Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot

Hoofdstuk 7: Beveiliging en beheer

Beveiliging en beheer 2

Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot een domein of tot de individuele systemen in het domein of op het netwerk.

Beveiliging en beheer


Met behulp van beleid vermijdt u dat gebruikers handelingen verrichten die door het bedrijf niet zijn toegestaan.

Via de beleidsinstellingen kunnen gebruikersmogelijkheden helder, overzichtelijk en automatisch worden aangeboden.



Beleid kunt u op twee manieren instellen: ◦ met de MMC-module Local Security Policy ◦ met de MMC-module Group Policy Management

Editor.



In de MMC-module Local Security Policy bevinden zich de beveiligingsinstellingen voor een computer in het netwerk.

Dit is hetzelfde als de MMC Lokaal beveiligingsbeleid in Windows Vista.

Local Security Policy


U start deze MMC-module via Start, Administratieve Tools, Local Security Policy.



U kunt de MMC Local Security Policy ook opvragen met het commando secpol.msc



Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen bestaat



Het venster Local Security Policy verschijnt. U ziet dat het venster uit zeven hoofdgroepen

bestaat


Account PoliciesLocal Policies

Windows Firewall with Advanced Security

Network List Manager PoliciesPublic Key

PoliciesSoftware Restriction PoliciesIP Security Policies on Local Computer


De Account Policies dienen om de veiligheid te vergroten en zijn onderverdeeld in drie containers :◦ Password Policy;◦ Account Lockout Policy;◦ Kerberos Policy.

Local Security Policy – Account policies


Dubbelklik op de container Account Policies. De drie containers: Password Policy,

Account Lockout Policy en Kerberos Policy verschijnen.

Local Security Policy –Account policies


Dit beleid bepaalt de veiligheidseisen op de computer (niet per gebruiker).

Als u dubbelklikt op de container Password Policy kunt u in het rechtervenster zes instellingen voor het wachtwoordbeleid aanpassen

Local Security Policy –Password policy


In de rechtervenster ziet u dat op zes verschillende instellingen het wachtwoordbeleid kunt aanpassen.

Local Security Policy –Password policy


Windows Server 2008 onthoudt eerder gebruikte wachtwoorden.

Als standaard is dit beleid ingesteld op 24 verschillende wachtwoorden. Dit betekent dat de laatste 24 wachtwoorden worden onthouden. Een wachtwoord kan dus pas weer gebruikt worden nadat het 24 keer is gewijzigd.

Password policy – Enforce password history


Klik op Enforce password history; u ziet dat u de ingestelde waarde 24 niet kunt veranderen.



De reden is simpel: u hebt de server gepromoveerd tot domeincontroller.

Binnen een domein geldt dat de instellingen van de Default Domain Policy boven de Local Security Policy gaat.

De lokale waarden worden overgenomen door de Default domain Settings.



Groepsbeleid kan zowel op het niveau van het domein als op het niveau van de organisatie-eenheden (OU’s) bepaald worden.

Hierdoor kunnen we een algemeen beleid voor het domein bepalen en variaties (aanvullingen of uitzonderingen) daarop vastleggen per OU.

Groepsbeleid


Alle domeincontrollers in het domein worden beïnvloed door de instellingen die in deze MMC-module worden opgeslagen.

U roept dit beleid op met de MMC-module Group Policy Management Editor.

Groepsbeleid


Een GPO of Group Policy Object (groepsbeleidsobject) biedt de mogelijkheid om instellingen voor groepsbeleid op te slaan in een enkel object. GPO’s worden opgeslagen in de Active Directory (AD).

Groepsbeleid


U kunt ook een GPO aanmaken op basis van een reeds bestaande GPO (Source Starter GPO).

Dan heeft het nieuwe groepsbeleidsobject alle instellingen en bijhorende waarden die in het Source Starter GPO werden gedefinieerd.

Groepsbeleid


GPO’s worden verwerkt op het niveau waarop ze geplaatst zijn.

Er kunnen meerdere GPO’s in één domein aangemaakt worden.

Groepsbeleid


GPO’s worden in de volgende volgorde uitgevoerd:◦ De lokale GPO.◦ De Site niveau geplaatste GPO’s.◦ De op domein niveau geplaatste GPO’s.◦ Ten slotte de in een OU geplaatste GPO’s.

groepsbeleid


Bepaalde OU’s worden nogmaals onderverdeeld in andere OU’s.

De GPO’s die in de OU op een lager niveau zijn verstrekt, gaan boven die op een hoger niveau.

Groepsbeleid


Het maken van groepsbeleid doet u met de Group Policy Management Editor als volgt.

Group Policy Management Editor


Open de Group Policy Management Editor via Start, Administrative Tools, Group Policy Management.



Navigeer naar het domein: GVB.be in Forest: GVB.be/Domains).

Klik met rechts op de domeinnaam en maak een nieuw GPO (Group Policy Object).



Selecteer Create a GPO in this domain, and link it here.



Geef de GPO een nieuwe naam Main GPO en klik vervolgens op OK.



Verwijder de GPO Main GPO door er met de rechtermuisknop op te klikken en Delete te selecteren



U gaat nu de GPO Default Domain Policy bewerken.



Open de GPO Default Domain Policy; klik erop met de rechtermuisknop en kies Edit.



Bij het openen van de Group Policy Management Editor ziet u dat binnen een GPO tweemodules voorkomen:◦ Computer Configuration.◦ User Configuration.



In deze modules bevinden zich verschillende containers, ingedeeld naar specifiek te configureren policies.

Group Policy Management Editor -User en Computer configuration


Deze module bevat de groepspolicies voor het computersysteem onafhankelijk van de gebruiker.

Dit beleid wordt toegepast tijdens het opstarten van het computersysteem.

Group Policy Management Editor -Computer Configuration


Deze module bevat de groepspolicies voor de gebruiker onafhankelijk van het computersysteem.

Group Policy Management Editor -User configuration


Via Computer configuration, Windows Settings, Security Settings kunt u het beleid via een GPO dat gelinkt kan zijn aan een site, een domein of een OU bekijken of bewerken.

Group Policy Management Editor -Computer configuration


Selecteer de container “Account Policies” en open vervolgens de container “Password Policy”.



U ziet dezelfde zes verschillende opties als bij de Password Security van de Local Security Policy.◦ Enforce password history.◦ Maximum password age.◦ Minimum password age.◦ Minimum password length.◦ Password must meet complexity requirements.◦ Store password using reversible encryption.





Met deze optie dwingt u de gebruiker een wachtwoord niet steeds opnieuw te gebruiken.

Group Policy Management Editor - Enforce password history


Als hier de waarde 24 staat, wat de standaardinstelling is, betekent dit dat een wachtwoord pas weer kan worden gebruikt als er tussentijds 24 verschillende wachtwoorden zijn gebruikt.



Selecteer de optie Define this policy setting en verander de waarde 24 in de waarde 3. Klik op OK.



Met deze optie dwingt u de gebruiker een wachtwoord een maximum aantal dagen te gebruiken.

Indien deze periode is verstreken, moet een nieuw wachtwoord worden gebruikt.

Standaard verloopt het wachtwoord na 42 dagen. Dus na 42 dagen moet de gebruiker een nieuw wachtwoord instellen.

Group Policy Management Editor - Maximum password age


Afhankelijk van de belangrijkheid, kan de beheerder een kortere of een langere tijd instellen.

Natuurlijk is het beter het wachtwoord niet te lang laten staan, omdat dan de geheimhouding niet meer is verzekerd.



Dubbelklik op de policy Maximum password age. Laat de standaardinstelling staan en klik op OK.



Met deze optie dwingt u de gebruiker een wachtwoord gedurende een minimum aantal dagen te gebruiken, voordat een nieuw wachtwoord kan worden gebruikt.

Hiermee voorkomt u dat de gebruiker heel snel een aantal wachtwoorden gebruikt en dan weer gebruik kan maken van zijn oude wachtwoord.

Group Policy Management Editor - Minimum password age


Verander de standaardwaarde in 30 en klik vervolgens op OK.

Group Policy Management Editor - Minimum password age


Met deze optie dwingt u de gebruiker een vastgesteld aantal karakters te gebruiken.

Hiermee wordt vermeden dat gebruikers lege of te korte wachtwoorden kunnen gebruiken. Standaard is de instelling 7 karakters.

Group Policy Management Editor - Minimum password length


Verander deze standaardwaarde in de waarde 5.

Group Policy Management Editor - Minimum password length


Met deze optie dwingt u de gebruiker een combinatie van hoofdletters, letters, leestekens en cijfers te gebruiken.

Het niveau van de netwerkbeveiliging neemt hierdoor toe.

Group Policy Management Editor - Password must meet complexity requirements


Laat de standaardinstelling staan op “Enable” en klikt op “OK”.

Group Policy Management Editor - Password must meet complexity requirements


Dit beleid geeft de mogelijkheid applicaties te draaien die protocollen gebruiken die voor authenticatiedoeleinden kennis moeten hebben van het wachtwoord van de gebruiker.

Wachtwoorden opslaan met omkeerbare encryptie is hetzelfde als cleartext versies opslaan van deze wachtwoorden. Juist om deze reden zou dit beleid nooit aangezet mogen worden.

Group Policy Management Editor - Store password using reversible


Laat deze optie ongewijzigd of “Disable”.

Group Policy Management Editor - Store password using reversible


Het “Password Policy” is nu volledig ingesteld.

Group Policy Management Editor - Password Policy


Zoals we al hebben gezien, zijn GPO’s goede mogelijkheden om centraal uw netwerk te beheren.

U kunt namelijk organisatie-eenheden aanmaken. Deze zijn meestal een afspiegeling van uw organisatie.

Een nieuwe GPO aanmaken op een Organisational Unit


Wij hebben al een OU ‘Leerlingen’ aangemaakt.

U kunt dan een GPO aanmaken; een Group Policy Object.

Let op: deze worden niet op een groep gezet, maar op een Organisational Unit.



Start de Group Policy Management console. Selecteer Group Policy Objects, klik met de

rechtermuisknop en selecteer vervolgens New.



Geef de nieuwe GPO de naam Leerlingen en klik vervolgens op.



De GPO Leerlingen is aangemaakt.



Link de GPO aan de organisatie eenheid Leerlingen.

Klik op de OU Leerlingen met de rechtermuisknop en selecteer Link an Existing GPO…



Dubbelklik op de GPO Leerlingen.



De GPO Leerlingen is nu gekoppeld aan de organisatie groep Leerlingen.



Stel het wachtwoordbeleid in voor de GPO Leerlingen.◦ Geschiedenis wachtwoord bijhouden op 3.◦ Maximum leeftijd van het wachtwoord 30.◦ Minimum leeftijd van het wachtwoord 29.◦ Minimum lengte van het wachtwoord 5.

Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 1


Om te vermijden dat de harde schijven van de fileserver worden volgeschreven, kunt u de opslagcapaciteit instellen.

U kunt dat doen voor alle gebruikers van het domein of per organisatie-eenheid.

Wij gaan de opslagcapaciteit instellen op de organisatie-eenheid Leerlingen.

Opslagcapaciteit instellen via GPO


Start de Group Policy Management Console. Open de GPO Leerlingen. Open de container Disk Quotas via Computer

Configuration/Administrative Templates/System/Disk Quotas.



Dubbelklik op de setting Enable disk quotas. Selecteer het keuzerondje Enable en klik vervolgens op de knop Next Settings om de eerst volgende setting in te stellen.



Enable Enforce disk quota limit Properties en klik vervolgens op Next Settings.



Enable de Default quota and warning level Properties. Wijzig de waarde op 500 MB.

Rol de pagina naar beneden via het pijltje en wijzig de Warning Value op 400 MB.



Als de gebruiker (in de OU Leerlingen) een diskcapaciteit van 400 MB bereikt heeft, ontvangt hij een waarschuwing. Bij het bereiken van een diskcapaciteit van 500 MB kan hij niets meer opslaan.



Hier kunt u eventueel de log activeren om een overzicht te hebben wie de opslagcapaciteit bereikt heeft.



Enable de log. De opslagcapaciteit is ingesteld voor de

organisatie-eenheid Leerlingen.



Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 2 Experimenteer met de volgende

beveiligingen:◦ Leerlingen mogen geen gebruik maken van de

opdrachtprompt.◦ Leerlingen mogen geen software installeren.◦ Leerlingen mogen het netwerk niet

doorbladeren.◦ Leerlingen mogen het bureaublad niet wijzigen.◦ Maak een veilig beheersnetwerk via deze GPO.


Een nieuwe GPO aanmaken op een Organisational Unit – Oefening 3 Maak een nieuwe GPO Leerkrachten aan. Koppel de GPO Leerkrachten aan de OU

Leerkrachten.


De administrator heeft doorgaans wel wat beters te doen dan wachtwoorden resetten.

Daarom kunt u deze taak gerust delegeren aan de groep Leerkrachten.

Het delegeren van beheerstaken


Met het delegeren van beheertaken alleen heeft u er nog niet voor gezorgd dat de gebruiker of gebruikersgroep het beheer ook daadwerkelijk kan uitvoeren.

Daarvoor moeten de noodzakelijke beheertools aan die gebruiker of gebruikersgroep ter beschikking worden gesteld.



De mogelijkheden tot het delegeren voor beheertaken zijn:◦ U kunt beheertaken delegeren voor sites, domeinen

of organisatie-eenheden.◦ Beheertaken kunt u aan gebruikers of

gebruikersgroepen.◦ U kunt precies bepalen welke beheertaken u

delegeert.



Start de MMC Active Directory Users and Computers.

Open het snelmenu van de organisatie-eenheid Leerlingen.



Klik Delegate Control.



De wizard Delegation of Control start. Klik op Next.



Het venster Users or Groups wordt geopend. Klik op de knop Add om gebruikers of groepen

toe te voegen.



Type Leerkrachten in het tekstvak en klik op OK.

Klik vervolgens op Next.



Het wizardvenster Tasks to Delegate verschijnt.

De taken die zijn aangevinkt, delegeert u naar de groep Leerkrachten.



Vink enkel de taak Reset user password and force password change at next logon aan, zodanig deze taak gedelegeerd wordt. Klik op Next.



De beheertaken voor de organisatie-eenheid Leerlingen zijn ingesteld.

Klik op Finish.



U heeft de groep Leerkrachten nog geen tools ter beschikking gesteld om de beheertaken uit te voeren.

Maak een nieuwe GPO Leerkrachten voor de organisatie-eenheid Leerkrachten.

Het delegeren van beheerstaken –Beheertools beschikbaar stellen


Nu gaat u een MMC (Microsoft Management Console) aanmaken, zodanig gebruikers lid van de groep Leerkrachten het wachtwoord van de leerlingen kunnen resetten.

MMC is een omgeving waarin een of meer management utilities kunnen worden geplaatst.

Door het MMC ontwerp zijn deze utilities allemaal volgens eenzelfde structuur te bedienen.



Meld u aan als administrator op de hoofdserver.

Maak een nieuwe map tools aan en deel deze voor de gebruikers van de groep Leerkrachten waar later de MMC in zal bewaard worden.

Type het command MMC in de tekstbox Start Search.



Type het command MMC in de tekstbox Start Search.

Het MMC constructievenster verschijnt.



Selecteer in het constructievenster het menu File en selecteer vervolgens de optie Add / Remove Snap-in….



Selecteer Active Directory Users and Computers en klik op de knop Add. Klik vervolgens op OK.



De gekozen Snap-in verschijnt in de Name zone.



U gaat nu de MMC opslaan in verschillende Console Modi.

Selecteer in de MMC console1 het menu File en vervolgens de optie Options.



U ziet dat er vier verschillende console modi zijn: Author mode.

Hiermee heeft u de bevoegdheid tot het toevoegen, bewerken of verwijderen snap ins. De toegang tot de console menu’s zijn ook mogelijk.

User mode – full access.De gebruikers kunnen geen snap ins toevoegen. De toegang tot de console menu’s zijn wel toegestaan.



User mode – limited access, multiple window.De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kunnen wel meerdere vensters in de MMC worden weergegeven.

User mode – limited access, single window.De gebruikers kunnen geen snap ins toevoegen. De toegang tot console menu’s is niet mogelijk. Er kan maar één venster in de MMC worden weergegeven.



U kunt eventueel ook een vinkje plaatsen bij: Do not save changes to this console.

De gebruikers kunnen de aangebrachte wijzigingen niet opslaan.

Allow the user to customize views.De optie Customize is niet meer in het menu View aanwezig.



Bewaar de MMC in de Author mode. Vervolgens slaat u de MMC op onder de naam

“Reset password.msc in C:\tools.



Ga nu naar uw Vista client. Meld u aan als JJanssens2 (een leerkracht) en

typ \\hoofdserver\Tools in. Dubbelklik vervolgens op de MMC Reset

password.

Beheertools beschikbaar stellen –Het testen van de MMC


Open de container Active Directory Users and Computers en dubbelklik op initialen.be.

Open de organisatie-eenheid Leerlingen.



Klik via de rechtermuisknop de gebruikersnaam welk wachtwoord u wilt resetten en selecteer Reset Password.

Voer het nieuwe wachtwoord in en bevestig dit. Het wachtwoord is gereset.



Auditing is bedoeld om het systeem te controleren op bepaalde acties en op wat er gelukt is of mislukt. U kunt bijvoorbeeld controleren hoe vaak het aanmelden is gelukt of mislukt.

Het hoofddoel van auditing is natuurlijk troubleshooting. U kunt al de fouten in de logboek Event Viewer bekijken.

Configureren en werken met audit policies

100


Meld u aan als administrator op de Hoofdserver.

Open de MMC Group Policy Management via start en dubbelklik op het domein initialen.be.


101


Dubbelklik de container Group Policy Objects. Bewerk via de rechtermuisknop de policy

Leerlingen die u al eerder hebt aangemaakt


102


Open computer configuration/Policies/Windows Settings/Security Settings/Local Policies/Audit Policy.


103


Dubbelklik op Audit system events. Selecteer Define these policy settings en

failure.


104


Nu worden alle foutieve pogingen van aanmelden in het logbestand geregistreerd.


105


Er zijn negen verschillende opties van de Audit Policies:◦ Audit account logon events.◦ Audit account management.◦ Audit directory service access.◦ Audit logon events.◦ Audit object access.◦ Audit policy change.◦ Audit privilege use.◦ Audit process tracking.◦ Audit system events.


106


Registreert het aan- en afmelden van gebruikers op het domein, alsmede het slagen (Success) of niet slagen (Failure) ervan.

De verschillende opties –Audit account logon events

107


Registreert elke wijziging van gebruikeraccount en groepen; daarbij hoort het wijzigen van wachtwoorden. Hier kunt u ook loggen of dat met succes of niet is gebeurt.

De verschillende opties –Audit account management

108


Registreert elke toegang tot de Active Directory.

De verschillende opties –Audit directory service access

109


Registreert als er een toegangsverificatie plaats vindt. De event heeft betrekking op het lokale systeem.

De verschillende opties –Audit logon events

110


Registreert de toegang tot een map, bestand of printer. Dit werkt enkel en alleen indien op het object zelf Auditing is aangezet.

De verschillende opties –Audit object access

111


Registreert de wijzigingen die gemaakt worden in het policy beleid.

De verschillende opties –Audit policy change

112


Registreert dat een gebruiker gebruik maakt van privileges. Dit werkt alleen indien op het object zelf Auditing is aangezet.

De verschillende opties –Audit privilege use

113


Registreert gebeurtenissen die te maken hebben met de voortgang van het proces.

De verschillende opties –Audit process tracking

114


Registreert systeem events zoals het starten en afsluiten van het systeem.

De verschillende opties –Audit system events

115


We gaan de effecten eens bekijken in de praktijk.

Meld u op de hoofdserver aan als administrator.

Configureren en werken met audit policies – Testen van audit polcies

116


Open de Event viewer via Start / Administrative Tools / Event Viewer.


117


Selecteer Windows Logs en vervolgens Security.


118


Verwijder alle items in deze log. Klik via de rechtermuisknop op Security en selecteer Clear Log of klik aan de rechterzijde op Clear log.


119


U kunt deze log bewaren, leegmaken of de transactie ongedaan maken. Klik op Clear.


120


Meld u nu aan op de Windows Vista als JVermeulen (een leerling) en maak met opzet een fout in het wachtwoord.


121


In de log kunt u zien dat de gebruiker JVermeulen een verkeerd wachtwoord heeft ingegeven.


122


Het is mogelijk om een GPO te exporteren naar een HTML-bestand.

Zo is het gemakkelijk om bijvoorbeeld de documentatiemap te vervolledigen.

Een HTML bestand maken van een GPO

123


Open de MMC Group Policy Management. Dubbelklik op de OU Leerlingen.


124


Klik op de rechterhelft op de Link Order met de rechtermuisknop en selecteer Save Report.


125


Geef het bestand de naam Leerlingen in en klik op de knop Save.


126


Het HTML bestand bevat alle ingestelde en gewijzigde beveiligingen.


127


Einde Hoofdstuk 7

Documents

Met behulp van beleid (policy) kan een beheerder instellingen configureren. Deze instellingen hebben betrekking op de beveiliging van de toegang tot