Hoofdstuk 7: Beveiliging en beheer

Hoofdstuk 7: Beveiliging en beheer

Beveiliging en beheer Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot een domein of tot de individuele systemen in het domein of op het netwerk. Beveiliging en beheer

Beveiliging en beheer Met behulp van beleid vermijdt u dat gebruikers handelingen verrichten die door het bedrijf niet zijn toegestaan. Via de beleidsinstellingen kunnen gebruikersmogelijkheden helder, overzichtelijk en automatisch worden aangeboden. Beveiliging en beheer

Beveiliging en beheer Beleid kunt u op twee manieren instellen:
met de MMC-module Local Security Policy met de MMC-module Group Policy Management Editor. Beveiliging en beheer

Local Security Policy In de MMC-module Local Security Policy bevinden zich de beveiligingsinstellingen voor een computer in het netwerk. Dit is hetzelfde als de MMC Lokaal beveiligingsbeleid in Windows Vista. Beveiliging en beheer

Local Security Policy U start deze MMC-module via Start, Administratieve Tools, Local Security Policy. Beveiliging en beheer

Local Security Policy U kunt de MMC Local Security Policy ook opvragen met het commando secpol.msc Beveiliging en beheer

Local Security Policy Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen bestaat Beveiliging en beheer

Local Security Policy Windows Firewall with Advanced Security
Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen bestaat Account Policies Local Policies Windows Firewall with Advanced Security Network List Manager Policies Public Key Policies Software Restriction Policies IP Security Policies on Local Computer Beveiliging en beheer

Local Security Policy – Account policies
De Account Policies dienen om de veiligheid te vergroten en zijn onderverdeeld in drie containers : Password Policy; Account Lockout Policy; Kerberos Policy. Beveiliging en beheer

Local Security Policy – Account policies
Dubbelklik op de container Account Policies. De drie containers: Password Policy, Account Lockout Policy en Kerberos Policy verschijnen. Beveiliging en beheer

Local Security Policy – Password policy
Dit beleid bepaalt de veiligheidseisen op de computer (niet per gebruiker). Als u dubbelklikt op de container Password Policy kunt u in het rechtervenster zes instellingen voor het wachtwoordbeleid aanpassen Beveiliging en beheer

Local Security Policy – Password policy
In de rechtervenster ziet u dat op zes verschillende instellingen het wachtwoordbeleid kunt aanpassen. Beveiliging en beheer

Password policy – Enforce password history
Windows Server 2008 onthoudt eerder gebruikte wachtwoorden. Als standaard is dit beleid ingesteld op 24 verschillende wachtwoorden. Dit betekent dat de laatste 24 wachtwoorden worden onthouden. Een wachtwoord kan dus pas weer gebruikt worden nadat het 24 keer is gewijzigd. Beveiliging en beheer

Klik op Enforce password history; u ziet dat u de ingestelde waarde 24 niet kunt veranderen. Beveiliging en beheer

De reden is simpel: u hebt de server gepromoveerd tot domeincontroller. Binnen een domein geldt dat de instellingen van de Default Domain Policy boven de Local Security Policy gaat. De lokale waarden worden overgenomen door de Default domain Settings. Beveiliging en beheer

Groepsbeleid Groepsbeleid kan zowel op het niveau van het domein als op het niveau van de organisatie- eenheden (OU’s) bepaald worden. Hierdoor kunnen we een algemeen beleid voor het domein bepalen en variaties (aanvullingen of uitzonderingen) daarop vastleggen per OU. Beveiliging en beheer

Groepsbeleid Alle domeincontrollers in het domein worden beïnvloed door de instellingen die in deze MMC-module worden opgeslagen. U roept dit beleid op met de MMC-module Group Policy Management Editor. Beveiliging en beheer

Groepsbeleid Een GPO of Group Policy Object (groepsbeleidsobject) biedt de mogelijkheid om instellingen voor groepsbeleid op te slaan in een enkel object. GPO’s worden opgeslagen in de Active Directory (AD). Beveiliging en beheer

Groepsbeleid U kunt ook een GPO aanmaken op basis van een reeds bestaande GPO (Source Starter GPO). Dan heeft het nieuwe groepsbeleidsobject alle instellingen en bijhorende waarden die in het Source Starter GPO werden gedefinieerd. Beveiliging en beheer

Groepsbeleid GPO’s worden verwerkt op het niveau waarop ze geplaatst zijn. Er kunnen meerdere GPO’s in één domein aangemaakt worden. Beveiliging en beheer

groepsbeleid GPO’s worden in de volgende volgorde uitgevoerd:
De lokale GPO. De Site niveau geplaatste GPO’s. De op domein niveau geplaatste GPO’s. Ten slotte de in een OU geplaatste GPO’s. Beveiliging en beheer

Groepsbeleid Bepaalde OU’s worden nogmaals onderverdeeld in andere OU’s. De GPO’s die in de OU op een lager niveau zijn verstrekt, gaan boven die op een hoger niveau. Beveiliging en beheer

Group Policy Management Editor
Het maken van groepsbeleid doet u met de Group Policy Management Editor als volgt. Beveiliging en beheer

Open de Group Policy Management Editor via Start, Administrative Tools, Group Policy Management. Beveiliging en beheer

Navigeer naar het domein: GVB.be in Forest: GVB.be/Domains). Klik met rechts op de domeinnaam en maak een nieuw GPO (Group Policy Object). Beveiliging en beheer

Selecteer Create a GPO in this domain, and link it here. Beveiliging en beheer

Geef de GPO een nieuwe naam Main GPO en klik vervolgens op OK. Beveiliging en beheer

Verwijder de GPO Main GPO door er met de rechtermuisknop op te klikken en Delete te selecteren Beveiliging en beheer

U gaat nu de GPO Default Domain Policy bewerken. Beveiliging en beheer

Open de GPO Default Domain Policy; klik erop met de rechtermuisknop en kies Edit. Beveiliging en beheer

Bij het openen van de Group Policy Management Editor ziet u dat binnen een GPO tweemodules voorkomen: Computer Configuration. User Configuration. Beveiliging en beheer

Group Policy Management Editor - User en Computer configuration
In deze modules bevinden zich verschillende containers, ingedeeld naar specifiek te configureren policies. Beveiliging en beheer

Group Policy Management Editor - Computer Configuration
Deze module bevat de groepspolicies voor het computersysteem onafhankelijk van de gebruiker. Dit beleid wordt toegepast tijdens het opstarten van het computersysteem. Beveiliging en beheer

Group Policy Management Editor - User configuration
Deze module bevat de groepspolicies voor de gebruiker onafhankelijk van het computersysteem. Beveiliging en beheer

Group Policy Management Editor - Computer configuration
Via Computer configuration, Windows Settings, Security Settings kunt u het beleid via een GPO dat gelinkt kan zijn aan een site, een domein of een OU bekijken of bewerken. Beveiliging en beheer

Selecteer de container “Account Policies” en open vervolgens de container “Password Policy”. Beveiliging en beheer

U ziet dezelfde zes verschillende opties als bij de Password Security van de Local Security Policy. Enforce password history. Maximum password age. Minimum password age. Minimum password length. Password must meet complexity requirements. Store password using reversible encryption. Beveiliging en beheer

Beveiliging en beheer

Group Policy Management Editor - Enforce password history
Met deze optie dwingt u de gebruiker een wachtwoord niet steeds opnieuw te gebruiken. Beveiliging en beheer

Als hier de waarde 24 staat, wat de standaardinstelling is, betekent dit dat een wachtwoord pas weer kan worden gebruikt als er tussentijds 24 verschillende wachtwoorden zijn gebruikt. Beveiliging en beheer

Selecteer de optie Define this policy setting en verander de waarde 24 in de waarde 3. Klik op OK. Beveiliging en beheer

Group Policy Management Editor - Maximum password age
Met deze optie dwingt u de gebruiker een wachtwoord een maximum aantal dagen te gebruiken. Indien deze periode is verstreken, moet een nieuw wachtwoord worden gebruikt. Standaard verloopt het wachtwoord na 42 dagen. Dus na 42 dagen moet de gebruiker een nieuw wachtwoord instellen. Beveiliging en beheer

Afhankelijk van de belangrijkheid, kan de beheerder een kortere of een langere tijd instellen. Natuurlijk is het beter het wachtwoord niet te lang laten staan, omdat dan de geheimhouding niet meer is verzekerd. Beveiliging en beheer

Dubbelklik op de policy Maximum password age. Laat de standaardinstelling staan en klik op OK. Beveiliging en beheer

Group Policy Management Editor - Minimum password age
Met deze optie dwingt u de gebruiker een wachtwoord gedurende een minimum aantal dagen te gebruiken, voordat een nieuw wachtwoord kan worden gebruikt. Hiermee voorkomt u dat de gebruiker heel snel een aantal wachtwoorden gebruikt en dan weer gebruik kan maken van zijn oude wachtwoord. Beveiliging en beheer

Group Policy Management Editor - Minimum password age
Verander de standaardwaarde in 30 en klik vervolgens op OK. Beveiliging en beheer

Group Policy Management Editor - Minimum password length
Met deze optie dwingt u de gebruiker een vastgesteld aantal karakters te gebruiken. Hiermee wordt vermeden dat gebruikers lege of te korte wachtwoorden kunnen gebruiken. Standaard is de instelling 7 karakters. Beveiliging en beheer

Group Policy Management Editor - Minimum password length
Verander deze standaardwaarde in de waarde 5. Beveiliging en beheer

Group Policy Management Editor - Password must meet complexity requirements
Met deze optie dwingt u de gebruiker een combinatie van hoofdletters, letters, leestekens en cijfers te gebruiken. Het niveau van de netwerkbeveiliging neemt hierdoor toe. Beveiliging en beheer

Group Policy Management Editor - Password must meet complexity requirements
Laat de standaardinstelling staan op “Enable” en klikt op “OK”. Beveiliging en beheer

Group Policy Management Editor - Store password using reversible
Dit beleid geeft de mogelijkheid applicaties te draaien die protocollen gebruiken die voor authenticatiedoeleinden kennis moeten hebben van het wachtwoord van de gebruiker. Wachtwoorden opslaan met omkeerbare encryptie is hetzelfde als cleartext versies opslaan van deze wachtwoorden. Juist om deze reden zou dit beleid nooit aangezet mogen worden. Beveiliging en beheer

Group Policy Management Editor - Store password using reversible
Laat deze optie ongewijzigd of “Disable”. Beveiliging en beheer

Group Policy Management Editor - Password Policy
Het “Password Policy” is nu volledig ingesteld. Beveiliging en beheer

Een nieuwe GPO aanmaken op een Organisational Unit
Zoals we al hebben gezien, zijn GPO’s goede mogelijkheden om centraal uw netwerk te beheren. U kunt namelijk organisatie-eenheden aanmaken. Deze zijn meestal een afspiegeling van uw organisatie. Beveiliging en beheer

Wij hebben al een OU ‘Leerlingen’ aangemaakt. U kunt dan een GPO aanmaken; een Group Policy Object. Let op: deze worden niet op een groep gezet, maar op een Organisational Unit. Beveiliging en beheer

Start de Group Policy Management console. Selecteer Group Policy Objects, klik met de rechtermuisknop en selecteer vervolgens New. Beveiliging en beheer

Geef de nieuwe GPO de naam Leerlingen en klik vervolgens op. Beveiliging en beheer

De GPO Leerlingen is aangemaakt. Beveiliging en beheer

Link de GPO aan de organisatie eenheid Leerlingen. Klik op de OU Leerlingen met de rechtermuisknop en selecteer Link an Existing GPO… Beveiliging en beheer

Dubbelklik op de GPO Leerlingen. Beveiliging en beheer

De GPO Leerlingen is nu gekoppeld aan de organisatie groep Leerlingen. Beveiliging en beheer

Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 1
Stel het wachtwoordbeleid in voor de GPO Leerlingen. Geschiedenis wachtwoord bijhouden op 3. Maximum leeftijd van het wachtwoord 30. Minimum leeftijd van het wachtwoord 29. Minimum lengte van het wachtwoord 5. Beveiliging en beheer

Opslagcapaciteit instellen via GPO
Om te vermijden dat de harde schijven van de fileserver worden volgeschreven, kunt u de opslagcapaciteit instellen. U kunt dat doen voor alle gebruikers van het domein of per organisatie-eenheid. Wij gaan de opslagcapaciteit instellen op de organisatie-eenheid Leerlingen. Beveiliging en beheer

Start de Group Policy Management Console. Open de GPO Leerlingen. Open de container Disk Quotas via Computer Configuration/Administrative Templates/System/Disk Quotas. Beveiliging en beheer

Dubbelklik op de setting Enable disk quotas. Selecteer het keuzerondje Enable en klik vervolgens op de knop Next Settings om de eerst volgende setting in te stellen. Beveiliging en beheer

Enable Enforce disk quota limit Properties en klik vervolgens op Next Settings. Beveiliging en beheer

Enable de Default quota and warning level Properties. Wijzig de waarde op 500 MB. Rol de pagina naar beneden via het pijltje en wijzig de Warning Value op 400 MB. Beveiliging en beheer

Als de gebruiker (in de OU Leerlingen) een diskcapaciteit van 400 MB bereikt heeft, ontvangt hij een waarschuwing. Bij het bereiken van een diskcapaciteit van 500 MB kan hij niets meer opslaan. Beveiliging en beheer

Hier kunt u eventueel de log activeren om een overzicht te hebben wie de opslagcapaciteit bereikt heeft. Beveiliging en beheer

Enable de log. De opslagcapaciteit is ingesteld voor de organisatie-eenheid Leerlingen. Beveiliging en beheer

Experimenteer met de volgende beveiligingen: Leerlingen mogen geen gebruik maken van de opdrachtprompt. Leerlingen mogen geen software installeren. Leerlingen mogen het netwerk niet doorbladeren. Leerlingen mogen het bureaublad niet wijzigen. Maak een veilig beheersnetwerk via deze GPO. Beveiliging en beheer

Maak een nieuwe GPO Leerkrachten aan. Koppel de GPO Leerkrachten aan de OU Leerkrachten. Beveiliging en beheer

Het delegeren van beheerstaken
De administrator heeft doorgaans wel wat beters te doen dan wachtwoorden resetten. Daarom kunt u deze taak gerust delegeren aan de groep Leerkrachten. Beveiliging en beheer

Met het delegeren van beheertaken alleen heeft u er nog niet voor gezorgd dat de gebruiker of gebruikersgroep het beheer ook daadwerkelijk kan uitvoeren. Daarvoor moeten de noodzakelijke beheertools aan die gebruiker of gebruikersgroep ter beschikking worden gesteld. Beveiliging en beheer

De mogelijkheden tot het delegeren voor beheertaken zijn: U kunt beheertaken delegeren voor sites, domeinen of organisatie-eenheden. Beheertaken kunt u aan gebruikers of gebruikersgroepen. U kunt precies bepalen welke beheertaken u delegeert. Beveiliging en beheer

Start de MMC Active Directory Users and Computers. Open het snelmenu van de organisatie-eenheid Leerlingen. Beveiliging en beheer

Klik Delegate Control. Beveiliging en beheer

De wizard Delegation of Control start. Klik op Next. Beveiliging en beheer

Het venster Users or Groups wordt geopend. Klik op de knop Add om gebruikers of groepen toe te voegen. Beveiliging en beheer

Type Leerkrachten in het tekstvak en klik op OK. Klik vervolgens op Next. Beveiliging en beheer

Het wizardvenster Tasks to Delegate verschijnt. De taken die zijn aangevinkt, delegeert u naar de groep Leerkrachten. Beveiliging en beheer

Vink enkel de taak Reset user password and force password change at next logon aan, zodanig deze taak gedelegeerd wordt. Klik op Next. Beveiliging en beheer

De beheertaken voor de organisatie-eenheid Leerlingen zijn ingesteld. Klik op Finish. Beveiliging en beheer

Het delegeren van beheerstaken – Beheertools beschikbaar stellen
U heeft de groep Leerkrachten nog geen tools ter beschikking gesteld om de beheertaken uit te voeren. Maak een nieuwe GPO Leerkrachten voor de organisatie-eenheid Leerkrachten. Beveiliging en beheer

Nu gaat u een MMC (Microsoft Management Console) aanmaken, zodanig gebruikers lid van de groep Leerkrachten het wachtwoord van de leerlingen kunnen resetten. MMC is een omgeving waarin een of meer management utilities kunnen worden geplaatst. Door het MMC ontwerp zijn deze utilities allemaal volgens eenzelfde structuur te bedienen. Beveiliging en beheer

Meld u aan als administrator op de hoofdserver. Maak een nieuwe map tools aan en deel deze voor de gebruikers van de groep Leerkrachten waar later de MMC in zal bewaard worden. Type het command MMC in de tekstbox Start Search. Beveiliging en beheer

Type het command MMC in de tekstbox Start Search. Het MMC constructievenster verschijnt. Beveiliging en beheer

Selecteer in het constructievenster het menu File en selecteer vervolgens de optie Add / Remove Snap-in…. Beveiliging en beheer

Selecteer Active Directory Users and Computers en klik op de knop Add. Klik vervolgens op OK. Beveiliging en beheer

De gekozen Snap-in verschijnt in de Name zone. Beveiliging en beheer

U gaat nu de MMC opslaan in verschillende Console Modi. Selecteer in de MMC console1 het menu File en vervolgens de optie Options. Beveiliging en beheer

U ziet dat er vier verschillende console modi zijn: Author mode. Hiermee heeft u de bevoegdheid tot het toevoegen, bewerken of verwijderen snap ins. De toegang tot de console menu’s zijn ook mogelijk. User mode – full access. De gebruikers kunnen geen snap ins toevoegen. De toegang tot de console menu’s zijn wel toegestaan. Beveiliging en beheer

User mode – limited access, multiple window. De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kunnen wel meerdere vensters in de MMC worden weergegeven. User mode – limited access, single window. De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kan maar één venster in de MMC worden weergegeven. Beveiliging en beheer

U kunt eventueel ook een vinkje plaatsen bij: Do not save changes to this console. De gebruikers kunnen de aangebrachte wijzigingen niet opslaan. Allow the user to customize views. De optie Customize is niet meer in het menu View aanwezig. Beveiliging en beheer

Bewaar de MMC in de Author mode. Vervolgens slaat u de MMC op onder de naam “Reset password.msc in C:\tools. Beveiliging en beheer

Beheertools beschikbaar stellen – Het testen van de MMC
Ga nu naar uw Vista client. Meld u aan als JJanssens2 (een leerkracht) en typ \\hoofdserver\Tools in. Dubbelklik vervolgens op de MMC Reset password. Beveiliging en beheer

Open de container Active Directory Users and Computers en dubbelklik op initialen.be. Open de organisatie-eenheid Leerlingen. Beveiliging en beheer

Klik via de rechtermuisknop de gebruikersnaam welk wachtwoord u wilt resetten en selecteer Reset Password. Voer het nieuwe wachtwoord in en bevestig dit. Het wachtwoord is gereset. Beveiliging en beheer

Configureren en werken met audit policies
Auditing is bedoeld om het systeem te controleren op bepaalde acties en op wat er gelukt is of mislukt. U kunt bijvoorbeeld controleren hoe vaak het aanmelden is gelukt of mislukt. Het hoofddoel van auditing is natuurlijk troubleshooting. U kunt al de fouten in de logboek Event Viewer bekijken. Beveiliging en beheer

Meld u aan als administrator op de Hoofdserver. Open de MMC Group Policy Management via start en dubbelklik op het domein initialen.be. Beveiliging en beheer

Dubbelklik de container Group Policy Objects. Bewerk via de rechtermuisknop de policy Leerlingen die u al eerder hebt aangemaakt Beveiliging en beheer

Open computer configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy. Beveiliging en beheer

Dubbelklik op Audit system events. Selecteer Define these policy settings en failure. Beveiliging en beheer

Nu worden alle foutieve pogingen van aanmelden in het logbestand geregistreerd. Beveiliging en beheer

Er zijn negen verschillende opties van de Audit Policies: Audit account logon events. Audit account management. Audit directory service access. Audit logon events. Audit object access. Audit policy change. Audit privilege use. Audit process tracking. Audit system events. Beveiliging en beheer

De verschillende opties – Audit account logon events
Registreert het aan- en afmelden van gebruikers op het domein, alsmede het slagen (Success) of niet slagen (Failure) ervan. Beveiliging en beheer

De verschillende opties – Audit account management
Registreert elke wijziging van gebruikeraccount en groepen; daarbij hoort het wijzigen van wachtwoorden. Hier kunt u ook loggen of dat met succes of niet is gebeurt. Beveiliging en beheer

De verschillende opties – Audit directory service access
Registreert elke toegang tot de Active Directory. Beveiliging en beheer

De verschillende opties – Audit logon events
Registreert als er een toegangsverificatie plaats vindt. De event heeft betrekking op het lokale systeem. Beveiliging en beheer

De verschillende opties – Audit object access
Registreert de toegang tot een map, bestand of printer. Dit werkt enkel en alleen indien op het object zelf Auditing is aangezet. Beveiliging en beheer

De verschillende opties – Audit policy change
Registreert de wijzigingen die gemaakt worden in het policy beleid. Beveiliging en beheer

De verschillende opties – Audit privilege use
Registreert dat een gebruiker gebruik maakt van privileges. Dit werkt alleen indien op het object zelf Auditing is aangezet. Beveiliging en beheer

De verschillende opties – Audit process tracking
Registreert gebeurtenissen die te maken hebben met de voortgang van het proces. Beveiliging en beheer

De verschillende opties – Audit system events
Registreert systeem events zoals het starten en afsluiten van het systeem. Beveiliging en beheer

Configureren en werken met audit policies – Testen van audit polcies
We gaan de effecten eens bekijken in de praktijk. Meld u op de hoofdserver aan als administrator. Beveiliging en beheer

Open de Event viewer via Start / Administrative Tools / Event Viewer. Beveiliging en beheer

Selecteer Windows Logs en vervolgens Security. Beveiliging en beheer

Verwijder alle items in deze log. Klik via de rechtermuisknop op Security en selecteer Clear Log of klik aan de rechterzijde op Clear log. Beveiliging en beheer

U kunt deze log bewaren, leegmaken of de transactie ongedaan maken. Klik op Clear. Beveiliging en beheer

Meld u nu aan op de Windows Vista als JVermeulen (een leerling) en maak met opzet een fout in het wachtwoord. Beveiliging en beheer

In de log kunt u zien dat de gebruiker JVermeulen een verkeerd wachtwoord heeft ingegeven. Beveiliging en beheer

Een HTML bestand maken van een GPO
Het is mogelijk om een GPO te exporteren naar een HTML-bestand. Zo is het gemakkelijk om bijvoorbeeld de documentatiemap te vervolledigen. Beveiliging en beheer

Open de MMC Group Policy Management. Dubbelklik op de OU Leerlingen. Beveiliging en beheer

Klik op de rechterhelft op de Link Order met de rechtermuisknop en selecteer Save Report. Beveiliging en beheer

Geef het bestand de naam Leerlingen in en klik op de knop Save. Beveiliging en beheer

Het HTML bestand bevat alle ingestelde en gewijzigde beveiligingen. Beveiliging en beheer

Einde Hoofdstuk 7 Beveiliging en beheer

Hoofdstuk 7: Beveiliging en beheer

Verwante presentaties

Presentatie over: "Hoofdstuk 7: Beveiliging en beheer"— Transcript van de presentatie:

Verwante presentaties

Over het project

Feedback

Inloggen

Inloggen via een sociaal netwerk:

Hoofdstuk 7: Beveiliging en beheer

Verwante presentaties

Presentatie over: "Hoofdstuk 7: Beveiliging en beheer"— Transcript van de presentatie:

Verwante presentaties

Over het project

Feedback