De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

 Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot.

Verwante presentaties


Presentatie over: " Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot."— Transcript van de presentatie:

1

2  Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot een domein of tot de individuele systemen in het domein of op het netwerk. Beveiliging en beheer2

3  Met behulp van beleid vermijdt u dat gebruikers handelingen verrichten die door het bedrijf niet zijn toegestaan.  Via de beleidsinstellingen kunnen gebruikersmogelijkheden helder, overzichtelijk en automatisch worden aangeboden. Beveiliging en beheer3

4  Beleid kunt u op twee manieren instellen: ◦ met de MMC-module Local Security Policy ◦ met de MMC-module Group Policy Management Editor. Beveiliging en beheer4

5  In de MMC-module Local Security Policy bevinden zich de beveiligingsinstellingen voor een computer in het netwerk.  Dit is hetzelfde als de MMC Lokaal beveiligingsbeleid in Windows Vista. Beveiliging en beheer5

6  U start deze MMC-module via Start, Administratieve Tools, Local Security Policy. Beveiliging en beheer6

7  U kunt de MMC Local Security Policy ook opvragen met het commando secpol.msc Beveiliging en beheer7

8  Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen bestaat Beveiliging en beheer8

9  Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen  bestaat Beveiliging en beheer9

10  De Account Policies dienen om de veiligheid te vergroten en zijn onderverdeeld in drie containers : ◦ Password Policy; ◦ Account Lockout Policy; ◦ Kerberos Policy. Beveiliging en beheer10

11  Dubbelklik op de container Account Policies.  De drie containers: Password Policy, Account Lockout Policy en Kerberos Policy verschijnen. Beveiliging en beheer11

12  Dit beleid bepaalt de veiligheidseisen op de computer (niet per gebruiker).  Als u dubbelklikt op de container Password Policy kunt u in het rechtervenster zes instellingen voor het wachtwoordbeleid aanpassen Beveiliging en beheer12

13  In de rechtervenster ziet u dat op zes verschillende instellingen het wachtwoordbeleid kunt aanpassen. Beveiliging en beheer13

14  Windows Server 2008 onthoudt eerder gebruikte wachtwoorden.  Als standaard is dit beleid ingesteld op 24 verschillende wachtwoorden. Dit betekent dat de laatste 24 wachtwoorden worden onthouden. Een wachtwoord kan dus pas weer gebruikt worden nadat het 24 keer is gewijzigd. Beveiliging en beheer14

15  Klik op Enforce password history; u ziet dat u de ingestelde waarde 24 niet kunt veranderen. Beveiliging en beheer15

16  De reden is simpel: u hebt de server gepromoveerd tot domeincontroller.  Binnen een domein geldt dat de instellingen van de Default Domain Policy boven de Local Security Policy gaat.  De lokale waarden worden overgenomen door de Default domain Settings. Beveiliging en beheer16

17  Groepsbeleid kan zowel op het niveau van het domein als op het niveau van de organisatie- eenheden (OU’s) bepaald worden.  Hierdoor kunnen we een algemeen beleid voor het domein bepalen en variaties (aanvullingen of uitzonderingen) daarop vastleggen per OU. Beveiliging en beheer17

18  Alle domeincontrollers in het domein worden beïnvloed door de instellingen die in deze MMC-module worden opgeslagen.  U roept dit beleid op met de MMC-module Group Policy Management Editor. Beveiliging en beheer18

19  Een GPO of Group Policy Object (groepsbeleidsobject) biedt de mogelijkheid om instellingen voor groepsbeleid op te slaan in een enkel object. GPO’s worden opgeslagen in de Active Directory (AD). Beveiliging en beheer19

20  U kunt ook een GPO aanmaken op basis van een reeds bestaande GPO (Source Starter GPO).  Dan heeft het nieuwe groepsbeleidsobject alle instellingen en bijhorende waarden die in het Source Starter GPO werden gedefinieerd. Beveiliging en beheer20

21  GPO’s worden verwerkt op het niveau waarop ze geplaatst zijn.  Er kunnen meerdere GPO’s in één domein aangemaakt worden. Beveiliging en beheer21

22  GPO’s worden in de volgende volgorde uitgevoerd: ◦ De lokale GPO. ◦ De Site niveau geplaatste GPO’s. ◦ De op domein niveau geplaatste GPO’s. ◦ Ten slotte de in een OU geplaatste GPO’s. Beveiliging en beheer22

23  Bepaalde OU’s worden nogmaals onderverdeeld in andere OU’s.  De GPO’s die in de OU op een lager niveau zijn verstrekt, gaan boven die op een hoger niveau. Beveiliging en beheer23

24  Het maken van groepsbeleid doet u met de Group Policy Management Editor als volgt. Beveiliging en beheer24

25  Open de Group Policy Management Editor via Start, Administrative Tools, Group Policy Management. Beveiliging en beheer25

26  Navigeer naar het domein: GVB.be in Forest: GVB.be/Domains).  Klik met rechts op de domeinnaam en maak een nieuw GPO (Group Policy Object). Beveiliging en beheer26

27  Selecteer Create a GPO in this domain, and link it here. Beveiliging en beheer27

28  Geef de GPO een nieuwe naam Main GPO en klik vervolgens op OK. Beveiliging en beheer28

29  Verwijder de GPO Main GPO door er met de rechtermuisknop op te klikken en Delete te selecteren Beveiliging en beheer29

30  U gaat nu de GPO Default Domain Policy bewerken. Beveiliging en beheer30

31  Open de GPO Default Domain Policy; klik erop met de rechtermuisknop en kies Edit. Beveiliging en beheer31

32  Bij het openen van de Group Policy Management Editor ziet u dat binnen een GPO tweemodules voorkomen: ◦ Computer Configuration. ◦ User Configuration. Beveiliging en beheer32

33  In deze modules bevinden zich verschillende containers, ingedeeld naar specifiek te configureren policies. Beveiliging en beheer33

34  Deze module bevat de groepspolicies voor het computersysteem onafhankelijk van de gebruiker.  Dit beleid wordt toegepast tijdens het opstarten van het computersysteem. Beveiliging en beheer34

35  Deze module bevat de groepspolicies voor de gebruiker onafhankelijk van het computersysteem. Beveiliging en beheer35

36  Via Computer configuration, Windows Settings, Security Settings kunt u het beleid via een GPO dat gelinkt kan zijn aan een site, een domein of een OU bekijken of bewerken. Beveiliging en beheer36

37  Selecteer de container “Account Policies” en open vervolgens de container “Password Policy”. Beveiliging en beheer37

38  U ziet dezelfde zes verschillende opties als bij de Password Security van de Local Security Policy. ◦ Enforce password history. ◦ Maximum password age. ◦ Minimum password age. ◦ Minimum password length. ◦ Password must meet complexity requirements. ◦ Store password using reversible encryption. Beveiliging en beheer38

39 Beveiliging en beheer39

40  Met deze optie dwingt u de gebruiker een wachtwoord niet steeds opnieuw te gebruiken. Beveiliging en beheer40

41  Als hier de waarde 24 staat, wat de standaardinstelling is, betekent dit dat een wachtwoord pas weer kan worden gebruikt als er tussentijds 24 verschillende wachtwoorden zijn gebruikt. Beveiliging en beheer41

42  Selecteer de optie Define this policy setting en verander de waarde 24 in de waarde 3. Klik op OK. Beveiliging en beheer42

43  Met deze optie dwingt u de gebruiker een wachtwoord een maximum aantal dagen te gebruiken.  Indien deze periode is verstreken, moet een nieuw wachtwoord worden gebruikt.  Standaard verloopt het wachtwoord na 42 dagen. Dus na 42 dagen moet de gebruiker een nieuw wachtwoord instellen. Beveiliging en beheer43

44  Afhankelijk van de belangrijkheid, kan de beheerder een kortere of een langere tijd instellen.  Natuurlijk is het beter het wachtwoord niet te lang laten staan, omdat dan de geheimhouding niet meer is verzekerd. Beveiliging en beheer44

45  Dubbelklik op de policy Maximum password age. Laat de standaardinstelling staan en klik op OK. Beveiliging en beheer45

46  Met deze optie dwingt u de gebruiker een wachtwoord gedurende een minimum aantal dagen te gebruiken, voordat een nieuw wachtwoord kan worden gebruikt.  Hiermee voorkomt u dat de gebruiker heel snel een aantal wachtwoorden gebruikt en dan weer gebruik kan maken van zijn oude wachtwoord. Beveiliging en beheer46

47  Verander de standaardwaarde in 30 en klik vervolgens op OK. Beveiliging en beheer47

48  Met deze optie dwingt u de gebruiker een vastgesteld aantal karakters te gebruiken.  Hiermee wordt vermeden dat gebruikers lege of te korte wachtwoorden kunnen gebruiken. Standaard is de instelling 7 karakters. Beveiliging en beheer48

49  Verander deze standaardwaarde in de waarde 5. Beveiliging en beheer49

50  Met deze optie dwingt u de gebruiker een combinatie van hoofdletters, letters, leestekens en cijfers te gebruiken.  Het niveau van de netwerkbeveiliging neemt hierdoor toe. Beveiliging en beheer50

51  Laat de standaardinstelling staan op “Enable” en klikt op “OK”. Beveiliging en beheer51

52  Dit beleid geeft de mogelijkheid applicaties te draaien die protocollen gebruiken die voor authenticatiedoeleinden kennis moeten hebben van het wachtwoord van de gebruiker.  Wachtwoorden opslaan met omkeerbare encryptie is hetzelfde als cleartext versies opslaan van deze wachtwoorden. Juist om deze reden zou dit beleid nooit aangezet mogen worden. Beveiliging en beheer52

53  Laat deze optie ongewijzigd of “Disable”. Beveiliging en beheer53

54  Het “Password Policy” is nu volledig ingesteld. Beveiliging en beheer54

55  Zoals we al hebben gezien, zijn GPO’s goede mogelijkheden om centraal uw netwerk te beheren.  U kunt namelijk organisatie-eenheden aanmaken. Deze zijn meestal een afspiegeling van uw organisatie. Beveiliging en beheer55

56  Wij hebben al een OU ‘Leerlingen’ aangemaakt.  U kunt dan een GPO aanmaken; een Group Policy Object.  Let op: deze worden niet op een groep gezet, maar op een Organisational Unit. Beveiliging en beheer56

57  Start de Group Policy Management console.  Selecteer Group Policy Objects, klik met de rechtermuisknop en selecteer vervolgens New. Beveiliging en beheer57

58  Geef de nieuwe GPO de naam Leerlingen en klik vervolgens op. Beveiliging en beheer58

59  De GPO Leerlingen is aangemaakt. Beveiliging en beheer59

60  Link de GPO aan de organisatie eenheid Leerlingen.  Klik op de OU Leerlingen met de rechtermuisknop en selecteer Link an Existing GPO… Beveiliging en beheer60

61  Dubbelklik op de GPO Leerlingen. Beveiliging en beheer61

62  De GPO Leerlingen is nu gekoppeld aan de organisatie groep Leerlingen. Beveiliging en beheer62

63  Stel het wachtwoordbeleid in voor de GPO Leerlingen. ◦ Geschiedenis wachtwoord bijhouden op 3. ◦ Maximum leeftijd van het wachtwoord 30. ◦ Minimum leeftijd van het wachtwoord 29. ◦ Minimum lengte van het wachtwoord 5. Beveiliging en beheer63

64  Om te vermijden dat de harde schijven van de fileserver worden volgeschreven, kunt u de opslagcapaciteit instellen.  U kunt dat doen voor alle gebruikers van het domein of per organisatie-eenheid.  Wij gaan de opslagcapaciteit instellen op de organisatie-eenheid Leerlingen. Beveiliging en beheer64

65  Start de Group Policy Management Console.  Open de GPO Leerlingen.  Open de container Disk Quotas via Computer Configuration/Administrative Templates/System/Disk Quotas. Beveiliging en beheer65

66  Dubbelklik op de setting Enable disk quotas. Selecteer het keuzerondje Enable en klik vervolgens op de knop Next Settings om de eerst volgende setting in te stellen. Beveiliging en beheer66

67  Enable Enforce disk quota limit Properties en klik vervolgens op Next Settings. Beveiliging en beheer67

68  Enable de Default quota and warning level Properties. Wijzig de waarde op 500 MB.  Rol de pagina naar beneden via het pijltje en wijzig de Warning Value op 400 MB. Beveiliging en beheer68

69  Als de gebruiker (in de OU Leerlingen) een diskcapaciteit van 400 MB bereikt heeft, ontvangt hij een waarschuwing. Bij het bereiken van een diskcapaciteit van 500 MB kan hij niets meer opslaan. Beveiliging en beheer69

70  Hier kunt u eventueel de log activeren om een overzicht te hebben wie de opslagcapaciteit bereikt heeft. Beveiliging en beheer70

71  Enable de log.  De opslagcapaciteit is ingesteld voor de organisatie-eenheid Leerlingen. Beveiliging en beheer71

72 Beveiliging en beheer72  Experimenteer met de volgende beveiligingen: ◦ Leerlingen mogen geen gebruik maken van de opdrachtprompt. ◦ Leerlingen mogen geen software installeren. ◦ Leerlingen mogen het netwerk niet doorbladeren. ◦ Leerlingen mogen het bureaublad niet wijzigen. ◦ Maak een veilig beheersnetwerk via deze GPO.

73 Beveiliging en beheer73  Maak een nieuwe GPO Leerkrachten aan.  Koppel de GPO Leerkrachten aan de OU Leerkrachten.

74  De administrator heeft doorgaans wel wat beters te doen dan wachtwoorden resetten.  Daarom kunt u deze taak gerust delegeren aan de groep Leerkrachten. Beveiliging en beheer74

75  Met het delegeren van beheertaken alleen heeft u er nog niet voor gezorgd dat de gebruiker of gebruikersgroep het beheer ook daadwerkelijk kan uitvoeren.  Daarvoor moeten de noodzakelijke beheertools aan die gebruiker of gebruikersgroep ter beschikking worden gesteld. Beveiliging en beheer75

76  De mogelijkheden tot het delegeren voor beheertaken zijn: ◦ U kunt beheertaken delegeren voor sites, domeinen of organisatie-eenheden. ◦ Beheertaken kunt u aan gebruikers of gebruikersgroepen. ◦ U kunt precies bepalen welke beheertaken u delegeert. Beveiliging en beheer76

77  Start de MMC Active Directory Users and Computers.  Open het snelmenu van de organisatie-eenheid Leerlingen. Beveiliging en beheer77

78  Klik Delegate Control. Beveiliging en beheer78

79  De wizard Delegation of Control start. Klik op Next. Beveiliging en beheer79

80  Het venster Users or Groups wordt geopend.  Klik op de knop Add om gebruikers of groepen toe te voegen. Beveiliging en beheer80

81  Type Leerkrachten in het tekstvak en klik op OK.  Klik vervolgens op Next. Beveiliging en beheer81

82  Het wizardvenster Tasks to Delegate verschijnt.  De taken die zijn aangevinkt, delegeert u naar de groep Leerkrachten. Beveiliging en beheer82

83  Vink enkel de taak Reset user password and force password change at next logon aan, zodanig deze taak gedelegeerd wordt. Klik op Next. Beveiliging en beheer83

84  De beheertaken voor de organisatie-eenheid Leerlingen zijn ingesteld.  Klik op Finish. Beveiliging en beheer84

85  U heeft de groep Leerkrachten nog geen tools ter beschikking gesteld om de beheertaken uit te voeren.  Maak een nieuwe GPO Leerkrachten voor de organisatie-eenheid Leerkrachten. Beveiliging en beheer85

86  Nu gaat u een MMC (Microsoft Management Console) aanmaken, zodanig gebruikers lid van de groep Leerkrachten het wachtwoord van de leerlingen kunnen resetten.  MMC is een omgeving waarin een of meer management utilities kunnen worden geplaatst.  Door het MMC ontwerp zijn deze utilities allemaal volgens eenzelfde structuur te bedienen. Beveiliging en beheer86

87  Meld u aan als administrator op de hoofdserver.  Maak een nieuwe map tools aan en deel deze voor de gebruikers van de groep Leerkrachten waar later de MMC in zal bewaard worden.  Type het command MMC in de tekstbox Start Search. Beveiliging en beheer87

88  Type het command MMC in de tekstbox Start Search.  Het MMC constructievenster verschijnt. Beveiliging en beheer88

89  Selecteer in het constructievenster het menu File en selecteer vervolgens de optie Add / Remove Snap-in…. Beveiliging en beheer89

90  Selecteer Active Directory Users and Computers en klik op de knop Add. Klik vervolgens op OK. Beveiliging en beheer90

91  De gekozen Snap-in verschijnt in de Name zone. Beveiliging en beheer91

92  U gaat nu de MMC opslaan in verschillende Console Modi.  Selecteer in de MMC console1 het menu File en vervolgens de optie Options. Beveiliging en beheer92

93 U ziet dat er vier verschillende console modi zijn:  Author mode. Hiermee heeft u de bevoegdheid tot het toevoegen, bewerken of verwijderen snap ins. De toegang tot de console menu’s zijn ook mogelijk.  User mode – full access. De gebruikers kunnen geen snap ins toevoegen. De toegang tot de console menu’s zijn wel toegestaan. Beveiliging en beheer93

94  User mode – limited access, multiple window. De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kunnen wel meerdere vensters in de MMC worden weergegeven.  User mode – limited access, single window. De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kan maar één venster in de MMC worden weergegeven. Beveiliging en beheer94

95 U kunt eventueel ook een vinkje plaatsen bij:  Do not save changes to this console. De gebruikers kunnen de aangebrachte wijzigingen niet opslaan.  Allow the user to customize views. De optie Customize is niet meer in het menu View aanwezig. Beveiliging en beheer95

96  Bewaar de MMC in de Author mode.  Vervolgens slaat u de MMC op onder de naam “Reset password.msc in C:\tools. Beveiliging en beheer96

97  Ga nu naar uw Vista client.  Meld u aan als JJanssens2 (een leerkracht) en typ \\hoofdserver\Tools in. \\hoofdserver\Tools  Dubbelklik vervolgens op de MMC Reset password. Beveiliging en beheer97

98  Open de container Active Directory Users and Computers en dubbelklik op initialen.be.  Open de organisatie-eenheid Leerlingen. Beveiliging en beheer98

99  Klik via de rechtermuisknop de gebruikersnaam welk wachtwoord u wilt resetten en selecteer Reset Password.  Voer het nieuwe wachtwoord in en bevestig dit. Het wachtwoord is gereset. Beveiliging en beheer99

100  Auditing is bedoeld om het systeem te controleren op bepaalde acties en op wat er gelukt is of mislukt. U kunt bijvoorbeeld controleren hoe vaak het aanmelden is gelukt of mislukt.  Het hoofddoel van auditing is natuurlijk troubleshooting. U kunt al de fouten in de logboek Event Viewer bekijken. Beveiliging en beheer100

101  Meld u aan als administrator op de Hoofdserver.  Open de MMC Group Policy Management via start en dubbelklik op het domein initialen.be. Beveiliging en beheer101

102  Dubbelklik de container Group Policy Objects.  Bewerk via de rechtermuisknop de policy Leerlingen die u al eerder hebt aangemaakt Beveiliging en beheer102

103  Open computer configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy. Beveiliging en beheer103

104  Dubbelklik op Audit system events.  Selecteer Define these policy settings en failure. Beveiliging en beheer104

105  Nu worden alle foutieve pogingen van aanmelden in het logbestand geregistreerd. Beveiliging en beheer105

106  Er zijn negen verschillende opties van de Audit Policies: ◦ Audit account logon events. ◦ Audit account management. ◦ Audit directory service access. ◦ Audit logon events. ◦ Audit object access. ◦ Audit policy change. ◦ Audit privilege use. ◦ Audit process tracking. ◦ Audit system events. Beveiliging en beheer106

107 Registreert het aan- en afmelden van gebruikers op het domein, alsmede het slagen (Success) of niet slagen (Failure) ervan. Beveiliging en beheer107

108 Registreert elke wijziging van gebruikeraccount en groepen; daarbij hoort het wijzigen van wachtwoorden. Hier kunt u ook loggen of dat met succes of niet is gebeurt. Beveiliging en beheer108

109 Registreert elke toegang tot de Active Directory. Beveiliging en beheer109

110 Registreert als er een toegangsverificatie plaats vindt. De event heeft betrekking op het lokale systeem. Beveiliging en beheer110

111 Registreert de toegang tot een map, bestand of printer. Dit werkt enkel en alleen indien op het object zelf Auditing is aangezet. Beveiliging en beheer111

112 Registreert de wijzigingen die gemaakt worden in het policy beleid. Beveiliging en beheer112

113 Registreert dat een gebruiker gebruik maakt van privileges. Dit werkt alleen indien op het object zelf Auditing is aangezet. Beveiliging en beheer113

114 Registreert gebeurtenissen die te maken hebben met de voortgang van het proces. Beveiliging en beheer114

115 Registreert systeem events zoals het starten en afsluiten van het systeem. Beveiliging en beheer115

116  We gaan de effecten eens bekijken in de praktijk.  Meld u op de hoofdserver aan als administrator. Beveiliging en beheer116

117  Open de Event viewer via Start / Administrative Tools / Event Viewer. Beveiliging en beheer117

118  Selecteer Windows Logs en vervolgens Security. Beveiliging en beheer118

119  Verwijder alle items in deze log. Klik via de rechtermuisknop op Security en selecteer Clear Log of klik aan de rechterzijde op Clear log. Beveiliging en beheer119

120  U kunt deze log bewaren, leegmaken of de transactie ongedaan maken. Klik op Clear. Beveiliging en beheer120

121  Meld u nu aan op de Windows Vista als JVermeulen (een leerling) en maak met opzet een fout in het wachtwoord. Beveiliging en beheer121

122  In de log kunt u zien dat de gebruiker JVermeulen een verkeerd wachtwoord heeft ingegeven. Beveiliging en beheer122

123  Het is mogelijk om een GPO te exporteren naar een HTML-bestand.  Zo is het gemakkelijk om bijvoorbeeld de documentatiemap te vervolledigen. Beveiliging en beheer123

124  Open de MMC Group Policy Management.  Dubbelklik op de OU Leerlingen. Beveiliging en beheer124

125  Klik op de rechterhelft op de Link Order met de rechtermuisknop en selecteer Save Report. Beveiliging en beheer125

126  Geef het bestand de naam Leerlingen in en klik op de knop Save. Beveiliging en beheer126

127  Het HTML bestand bevat alle ingestelde en gewijzigde beveiligingen. Beveiliging en beheer127

128 Beveiliging en beheer128


Download ppt " Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot."

Verwante presentaties


Ads door Google