिए, आप खाते की सुरक्षा और उस तक पहुंच के लिए अतिरिक्त सेटिंग्स बना सकते हैं। समूह नीतियां वे तंत्र हैं जिनका उपयोग उन सभी अधिकारों के बीच इन कम अधिकारों को वितरित करने के लिए किया जाता है जिनके लिए आपको व्यवस्थापकीय अधिकारों को प्रतिबंधित करने की आवश्यकता होती है। इन सेटिंग्स के बाद, न केवल व्यवस्थापक के खाते की निगरानी की जाएगी, बल्कि इस खाते के साथ आपके नेटवर्क में हैक करने के प्रयासों का पता लगाना भी संभव होगा।