Dela via

Bilaga D: Skydda inbyggda administratörskonton i Active Directory

Bilaga D: Skydda inbyggda administratörskonton i Active Directory

I varje domän i Active Directory skapas ett administratörskonto som en del av skapandet av domänen. Det här kontot är som standard medlem i domänadministratörs- och administratörsgrupperna i domänen. Om domänen är skogsrotdomänen är kontot också medlem i gruppen Företagsadministratörer.

Användning av en domäns administratörskonto bör endast reserveras för inledande byggaktiviteter och eventuellt katastrofåterställningsscenarier. För att säkerställa att ett administratörskonto kan användas för att utföra reparationer i händelse av att inga andra konton kan användas bör du inte ändra standardmedlemskapet för administratörskontot i någon domän i skogen. I stället bör du skydda administratörskontot i varje domän i skogen enligt beskrivningen i följande avsnitt och beskrivs i de stegvisa instruktionerna som följer.

Note

Den här guiden används för att rekommendera att kontot inaktiveras. Detta togs bort eftersom vitboken för skogsåterställning använder standardadministratörskontot. Orsaken är att detta är det enda konto som tillåter inloggning utan en global katalogserver.

Kontroller för inbyggda administratörskonton

För det inbyggda administratörskontot i varje domän i skogen bör du konfigurera följande inställningar:

  • Aktivera flaggan kontot är känsligt och kan inte delegeras på kontot.

  • Aktivera smartkortet krävs för interaktiv inloggningsflagga för kontot.

  • Konfigurera grupprincipobjekt för att begränsa administratörskontots användning på domänanslutna system:

    • I en eller flera grupprincipobjekt som du skapar och länkar till arbetsstations- och medlemsserverns organisationsenheter i varje domän lägger du till varje domäns administratörskonto till följande användarrättigheter i Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelningar av användarrättigheter:

      • Neka åtkomst till den här datorn från nätverket

      • Neka inloggning som batchjobb

      • Neka inloggning som en tjänst

      • Neka inloggning via Fjärrskrivbordstjänster

Note

När du lägger till konton i den här inställningen måste du ange om du konfigurerar lokala administratörskonton eller domänadministratörskonton. Om du till exempel vill lägga till TAILSPINTOYS-domänens administratörskonto till dessa nekanderättigheter måste du ange kontot som TAILSPINTOYS\Administrator eller bläddra till administratörskontot för TAILSPINTOYS-domänen. Om du skriver "Administratör" i dessa inställningar för användarrättigheter i redigeraren för grupprincipobjekt begränsar du det lokala administratörskontot på varje dator som grupprincipobjektet tillämpas på.

Vi rekommenderar att du begränsar lokala administratörskonton på medlemsservrar och arbetsstationer på samma sätt som domänbaserade administratörskonton. Därför bör du vanligtvis lägga till administratörskontot för varje domän i skogen och administratörskontot för de lokala datorerna i dessa inställningar för användarrättigheter. Följande skärmbild visar ett exempel på hur du konfigurerar dessa användarrättigheter för att blockera lokala administratörskonton och domänens administratörskonto från att utföra inloggningar som inte ska behövas för dessa konton.

Skärmbild som visar tilldelning av användarrättigheter.

  • Konfigurera gruppolicyobjekt för att begränsa administratörskonton på domänkontrollanter

    • I varje domän i skogen bör grupprincipobjektet för standarddomänkontrollanter eller en princip som är länkad till domänkontrollanternas organisationsenhet ändras för att lägga till varje domäns administratörskonto till följande användarrättigheter i Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelningar av användarrättigheter:

      • Neka åtkomst till den här datorn från nätverket

      • Neka inloggning som batchjobb

      • Neka inloggning som en tjänst

      • Neka inloggning via Fjärrskrivbordstjänster

Note

De här inställningarna säkerställer att domänens inbyggda administratörskonto inte kan användas för att ansluta till en domänkontrollant, även om kontot kan logga in lokalt på domänkontrollanter. Eftersom det här kontot endast ska användas i haveriberedskapsscenarier förväntas fysisk åtkomst till minst en domänkontrollant vara tillgänglig, eller att andra konton med behörighet att komma åt domänkontrollanter via fjärranslutning kan användas.

  • Konfigurera granskning av administratörskonton

    När varje domäns administratörskonto är säkert bör du konfigurera granskning för att övervaka användningen av eller ändringar i kontot. Om kontot är loggat in på, lösenordet återställs eller om andra ändringar görs i kontot, ska aviseringar skickas till de användare eller team som ansvarar för administrationen av Active Directory, utöver incidenthanteringsteam i din organisation.

Stegvisa instruktioner för att skydda inbyggda administratörskonton i Active Directory

  1. I Serverhanteraren väljer du Verktyg och väljer Active Directory-användare och datorer.

  2. Utför följande steg för att förhindra attacker som utnyttjar delegering för att använda kontots autentiseringsuppgifter i andra system:

    1. Högerklicka på administratörskontot och välj Egenskaper.

    2. Välj fliken Konto .

    3. Under Kontoalternativ väljer du Konto är känsligt och kan inte delegeras flagga enligt följande skärmbild och väljer OK.

      Skärmbild som visar att kontot är känsligt och inte kan delegeras.

  3. Utför följande steg för att aktivera flaggan smartkort krävs för interaktiv inloggning på kontot:

    1. Högerklicka på administratörskontot och välj Egenskaper.

    2. Välj fliken Konto .

    3. Under Kontoalternativ väljer du det smartkort som krävs för interaktiv inloggningsflagga enligt följande skärmbild och väljer OK.

      Skärmbild som visar kryssrutan Smartkort krävs för interaktiv inloggning.

Konfigurera gruppolicyobjekt för att begränsa administratörskonton på Domain-Level

Warning

Det här grupprincipobjektet bör aldrig länkas på domännivå eftersom det kan göra det inbyggda administratörskontot oanvändbart, även vid återställningsscenarier vid nödsituationer.

  1. I Serverhanteraren väljer du Verktyg och sedan Grupprinciphantering.

  2. I konsolträdet, expandera <Forest>\Domains\<Domain> och sedan Grupppolicyobjekt (där <Forest> är namnet på foresten och <Domain> är namnet på den domän där du vill skapa grupppolicyn).

  3. I konsolträdet högerklickar du på Grupprincipobjekt och väljer Nytt.

  4. I dialogrutan Nytt grupprincipobjekt skriver du <GPO-namn> och väljer OK (där <GPO-namn> är namnet på det här grupprincipobjektet).

  5. I informationsfönstret högerklickar du på <GPO-namn> och väljer Redigera.

  6. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer och välj Tilldelning av användarrättigheter.

  7. Konfigurera användarrättigheterna för att förhindra att administratörskontot får åtkomst till medlemsservrar och arbetsstationer via nätverket genom att utföra följande steg:

    1. Dubbelklicka på Neka åtkomst till den här datorn från nätverket och välj Definiera dessa principinställningar.

    2. Välj Lägg till användare eller grupp och välj Bläddra.

    3. Skriv Administratör, välj Kontrollera namn och välj OK. Kontrollera att kontot visas i <formatet DomainName>\Username enligt följande skärmbild.

      Skärmbild som visar formatet DomainName/Username.

    4. Välj OK och OK igen.

  8. Konfigurera användarrättigheterna för att förhindra att administratörskontot loggar in som ett batchjobb genom att utföra följande steg:

    1. Dubbelmarkera Neka inloggning som ett batchjobb och välj Definiera dessa principinställningar.

    2. Välj Lägg till användare eller grupp och välj Bläddra.

    3. Skriv Administratör, välj Kontrollera namn och välj OK. Kontrollera att kontot visas i <formatet DomainName>\Username enligt följande skärmbild.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att administratörskontot loggar in som ett batchjobb.

    4. Välj OK och OK igen.

  9. Konfigurera användarrättigheterna för att förhindra att administratörskontot loggar in som en tjänst genom att utföra följande steg:

    1. Markera två gånger Neka inloggning som tjänst och välj Definiera dessa policyinställningar.

    2. Välj Lägg till användare eller grupp och välj Bläddra.

    3. Skriv Administratör, välj Kontrollera namn och välj OK. Kontrollera att kontot visas i <formatet DomainName>\Username enligt följande skärmbild.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att administratörskontot loggar in som en tjänst.

    4. Välj OK och OK igen.

  10. Konfigurera användarrättigheterna för att förhindra att administratörskontot kommer åt medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster genom att utföra följande steg:

    1. Dubbelklicka på Neka inloggning via Fjärrskrivbordstjänster och välj Definiera dessa principinställningar.

    2. Välj Lägg till användare eller grupp och välj Bläddra.

    3. Skriv Administratör, välj Kontrollera namn och välj OK. Kontrollera att kontot visas i <formatet DomainName>\Username enligt följande skärmbild.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att BA-kontot får åtkomst till medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster.

    4. Välj OK och OK igen.

  11. Om du vill avsluta redigeraren för grupprinciphantering väljer du Arkiv och sedan Avsluta.

  12. I Grupprinciphantering länkar du grupprincipobjektet till medlemsservern och arbetsstationsenheterna genom att utföra följande steg:

    1. Gå till <Forest>\Domains\<Domain> (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ange grupprincipen).

    2. Högerklicka på den organisationsenhet som grupprincipobjektet ska tillämpas på och välj Länka ett befintligt grupprincipobjekt.

    3. Välj det grupprincipobjekt som du skapade och välj OK.

    4. Skapa länkar till alla andra organisationsenheter som innehåller arbetsstationer.

    5. Skapa länkar till alla andra organisationsenheter som innehåller medlemsservrar.

Important

När du lägger till administratörskontot i de här inställningarna anger du om du konfigurerar ett lokalt administratörskonto eller ett domänadministratörskonto genom att märka kontona. Om du till exempel vill lägga till TAILSPINTOYS-domänens administratörskonto till dessa nekanderättigheter bläddrar du till administratörskontot för TAILSPINTOYS-domänen, som visas som TAILSPINTOYS\Administrator. Om du skriver "Administratör" i dessa inställningar för användarrättigheter i redigeraren för grupprincipobjekt begränsar du det lokala administratörskontot på varje dator som grupprincipobjektet tillämpas på, enligt beskrivningen tidigare.

Verifieringssteg

Verifieringsstegen som beskrivs här är specifika för Windows 8 och Windows Server 2012.

Kontrollera att "Smartkort krävs för interaktiv inloggning" Kontoalternativ
  1. Från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna försöker du logga in interaktivt på domänen med hjälp av domänens inbyggda administratörskonto. När du har försökt logga in visas en dialogruta som informerar dig om att du behöver ett smartkort för att logga in.
Kontrollera GPO-inställningarna "Neka åtkomst till den här datorn från nätverket"

Försök att komma åt en medlemsserver eller arbetsstation via nätverket som påverkas av GPO-ändringarna från en annan medlemsserver eller arbetsstation som inte påverkas av GPO-ändringarna. Kontrollera GPO-inställningarna genom att försöka mappa systemenheten med hjälp av kommandot NET USE genom att utföra följande steg:

  1. Logga in på domänen med domänens inbyggda administratörskonto.

  2. Högerklicka på starttipset och välj Windows PowerShell (administratör).

  3. När du uppmanas att godkänna höjningen väljer du Ja.

  4. I PowerShell-fönstret skriver du net use \\<Server Name>\c$, där <Servernamn> är namnet på den medlemsserver eller arbetsstation som du försöker komma åt via nätverket.

  5. Du bör få ett meddelande om att användaren inte har beviljats den begärda inloggningstypen.

Kontrollera GPO-inställningarna "Neka inloggning som ett batchjobb"

Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

Skapa en Batch-fil

  1. Välj starttipset och skriv Anteckningar.

  2. Välj Anteckningar i listan med resultat.

  3. I Notepad skriver du dir c:.

  4. Välj Arkiv och Välj Spara som.

  5. I fältet Filnamn skriver du <Filnamn>.bat (där <Filnamn> är namnet på den nya batchfilen).

Schemalägga en aktivitet

  1. Välj Start-menyn, skriv uppgiftsschemaläggare och välj Uppgiftsschemaläggaren.

  2. I Schemaläggaren väljer du Åtgärd och sedan Skapa aktivitet.

  3. I dialogrutan Skapa aktivitet skriver du <Aktivitetsnamn> (där <Aktivitetsnamn> är namnet på den nya aktiviteten).

  4. Välj fliken Åtgärder och välj Ny.

  5. Under Åtgärd:väljer du Starta ett program.

  6. Under Program/skript:väljer du Bläddra, letar upp och väljer den batchfil som skapades i avsnittet "Skapa en Batch-fil" och väljer Öppna.

  7. Välj OK.

  8. Välj fliken Allmänt .

  9. Under Säkerhetsalternativ väljer du Ändra användare eller grupp.

  10. Skriv namnet på administratörskontot på domännivå, välj Kontrollera namn och välj OK.

  11. Välj Kör om användaren är inloggad eller inte och Lagra inte lösenord. Uppgiften har endast åtkomst till lokala datorresurser.

  12. Välj OK.

  13. En dialogruta ska visas och begära autentiseringsuppgifter för användarkontot för att köra uppgiften.

  14. När du har angett autentiseringsuppgifterna väljer du OK.

  15. Du kommer att få en dialogruta som informerar dig om att uppgiften kräver ett konto med inloggning som en batch-jobbbehörighet.

Kontrollera GPO-inställningarna "Neka inloggning som en tjänst"

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Välj Starttips , skriv tjänster och välj Tjänster.

  3. Leta upp och dubbelvälj utskriftsbuffert.

  4. Välj fliken Logga in .

  5. Under Logga in som:väljer du Det här kontot.

  6. Välj Bläddra, skriv namnet på administratörskontot på domännivå, välj Kontrollera namn och välj OK.

  7. Under Lösenord: och Bekräfta lösenord: skriver du administratörskontots lösenord och väljer OK.

  8. Välj OK tre gånger till.

  9. Högerklicka på utskriftshanteraren och välj Starta om.

  10. När tjänsten startas om visas en dialogruta som informerar dig om att utskriftshanteraren inte kunde startas.

Återställ ändringar till skrivarspoolertjänsten

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Välj Starttips , skriv tjänster och välj Tjänster.

  3. Leta upp och dubbelvälj utskriftshanteraren.

  4. Välj fliken Logga in .

  5. Under Logga in som:väljer du det lokala systemkontot och väljer OK.

Kontrollera GPO-inställningarna "Neka inloggning via Fjärrskrivbordstjänster"

  1. Välj Start och skriv sedan anslutning till fjärrskrivbord och välj Anslutning till fjärrskrivbord.

  2. I fältet Dator skriver du namnet på den dator som du vill ansluta till och väljer Anslut. (Du kan också ange IP-adressen i stället för datornamnet.)

  3. När du uppmanas till det anger du autentiseringsuppgifter för namnet på administratörskontot på domännivå.

  4. Fjärrskrivbordsanslutningen nekas.