Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Windows Server-besturingssystemen worden geïnstalleerd met standaard lokale accounts. Daarnaast kunt u gebruikersaccounts maken om te voldoen aan de vereisten van uw organisatie.
In dit naslagartikel worden de standaard lokale Windows Server-accounts beschreven die lokaal zijn opgeslagen op de domeincontroller en worden gebruikt in Active Directory. Er worden geen standaard lokale gebruikersaccounts voor een lid, zelfstandige server of Windows-client beschreven. Zie Lokale accounts voor meer informatie.
Standaard lokale accounts in Active Directory
Lokale standaardaccounts zijn ingebouwde accounts die automatisch worden gemaakt wanneer een Windows Server-domeincontroller wordt geïnstalleerd en het domein wordt gemaakt. Deze lokale standaardaccounts hebben tegenhangers in Active Directory. Ze hebben ook domeinbrede toegang en zijn volledig gescheiden van de standaard lokale gebruikersaccounts voor een lid of zelfstandige server.
U kunt rechten en machtigingen toewijzen aan standaard lokale accounts op een bepaalde domeincontroller en alleen op die domeincontroller. Deze accounts zijn lokaal voor het domein. Nadat de standaard lokale accounts zijn geïnstalleerd, worden ze opgeslagen in de container Gebruikers in Active Directory: gebruikers en computers. Het is een best practice om de standaard lokale accounts in de gebruikerscontainer te bewaren en deze accounts niet te verplaatsen naar bijvoorbeeld een andere organisatie-eenheid (OE).
De standaard lokale accounts in de container Gebruikers zijn: Beheerder, Gast en KRBTGT. Het HelpAssistant-account wordt geïnstalleerd wanneer er een sessie voor hulp op afstand tot stand is gebracht. In de volgende secties worden de standaard lokale accounts en het gebruik ervan in Active Directory beschreven.
Standaard lokale accounts voeren de volgende acties uit:
Laat het domein de identiteit vertegenwoordigen, identificeren en verifiëren van de gebruiker die is toegewezen aan het account met behulp van unieke referenties (gebruikersnaam en wachtwoord). Het is een best practice om elke gebruiker toe te wijzen aan één account om maximale beveiliging te garanderen. Meerdere gebruikers mogen één account niet delen. Met een gebruikersaccount kan een gebruiker zich aanmelden bij computers, netwerken en domeinen met een unieke id die kan worden geverifieerd door de computer, het netwerk of het domein.
Toegang verlenen (verlenen of weigeren) tot middelen. Nadat de inloggegevens van een gebruiker zijn geverifieerd, is de gebruiker gemachtigd om toegang te krijgen tot de netwerk- en domeinmiddelen op basis van de expliciet toegewezen rechten van de gebruiker op de middelen.
Controleer de acties die worden uitgevoerd op gebruikersaccounts.
In Active Directory gebruiken beheerders standaard lokale accounts om domein- en lidservers rechtstreeks en vanaf toegewezen beheerwerkstations te beheren. Active Directory-accounts bieden toegang tot netwerkbronnen. Active Directory-gebruikersaccounts en computeraccounts kunnen een fysieke entiteit vertegenwoordigen, zoals een computer of persoon, of fungeren als toegewezen serviceaccounts voor sommige toepassingen.
Elk lokaal standaardaccount wordt automatisch toegewezen aan een beveiligingsgroep die vooraf is geconfigureerd met de juiste rechten en machtigingen voor het uitvoeren van specifieke taken. Active Directory-beveiligingsgroepen verzamelen gebruikersaccounts, computeraccounts en andere groepen in beheerbare eenheden. Zie Active Directory-beveiligingsgroepen voor meer informatie.
Op een Active Directory-domeincontroller wordt elk lokaal standaardaccount aangeduid als een beveiligingsprincipaal. Een beveiligingsprincipaal is een directoryobject dat wordt gebruikt voor het beveiligen en beheren van Active Directory-services die toegang bieden tot domeincontrollerbronnen. Een beveiligingsprincipaal bevat objecten zoals gebruikersaccounts, computeraccounts, beveiligingsgroepen of de threads of processen die worden uitgevoerd in de beveiligingscontext van een gebruikers- of computeraccount. Zie Beveiligingsprinciplen voor meer informatie.
Een beveiligingsprincipaal wordt vertegenwoordigd door een unieke beveiligings-id (SID). De SID's die zijn gerelateerd aan elk van de standaard lokale accounts in Active Directory, worden beschreven in de volgende secties.
Sommige van de standaard lokale accounts worden beveiligd door een achtergrondproces dat periodiek een specifieke beveiligingsdescriptor controleert en toepast. Een beveiligingsdescriptor is een gegevensstructuur die beveiligingsinformatie bevat die is gekoppeld aan een beveiligd object. Dit proces zorgt ervoor dat elke geslaagde ongeoorloofde poging om de beveiligingsdescriptor op een van de standaard lokale accounts of groepen te wijzigen, wordt overschreven met de beveiligde instellingen.
Deze beveiligingsdescriptor is aanwezig in het object AdminSDHolder. Als u de machtigingen voor een van de servicebeheerdersgroepen of een van de lidaccounts wilt wijzigen, moet u de beveiligingsdescriptor voor het object AdminSDHolder wijzigen om ervoor te zorgen dat deze consistent wordt toegepast. Wees voorzichtig wanneer u deze wijzigingen aanbrengt, omdat u ook de standaardinstellingen wijzigt die worden toegepast op al uw beveiligde accounts.
Beheerdersaccount
Een beheerdersaccount is een standaardaccount dat wordt gebruikt in alle versies van het Windows-besturingssysteem op elke computer en elk apparaat. Het beheerdersaccount wordt door de systeembeheerder gebruikt voor taken waarvoor beheerdersreferenties zijn vereist. Dit account kan niet worden verwijderd of vergrendeld, maar het account kan worden gewijzigd of uitgeschakeld.
Het beheerdersaccount geeft de gebruiker volledige toegang (machtigingen voor volledig beheer) tot de bestanden, mappen, services en andere resources die zich op die lokale server bevinden. U kunt het beheerdersaccount gebruiken om lokale gebruikers te maken en gebruikersrechten en machtigingen voor toegangsbeheer toe te wijzen. U kunt het account ook gebruiken om op elk gewenst moment controle te houden over lokale resources door de gebruikersrechten en machtigingen te wijzigen. Hoewel bestanden en mappen tijdelijk kunnen worden beveiligd vanuit het beheerdersaccount, kan het account op elk gewenst moment de controle over deze resources overnemen door de toegangsmachtigingen te wijzigen.
Lidmaatschap van de gebruikersaccountgroep
Het beheerdersaccount heeft lidmaatschap van de standaardbeveiligingsgroepen, zoals beschreven in de tabel Met beheerdersaccountkenmerken verderop in dit artikel.
De beveiligingsgroepen zorgen ervoor dat u beheerdersrechten kunt beheren zonder dat u elk Administrator-account hoeft te wijzigen. In de meeste gevallen hoeft u de basisinstellingen voor dit account niet te wijzigen. Mogelijk moet u echter de geavanceerde instellingen wijzigen, zoals lidmaatschap van bepaalde groepen.
Beveiligingsoverwegingen
Na de installatie van het serverbesturingssysteem moet u de eigenschappen van het administratoraccount veilig instellen. Dit omvat het instellen van een bijzonder lang, sterk wachtwoord en het beveiligen van de profielinstellingen voor Remote Control en Remote Desktop Services.
Het beheerdersaccount kan ook worden uitgeschakeld wanneer dit niet vereist is. Als u de naam van het beheerdersaccount wijzigt of uitschakelt, is het moeilijker voor kwaadwillende gebruikers om toegang te krijgen tot het account. Zelfs als het Administrator-account is uitgeschakeld, kan het nog steeds worden gebruikt om toegang te krijgen tot een domeincontroller met behulp van de veilige modus.
Op een domeincontroller fungeert het beheerdersaccount als het domeinbeheerdersaccount. Het domeinadministratoraccount wordt gebruikt om u aan te melden bij de domeincontroller en dit account vereist een sterk wachtwoord. Het domeinadministratoraccount geeft u toegang tot domeinbronnen.
Note
Wanneer de domeincontroller in eerste instantie is geïnstalleerd, kunt u zich aanmelden en Serverbeheer gebruiken om een lokaal administratoraccount in te stellen, met de rechten en machtigingen die u wilt toewijzen. U kunt bijvoorbeeld een lokaal Administrator-account gebruiken om het besturingssysteem te beheren wanneer u het voor het eerst installeert. Door deze methode te gebruiken, kunt u het besturingssysteem instellen zonder vergrendeld te raken. Over het algemeen hoeft u het account na de installatie niet te gebruiken. U kunt lokale gebruikersaccounts alleen op de domeincontroller maken voordat Active Directory Domain Services is geïnstalleerd en niet later.
Wanneer Active Directory is geïnstalleerd op de eerste domeincontroller in het domein, wordt het beheerdersaccount gemaakt voor Active Directory. Het beheerdersaccount is het krachtigste account in het domein. Het krijgt domeinbrede toegang en beheerdersrechten om de computer en het domein te beheren, en heeft de meest uitgebreide rechten en machtigingen voor het domein. De persoon die Active Directory Domain Services op de computer installeert, maakt het wachtwoord voor dit account tijdens de installatie.
Beheerdersaccountkenmerken
| Attribute | Value |
|---|---|
| Bekende SID/RID | S-1-5-<domain>-500 |
| Type | User |
| Standaardcontainer | CN=Users, DC=<domain>, DC= |
| Standaardleden | N/A |
| Standaardlid van | Beheerders, domeinadministrators, ondernemingsbeheerders, domeingebruikers (de primaire groeps-id van alle gebruikersaccounts is domeingebruikers) Eigenaren van Group Policy Creator en Schema Admins in de groep Active Directory-domeingebruikers |
| Beveiligd door AdminSdHolder? | Yes |
| Veilig om uit de standaardcontainer te gaan? | Yes |
| Veilig om het beheer van deze groep te delegeren aan niet-servicebeheerders? | No |
Gastaccount
Het gastaccount is een standaard lokaal account met beperkte toegang tot de computer en is standaard uitgeschakeld. Standaard blijft het wachtwoord van het gastaccount leeg. Met een leeg wachtwoord kan het gastaccount worden geopend zonder dat de gebruiker een wachtwoord hoeft in te voeren.
Met het gastaccount kunnen incidentele of eenmalige gebruikers, die geen afzonderlijk account op de computer hebben, zich aanmelden bij de lokale server of het domein met beperkte rechten en machtigingen. Het gastaccount kan worden ingeschakeld en het wachtwoord kan indien nodig worden ingesteld, maar alleen door een lid van de groep Administrator in het domein.
Lidmaatschap van gastaccountgroep
Het gastaccount heeft lidmaatschap van de standaardbeveiligingsgroepen die worden beschreven in de volgende tabel met kenmerken van het gastaccount. Standaard is het gastaccount het enige lid van de standaardgroep Gasten, waarmee een gebruiker zich kan aanmelden bij een server en de globale groep Domeingasten, waarmee een gebruiker zich kan aanmelden bij een domein.
Een lid van de groep Administrators of de groep Domeinadministrators kan een gebruiker instellen met een gastaccount op een of meer computers.
Beveiligingsoverwegingen voor gastaccounts
Omdat het gastaccount anonieme toegang kan bieden, is dit een beveiligingsrisico. Het heeft ook een bekende SID. Daarom is het raadzaam om het gastaccount uitgeschakeld te laten, tenzij het gebruik ervan vereist is en vervolgens alleen met beperkte rechten en machtigingen gedurende een zeer beperkte periode.
Wanneer het gastaccount is vereist, is een beheerder op de domeincontroller vereist om het gastaccount in te schakelen. Het gastaccount kan worden ingeschakeld zonder een wachtwoord te vereisen of kan worden ingeschakeld met een sterk wachtwoord. De beheerder verleent ook beperkte rechten en machtigingen voor het gastaccount. Om onbevoegde toegang te voorkomen:
Geef het gastaccount niet het recht van de systeemgebruiker afsluiten . Wanneer een computer wordt afgesloten of wordt opgestart, is het mogelijk dat een gastgebruiker of iedereen met lokale toegang, zoals een kwaadwillende gebruiker, onbevoegde toegang tot de computer kan krijgen.
Geef het gastaccount niet de mogelijkheid om de gebeurtenislogboeken weer te geven. Nadat het gastaccount is ingeschakeld, is het raadzaam dit account regelmatig te controleren om ervoor te zorgen dat andere gebruikers geen services en andere resources kunnen gebruiken, zoals resources die onbedoeld beschikbaar waren voor een eerdere gebruiker.
Gebruik het gastaccount niet wanneer de server externe netwerktoegang of -toegang heeft tot andere computers.
Als u besluit het gastaccount in te schakelen, moet u het gebruik ervan beperken en het wachtwoord regelmatig wijzigen. Net als bij het beheerdersaccount kunt u de naam van het account wijzigen als extra voorzorgsmaatregel voor beveiliging.
Daarnaast is een beheerder verantwoordelijk voor het beheren van het gastaccount. De beheerder bewaakt het gastaccount, schakelt het gastaccount uit wanneer het niet meer wordt gebruikt en wijzigt of verwijdert het wachtwoord indien nodig.
Zie de volgende tabel voor meer informatie over de kenmerken van het gastaccount:
Kenmerken van gastaccount
| Attribute | Value |
|---|---|
| Bekende SID/RID | S-1-5-<domain>-501 |
| Type | User |
| Standaardcontainer | CN=Users, DC=<domain>, DC= |
| Standaardleden | None |
| Standaardlid van | Gasten, domeingasten |
| Beveiligd door AdminSdHolder? | No |
| Veilig om uit de standaardcontainer te gaan? | Verplaatsen is mogelijk, maar we raden het niet aan. |
| Veilig om het beheer van deze groep te delegeren aan niet-servicebeheerders? | No |
HelpAssistant-account (geïnstalleerd met een sessie voor hulp op afstand)
Het HelpAssistant-account is een standaard lokaal account dat is ingeschakeld wanneer een sessie voor hulp op afstand wordt uitgevoerd. Dit account wordt automatisch uitgeschakeld wanneer er geen aanvragen voor hulp op afstand in behandeling zijn.
HelpAssistant is het primaire account dat wordt gebruikt om een sessie voor hulp op afstand tot stand te brengen. De sessie Hulp op afstand wordt gebruikt om verbinding te maken met een andere computer waarop het Windows-besturingssysteem wordt uitgevoerd en wordt gestart via een uitnodiging. Voor hulp op afstand stuurt een gebruiker een uitnodiging via e-mail of als bestand naar een persoon die hulp kan verlenen. Nadat de uitnodiging van de gebruiker voor een sessie voor hulp op afstand is geaccepteerd, wordt automatisch het standaard-HelpAssistant-account gemaakt om de persoon die hulp biedt beperkte toegang tot de computer te geven. Het HelpAssistant-account wordt beheerd door de Sessiebeheerservice extern bureaublad.
Beveiligingsoverwegingen voor HelpAssistant
De SID's die betrekking hebben op het standaard-HelpAssistant-account zijn onder andere:
SID: S-1-5-
<domain>-13, weergavenaam Terminal Server Gebruiker. Deze groep omvat alle gebruikers die zich aanmelden bij een server waarvoor Extern bureaublad-services zijn ingeschakeld. In Windows Server 2008 wordt Extern bureaublad-services Terminal Services genoemd.SID: S-1-5-
<domain>-14, weergavenaam Remote Interactive Logon. Deze groep omvat alle gebruikers die verbinding maken met de computer met behulp van een verbinding met een extern bureaublad. Deze groep is een subset van de interactieve groep. Toegangstokens die de EXTERNE interactieve aanmeldings-SID bevatten, bevatten ook de interactieve SID.
Voor het Windows Server-besturingssysteem is Hulp op afstand een optioneel onderdeel dat niet standaard is geïnstalleerd. U moet Hulp op afstand installeren voordat u deze kunt gebruiken.
Zie de volgende tabel voor meer informatie over de HelpAssistant-accountkenmerken:
HelpAssistant-accountkenmerken
| Attribute | Value |
|---|---|
| Bekende SID/RID | S-1-5-<domain>-13 (Terminalservergebruiker), S-1-5-<domain>-14 (Interactie op Afstand Aanmelding) |
| Type | User |
| Standaardcontainer | CN=Users, DC=<domain>, DC= |
| Standaardleden | None |
| Standaardlid van | Domeingasten Guests |
| Beveiligd door AdminSdHolder? | No |
| Veilig om uit de standaardcontainer te gaan? | Verplaatsen is mogelijk, maar we raden het niet aan. |
| Veilig om het beheer van deze groep te delegeren aan niet-servicebeheerders? | No |
KRBTGT-account
Het KRBTGT-account is een lokaal standaardaccount dat fungeert als een serviceaccount voor de KDC-service (Key Distribution Center). Dit account kan niet worden verwijderd en de accountnaam kan niet worden gewijzigd. Het KRBTGT-account kan niet worden ingeschakeld in Active Directory.
KRBTGT is ook de naam van de beveiligingsprincipaal die wordt gebruikt door de KDC voor een Windows Server-domein, zoals opgegeven door RFC 4120. Het KRBTGT-account is de entiteit voor de KRBTGT-beveiligingsprincipaal en wordt automatisch gemaakt wanneer een nieuw domein wordt gemaakt.
Windows Server Kerberos-verificatie wordt bereikt door gebruik te maken van een speciale Kerberos ticket-granting ticket (TGT) die is gecodeerd met een symmetrische sleutel. Deze sleutel is afgeleid van het wachtwoord van de server of service waartoe toegang wordt aangevraagd. Het TGT-wachtwoord van het KRBTGT-account is alleen bekend door de Kerberos-service. Als u een sessieticket wilt aanvragen, moet u de TGT aan de KDC presenteren. De TGT wordt uitgegeven aan de Kerberos-client van de KDC.
Onderhoudsoverwegingen voor KRBTGT-accounts
Er wordt automatisch een sterk wachtwoord toegewezen aan de KRBTGT en vertrouwensaccounts. U moet deze wachtwoorden volgens een normaal schema wijzigen, net zoals bij elk bevoegd serviceaccount. Het wachtwoord voor het KDC-account wordt gebruikt om een geheime sleutel af te leiden voor het versleutelen en ontsleutelen van de TGT-aanvragen die worden uitgegeven. Het wachtwoord voor een domeinvertrouwensaccount wordt gebruikt om een inter-realmsleutel af te leiden voor het versleutelen van verwijzingstickets.
Als u het wachtwoord opnieuw wilt instellen, moet u lid zijn van de groep Domeinbeheerders of de juiste autorisatie gedelegeerd hebben. Daarnaast moet u lid zijn van de lokale groep Administrators of moet u de juiste bevoegdheid hebben gekregen.
Nadat u het KRBTGT-wachtwoord opnieuw hebt ingesteld, moet u ervoor zorgen dat gebeurtenis-id 9 in de (Kerberos)-sleutel-Distribution-Center gebeurtenisbron naar het gebeurtenislogboek van het systeem wordt geschreven.
Beveiligingsoverwegingen voor KRBTGT-accounts
Het is ook een best practice om het wachtwoord van het KRBTGT-account opnieuw in te stellen om ervoor te zorgen dat een zojuist herstelde domeincontroller niet wordt gerepliceerd met een gecompromitteerde domeincontroller. In dit geval kunt u bij een groot herstel van een bos dat verspreid is over meerdere locaties niet garanderen dat alle domeincontrollers worden uitgeschakeld, en, als ze zijn uitgeschakeld, dat ze niet opnieuw kunnen worden opgestart voordat alle correcte herstelstappen zijn uitgevoerd. Nadat u het KRBTGT-account opnieuw hebt ingesteld, kan een andere domeincontroller dit accountwachtwoord niet repliceren met behulp van een oud wachtwoord.
Een organisatie die vermoedt dat het domein van het KRBTGT-account in gevaar komt, moet rekening houden met het gebruik van professionele incidentresponsservices. De impact om het eigendom van het account te herstellen is domeinbreed, arbeidsintensief en moet worden uitgevoerd als onderdeel van een grotere herstelinspanning.
Het KRBTGT-wachtwoord vormt de basis van het vertrouwen in de Kerberos-keten. Het opnieuw instellen van het KRBTGT-wachtwoord is vergelijkbaar met het vernieuwen van het basis-CA-certificaat met een nieuwe sleutel en het onmiddellijk niet vertrouwen van de oude sleutel, waardoor bijna alle volgende Kerberos-bewerkingen worden beïnvloed.
Voor alle accounttypen (gebruikers, computers en services):
Alle TGT's die al zijn uitgegeven en gedistribueerd, zijn ongeldig omdat de DC's deze weigeren. Deze tickets zijn versleuteld met de KRBTGT, zodat elke domeincontroller ze kan valideren. Wanneer het wachtwoord wordt gewijzigd, worden de tickets ongeldig.
Alle momenteel geverifieerde sessies die aangemelde gebruikers hebben ingesteld (op basis van hun servicetickets) naar een resource (zoals een bestandsshare, SharePoint-site of Exchange-server) zijn goed totdat het serviceticket opnieuw moet worden geverifieerd.
Geverifieerde NTLM-verbindingen worden niet beïnvloed.
Omdat het onmogelijk is om de specifieke fouten te voorspellen die optreden voor een bepaalde gebruiker in een productieomgeving, moet u ervan uitgaan dat alle computers en gebruikers worden beïnvloed.
Important
Het opnieuw opstarten van een computer is de enige betrouwbare manier om functionaliteit te herstellen, omdat dit ervoor zorgt dat zowel het computeraccount als de gebruikersaccounts zich opnieuw aanmelden. Als u zich opnieuw aanmeldt, worden nieuwe TGT's aangevraagd die geldig zijn met de nieuwe KRBTGT, waardoor eventuele operationele problemen met betrekking tot KRBTGT op die computer worden gecorrigeerd.
Alleen-lezen domeincontrollers en het KRBTGT-account
De RODC wordt geadverteerd als het Key Distribution Center (KDC) voor het filiaal. De RODC gebruikt een ander KRBTGT-account en wachtwoord dan de KDC op een beschrijfbare domeincontroller wanneer deze TGT-aanvragen ondertekent of versleutelt. Nadat een account is geverifieerd, bepaalt de RODC of de referenties van een gebruiker of de referenties van een computer kunnen worden gerepliceerd van de beschrijfbare domeincontroller naar de RODC met behulp van het wachtwoordreplicatiebeleid.
Nadat de referenties zijn opgeslagen in de cache van de RODC, kan de RODC de aanmeldingsaanvragen van die gebruiker accepteren totdat de referenties zijn gewijzigd. Wanneer een TGT is ondertekend door het KRBTGT-account van de RODC, herkent de RODC dat deze een gecachte kopie van de inloggegevens heeft. Als een andere domeincontroller de TGT ondertekent, stuurt de RODC aanvragen door naar een beschrijfbare domeincontroller.
KRBTGT-accountkenmerken
Zie de volgende tabel voor meer informatie over de KRBTGT-accountkenmerken:
| Attribute | Value |
|---|---|
| Bekende SID/RID | S-1-5-<domain>-502 |
| Type | User |
| Standaardcontainer | CN=Users, DC=<domain>, DC= |
| Standaardleden | None |
| Standaardlid van | Groep Domeingebruikers. (De primaire groeps-id van alle gebruikersaccounts is Domeingebruikers.) |
| Beveiligd door AdminSdHolder? | Yes |
| Veilig om uit de standaardcontainer te gaan? | Verplaatsen is mogelijk, maar we raden het niet aan. |
| Veilig om het beheer van deze groep te delegeren aan niet-servicebeheerders? | No |
Instellingen voor standaard lokale accounts in Active Directory
Elk lokaal standaardaccount in Active Directory heeft verschillende accountinstellingen die u kunt gebruiken om wachtwoordinstellingen en beveiligingsspecifieke informatie te configureren, zoals beschreven in de volgende tabel:
| Accountinstelling | Description |
|---|---|
| De gebruiker moet het wachtwoord bij de volgende aanmelding wijzigen | Hiermee dwingt u een wachtwoordwijziging af wanneer de gebruiker zich de volgende keer aanmeldt bij het netwerk. Gebruik deze optie als u ervoor wilt zorgen dat de gebruiker de enige persoon is die zijn of haar wachtwoord kent. |
| Gebruiker kan het wachtwoord niet wijzigen | Hiermee voorkomt u dat de gebruiker het wachtwoord wijzigt. Gebruik deze optie als u de controle wilt behouden over een gebruikersaccount, zoals voor een gast- of tijdelijk account. |
| Wachtwoord verloopt nooit | Hiermee voorkomt u dat een gebruikerswachtwoord verloopt. Het is een best practice om deze optie met serviceaccounts in te schakelen en sterke wachtwoorden te gebruiken. |
| Wachtwoorden opslaan met omkeerbare versleuteling | Biedt ondersteuning voor toepassingen die gebruikmaken van protocollen die kennis vereisen van de vorm zonder opmaak van het wachtwoord van de gebruiker voor verificatiedoeleinden. Deze optie is vereist wanneer u Challenge Handshake Authentication Protocol (CHAP) gebruikt in Internet Authentication Services (IAS) en wanneer u digest-verificatie gebruikt in IIS (Internet Information Services). |
| Account is uitgeschakeld | Hiermee voorkomt u dat de gebruiker zich aanmeldt met het geselecteerde account. Als beheerder kunt u uitgeschakelde accounts gebruiken als sjablonen voor algemene gebruikersaccounts. |
| Smartcard is vereist voor interactieve aanmelding | Vereist dat een gebruiker een smartcard heeft om zich interactief aan te melden bij het netwerk. De gebruiker moet ook een smartcardlezer aan zijn computer hebben gekoppeld en een geldig persoonlijk identificatienummer (pincode) voor de smartcard. Wanneer dit kenmerk wordt toegepast op het account, is het effect als volgt: |
| Account is geschikt bevonden voor delegatie | Hiermee kan een service die onder dit account wordt uitgevoerd, bewerkingen uitvoeren namens andere gebruikersaccounts in het netwerk. Een service die draait onder een gebruikersaccount (ook wel een serviceaccount genoemd) dat is vertrouwd voor delegatie, kan zich voordoen als een client om toegang te krijgen tot resources, zowel op de computer waar de service wordt uitgevoerd als op andere computers. In een forest dat is ingesteld op het functionele niveau van Windows Server 2003, wordt deze instelling bijvoorbeeld gevonden op het tabblad Delegatie. Het is alleen beschikbaar voor accounts waaraan service-principalnamen (SPN's) zijn toegewezen, die zijn ingesteld met behulp van de setspn opdracht van Windows-ondersteuningshulpprogramma's. Deze instelling is beveiligingsgevoelig en moet voorzichtig worden toegewezen. |
| Account is gevoelig en kan niet worden gedelegeerd | Geeft controle over een gebruikersaccount, zoals een gastaccount of een tijdelijk account. Deze optie kan worden gebruikt als dit account niet kan worden toegewezen voor delegatie door een ander account. |
| DES-versleutelingstypen voor dit account gebruiken | Biedt ondersteuning voor de Data Encryption Standard (DES). DES ondersteunt meerdere versleutelingsniveaus, waaronder Microsoft Point-to-Point Encryption (MPPE) Standard (40-bits en 56-bits), MPPE-standaard (56-bits), MPPE Strong (128-bits), Internet Protocol Security (IPSec) DES (40-bits), IPSec 56-bits DES en IPSec Triple DES (3DES). |
| Kerberos-preverificatie is niet vereist | Biedt ondersteuning voor alternatieve implementaties van het Kerberos-protocol. Omdat verificatie vooraf extra beveiliging biedt, moet u voorzichtig zijn wanneer u deze optie inschakelt. Domeincontrollers met Windows 2000 of Windows Server 2003 kunnen andere mechanismen gebruiken om tijd te synchroniseren. |
Note
DES is niet standaard ingeschakeld in Windows Server-besturingssystemen (vanaf Windows Server 2008 R2) of in Windows-clientbesturingssystemen (te beginnen met Windows 7). Voor deze besturingssystemen gebruiken computers standaard geen DES-CBC-MD5- of DES-CBC-CRC coderingssuites. Als voor uw omgeving DES is vereist, kan deze instelling van invloed zijn op de compatibiliteit met clientcomputers of -services en -toepassingen in uw omgeving.
Zie Opsporing van DES om Kerberos veilig te implementeren voor meer informatie.
Standaard lokale accounts beheren in Active Directory
Nadat de standaard lokale accounts zijn geïnstalleerd, bevinden deze accounts zich in de container Gebruikers in Active Directory: gebruikers en computers. U kunt standaard lokale accounts maken, uitschakelen, opnieuw instellen en verwijderen met behulp van de Microsoft Management Console (MMC) van Active Directory en met behulp van opdrachtregelprogramma's.
U kunt Active Directory Gebruikers en Computers gebruiken om rechten en machtigingen toe te wijzen op een specifiek aangeduide lokale domeincontroller en alleen die domeincontroller, om de mogelijkheid van lokale gebruikers en groepen te beperken om bepaalde acties uit te voeren. Een recht geeft een gebruiker toestemming om bepaalde acties uit te voeren op een computer, zoals het maken van back-ups van bestanden en mappen of het afsluiten van een computer. Een toegangsmachtiging is daarentegen een regel die is gekoppeld aan een object, meestal een bestand, map of printer, die bepaalt welke gebruikers toegang hebben tot het object en op welke manier.
Zie Lokale gebruikers beheren voor meer informatie over het maken en beheren van lokale gebruikersaccounts in Active Directory.
U kunt Ook Active Directory: gebruikers en computers op een domeincontroller gebruiken om externe computers te targeten die geen domeincontrollers in het netwerk zijn.
U kunt aanbevelingen verkrijgen van Microsoft voor domeincontrollerconfiguraties die u kunt distribueren met behulp van het hulpprogramma Security Compliance Manager (SCM). Zie Microsoft Security Compliance Manager voor meer informatie.
Sommige van de standaard lokale gebruikersaccounts worden beveiligd door een achtergrondproces dat periodiek een specifieke beveiligingsdescriptor controleert en toepast. Dit is een gegevensstructuur die beveiligingsgegevens bevat die zijn gekoppeld aan een beveiligd object. Deze beveiligingsdescriptor is aanwezig in het object AdminSDHolder.
Dit betekent dat wanneer u de machtigingen voor een servicebeheerdersgroep of een van de lidaccounts wilt wijzigen, u ook de beveiligingsdescriptor voor het object AdminSDHolder moet wijzigen. Deze aanpak zorgt ervoor dat de machtigingen consistent worden toegepast. Wees voorzichtig wanneer u deze wijzigingen aanbrengt, omdat deze actie ook van invloed kan zijn op de standaardinstellingen die worden toegepast op al uw beveiligde beheerdersaccounts.
Gevoelige domeinaccounts beperken en beveiligen
Als u domeinaccounts in uw domeinomgeving beperkt en beveiligt, moet u de volgende best practices gebruiken en implementeren:
Beperk het lidmaatschap strikt tot de groepen Administrators, Domeinadministratoren en Ondernemingsadministratoren.
Strikt bepalen waar en hoe domeinaccounts worden gebruikt.
Lidaccounts in de groepen Administrators, Domeinadministratoren en Ondernemingsadministratoren in een domein of forest zijn belangrijke doelen voor kwaadwillende gebruikers. Om alle blootstellingen te beperken, is het een aanbevolen procedure om het lidmaatschap van deze beheerdersgroepen strikt te beperken tot het kleinste aantal accounts. Als u het lidmaatschap van deze groepen beperkt, vermindert u de mogelijkheid dat een beheerder deze referenties onbedoeld misbruikt, waardoor een beveiligingsprobleem ontstaat dat kwaadwillende gebruikers kunnen misbruiken.
Bovendien is het een best practice om strikt te bepalen waar en hoe gevoelige domeinaccounts worden gebruikt. Beperk het gebruik van domeinadministratoraccounts en andere beheerdersaccounts om te voorkomen dat ze worden gebruikt om zich aan te melden bij beheersystemen en werkstations die op hetzelfde niveau zijn beveiligd als de beheerde systemen. Wanneer beheerdersaccounts op deze manier niet worden beperkt, biedt elk werkstation waar een domeinbeheerder zich aanmeldt een andere locatie op basis waarvan kwaadwillende gebruikers misbruik kunnen maken.
De implementatie van deze aanbevolen procedures is onderverdeeld in de volgende taken:
- Beheerdersaccounts scheiden van gebruikersaccounts
- Aanmeldingstoegang van beheerders beperken tot servers en werkstations
- Het accountdelegeringsrecht uitschakelen voor gevoelige beheerdersaccounts
Om te voorzien in gevallen waarin integratieproblemen met de domeinomgeving worden verwacht, wordt elke taak beschreven volgens de vereisten voor een minimale, betere en ideale implementatie. Net als bij alle belangrijke wijzigingen in een productieomgeving, moet u deze wijzigingen grondig testen voordat u ze implementeert en inzet. Faseer vervolgens de implementatie op een manier waarmee de wijziging kan worden teruggedraaid als er technische problemen optreden.
Beheerdersaccounts scheiden van gebruikersaccounts
Beperk domeinadministratoraccounts en andere gevoelige accounts om te voorkomen dat ze worden gebruikt om zich aan te melden bij servers en werkstations met een lagere vertrouwensrelatie. Beperk en beveilig beheerdersaccounts door beheerdersaccounts te scheiden van standaardgebruikersaccounts, door beheerderstaken van andere taken te scheiden en door het gebruik van deze accounts te beperken. Maak toegewezen accounts voor beheerdersmedewerkers die beheerdersreferenties nodig hebben om specifieke beheertaken uit te voeren en maak vervolgens afzonderlijke accounts voor andere standaardgebruikerstaken, volgens de volgende richtlijnen:
Bevoegd account: wijs beheerdersaccounts toe om alleen de volgende beheerderstaken uit te voeren:
Minimum: maak afzonderlijke accounts voor domeinbeheerders, ondernemingsbeheerders of het equivalent, met de juiste beheerdersrechten in het domein of forest. Gebruik accounts waaraan gevoelige beheerdersrechten zijn verleend om alleen domeingegevens en domeincontrollers te beheren.
Beter: maak afzonderlijke accounts voor beheerders die minder beheerdersrechten hebben, zoals accounts voor werkstationbeheerders en accounts met gebruikersrechten ten opzichte van aangewezen Organisatie-eenheden (OE's) van Active Directory.
Ideaal: maak meerdere, afzonderlijke accounts voor een beheerder met verschillende taakverantwoordelijkheden waarvoor verschillende vertrouwensniveaus zijn vereist. Stel elk Administrator-account in met verschillende gebruikersrechten, zoals voor werkstationbeheer, serverbeheer en domeinbeheer, zodat de beheerder zich kan aanmelden bij opgegeven werkstations, servers en domeincontrollers op basis van hun taakverantwoordelijkheden.
Standaardgebruikersaccount: standaardgebruikersrechten verlenen voor standaardgebruikerstaken, zoals e-mail, surfen op internet en het gebruik van LOB-toepassingen (Line-Of-Business). Deze accounts mogen geen beheerdersrechten krijgen.
Important
Zorg ervoor dat gevoelige beheerdersaccounts geen toegang hebben tot e-mail of surfen op internet, zoals beschreven in de volgende sectie.
Zie Bevoegde toegangsapparaten voor meer informatie over bevoegde toegang.
Aanmeldingstoegang van beheerders beperken tot servers en werkstations
Het is een best practice om te voorkomen dat beheerders gevoelige Administrator-accounts gebruiken om zich aan te melden bij servers en werkstations met een lagere vertrouwensrelatie. Deze beperking voorkomt dat beheerders per ongeluk het risico op diefstal van inloggegevens verhogen door in te loggen op een computer met een lager vertrouwensniveau.
Important
Zorg ervoor dat u lokale toegang hebt tot de domeincontroller of dat u ten minste één toegewezen beheerwerkstation hebt gebouwd.
Beperk aanmeldingstoegang tot servers en werkstations met een lagere vertrouwensrelatie met behulp van de volgende richtlijnen:
Minimum: beperk domeinbeheerders de aanmeldingstoegang tot servers en werkstations. Voordat u met deze procedure begint, moet u alle organisatie-eenheden in het domein identificeren die werkstations en servers bevatten. Computers in organisatie-eenheden die niet worden geïdentificeerd, beperken beheerders met gevoelige accounts niet om zich aan te melden.
Beter: Beperk domeinbeheerders van niet-domeincontrollerservers en werkstations.
Ideaal: beperk serverbeheerders om zich aan te melden bij werkstations, naast domeinbeheerders.
Note
Voor deze procedure koppelt u geen accounts aan de organisatie-eenheid die werkstations bevat voor beheerders die alleen beheertaken uitvoeren en geen toegang tot internet of e-mail bieden.
Beperken van domeinbeheerders vanaf werkstations (minimaal)
Als domeinbeheerder opent u de Console Groepsbeleidsbeheer (GPMC).
Open Groepsbeleidsbeheer, vouw <forest>\Domeinen\
<domain>.Klik met de rechtermuisknop op Groepsbeleidsobjecten en selecteer Nieuw.
Geef in het venster Nieuw groepsbeleidsobject de naam van het groepsbeleidsobject waarmee beheerders zich niet kunnen aanmelden bij werkstations en selecteer vervolgens OK.
Klik met de rechtermuisknop op Nieuw groepsbeleidsobject en selecteer Bewerken.
Configureer gebruikersrechten om aanmelding lokaal te weigeren voor domeinbeheerders.
Selecteer Computerconfiguratiebeleid>>Windows-instellingen>lokaal beleid, selecteer gebruikersrechtentoewijzing en ga als volgt te werk:
Dubbelklik lokaal op Aanmelden weigeren en selecteer deze beleidsinstellingen definiëren.
Selecteer Gebruiker of groep toevoegen, selecteer Bladeren, typ Ondernemingsadministrators en selecteer VERVOLGENS OK.
Selecteer Gebruiker of groep toevoegen, selecteer Bladeren, typ Domeinadministrators en selecteer vervolgens OK.
Tip
U kunt desgewenst groepen toevoegen die serverbeheerders bevatten die u wilt beperken tot aanmelding bij werkstations.
Note
Het voltooien van deze stap kan problemen veroorzaken met beheerderstaken die worden uitgevoerd als geplande taken of services met accounts in de groep Domein Beheerders. Het gebruik van domeinbeheerdersaccounts voor het uitvoeren van services en taken op werkstations leidt tot een aanzienlijk risico op diefstal van referenties en moet daarom worden vervangen door alternatieve middelen voor het uitvoeren van geplande taken of services.
d. Selecteer OK om de configuratie te voltooien.
Koppel het GPO aan de eerste werkstations-OE. Ga naar het <bos>\Domains\
<domain>\OU-pad en ga als volgt te werk:a. Klik met de rechtermuisknop op de OU van het werkstation en selecteer Een bestaand groepsbeleidsobject koppelen.
b. Selecteer het groepsbeleidsobject dat u zojuist hebt gemaakt en selecteer vervolgens OK.
Test de functionaliteit van bedrijfstoepassingen op werkstations in de eerste organisatie-eenheid en los eventuele problemen op die worden veroorzaakt door het nieuwe beleid.
Koppel alle andere organisatie-eenheden die werkstations bevatten.
Maak echter geen koppeling naar de organisatie-eenheid Beheerwerkstation als deze is gemaakt voor beheerwerkstations die alleen zijn toegewezen aan beheertaken en die geen toegang tot internet of e-mail hebben.
Important
Als u deze oplossing later uitbreidt, moet u aanmeldingsrechten voor de groep Domeingebruikers niet weigeren. De groep Domeingebruikers bevat alle gebruikersaccounts in het domein, waaronder gebruikers, domeinbeheerders en ondernemingsbeheerders.
Het accountdelegeringsrecht uitschakelen voor gevoelige beheerdersaccounts
Hoewel gebruikersaccounts niet standaard zijn gemarkeerd voor delegatie, kunnen accounts in een Active Directory-domein worden vertrouwd voor delegatie. Dit betekent dat een service of computer die wordt vertrouwd voor delegatie een account kan nabootsen dat bij het geverifieerd wordt om toegang te krijgen tot andere resources binnen het netwerk.
Voor gevoelige accounts, zoals accounts die behoren tot leden van de groepen Administrators, Domeinadministratoren of Ondernemingsadministratoren in Active Directory, kan delegatie een aanzienlijk risico vormen op escalatie van rechten. Als bijvoorbeeld een account in de groep Domeinadministrators wordt gebruikt om u aan te melden bij een gecompromitteerde lidserver die bevoegd is voor delegering, kan die server toegang tot resources aanvragen in de context van het Domeinadministrators-account en het compromis van die lidserver escaleren naar een compromis van het domein.
Het is een best practice om de gebruikersobjecten voor alle gevoelige accounts in Active Directory in te stellen door de optie Account is gevoelig en kan niet worden gedelegeerd te selecteren onder Accountopties om te voorkomen dat de accounts worden gedelegeerd. Zie Instellingen voor standaard lokale accounts in Active Directory voor meer informatie.
Net als bij elke configuratiewijziging test u deze ingeschakelde instelling volledig om ervoor te zorgen dat deze correct wordt uitgevoerd voordat u deze implementeert.
Domeincontrollers beveiligen en beheren
Het is een best practice om strikt beperkingen af te dwingen voor de domeincontrollers in uw omgeving. Dit zorgt ervoor dat de domeincontrollers:
- Alleen vereiste software uitvoeren.
- Vereisen dat software regelmatig wordt bijgewerkt.
- Worden geconfigureerd met de juiste beveiligingsinstellingen.
Een aspect van het beveiligen en beheren van domeincontrollers is ervoor te zorgen dat de standaard lokale gebruikersaccounts volledig zijn beveiligd. Het is van primair belang om alle gevoelige domeinaccounts te beperken en te beveiligen, zoals beschreven in de voorgaande secties.
Omdat domeincontrollers referentiewachtwoordhashes van alle accounts in het domein opslaan, zijn ze belangrijke doelen voor kwaadwillende gebruikers. Wanneer domeincontrollers niet goed worden beheerd en beveiligd met behulp van beperkingen die strikt worden afgedwongen, kunnen ze worden aangetast door kwaadwillende gebruikers. Een kwaadwillende gebruiker kan bijvoorbeeld gevoelige domeinbeheerdersreferenties stelen van één domeincontroller en deze referenties vervolgens gebruiken om het domein en forest aan te vallen.
Bovendien kunnen geïnstalleerde toepassingen en beheeragents op domeincontrollers een pad bieden voor het escaleren van rechten die kwaadwillende gebruikers kunnen gebruiken om inbreuk te maken op de beheerservice of beheerders van die service. De beheerhulpprogramma's en -services die uw organisatie gebruikt om domeincontrollers en hun beheerders te beheren, zijn even belangrijk voor de beveiliging van de domeincontrollers en de domeinbeheerdersaccounts. Zorg ervoor dat deze services en beheerders volledig zijn beveiligd met gelijke inspanning.