Znak sprawy: pg xf 292/25/12 Załącznik nr 4 do Umowy



Pobieranie 366.45 Kb.
Strona6/8
Data01.05.2016
Rozmiar366.45 Kb.
1   2   3   4   5   6   7   8

1.18Synchronizacja czasu


Z perspektywy wymagań Active Directory synchronizacja czasu z zewnętrznym źródłem czasu nie jest wymagana. Dla AD DS istotne jest aby wszystkie kontrolery domeny i systemy klienckie współpracujące z AD DS miały różnicę czasu nie większą niż 5 minut. Domyślną wartość (5 minut) można zmienić lecz zostanie ona zachowana.

Serwer pełniący rolę PDC Emulator w domenie pg.gov.pl zostanie skonfigurowany tak, aby synchronizował czas z wewnętrznym wzorcem czasu. Procedura konfiguracji zostanie zrealizowana zgodnie z KB262680.



Pozostałe kontrolery domeny oraz komputery klienckie będą wykorzystywały domyślną konfigurację.

1.19WINS


Nie przewidziano serwerów WINS, ze względu iż wszystkie komputery w domenie działają pod kontrolą systemów Windows 2000 i nowszych.

1.20DHCP


Usługa DHCP zostanie wdrożona na kontrolerach domeny. Standardowa konfiguracja usługi DHCP została opisana w tym rozdziale. Zostaną utworzone rezerwacje adresów IP dla wszystkich kluczowych komputerów oraz urządzeń.

1.20.1Standardowa konfiguracja zakresów DHCP


Tabela 10 Wspólna konfiguracja wszystkich zakresów DHCP

Parametr

Wymagana konfiguracja

Dane

Scope (Required)

Name

%NazwaLokacji%LanX




Description

Opcjonalny opis zakresu

IP Address Range (Required)

Starting IP Address

Pierwszy adres IP zakresu




Ending IP Address

Ostatni adres IP zakresu




Subnet Mask

Maska podsieci

Add Exclusions (Optional)

Lista wyjątków – brak

Lease Duration

Days

8

Hours

0

Minutes

0

003 Router (Default Gateway)

IP Address:

Domyślna brama

Domain Name and DNS Servers (Optional)

Parent Domain (015 Domain)

pg.gov.pl

First DNS server name or IP address

Adres IP lokalnego kontrolera domeny

Second DNS server name or IP address

Adres IP drugiego serwera DNS

1.20.2Rejestracja serwerów DHCP


Serwery DHCP uruchomione na systemach Windows Server muszą być zarejestrowane w Active Directory Domain Services aby mogły przydzielać adresy IP. Jest to jednorazowa konfiguracja, która zostanie wykonana dla nowych serwerów DHCP.

Bezpieczeństwo Active Directory

1.21Zabezpieczenie przed atakiem na przestrzeń dyskową


Jednym ze znanych ataków jest atak polegający na ograniczeniu dostępnej przestrzeni dyskowej, która jest wymagana do poprawnej pracy Active Directory. Atak taki może być przeprowadzony poprzez dodanie bardzo dużej ilości obiektów do Active Directory. Nawet jeśli te obiekty zostaną usunięte pozostają w AD DS a rozmiar bazy danych nie zmniejsza się. W celu umożliwienia szybkiej reakcji i naprawy sytuacji po tego rodzaju ataku utworzono plik rezerwowy. Zadaniem pliku rezerwowego jest zajęcie odpowiednio dużej przestrzeni dyskowej. W sytuacjach awaryjnych usunięcie pliku rezerwowego pozwala odzyskać wystarczająco dużą ilość wolnego miejsca aby AD DS mogło bezproblemowo pracować.

Zostanie utworzony plik rezerwowy o objętości 200 MB.


1.22Dodawanie kont komputerów do domeny


Podstawowa polityka bezpieczeństwa AD DS dopuszcza dołączenie do dziesięciu komputerów do domeny przez każdego uwierzytelnionego użytkownika.

Zmiana limitu możliwości dołączania komputerów do domeny opisuje KB251335.

Zostanie wprowadzone ustawienie, które zabroni standardowemu użytkownikowi domeny dodawanie nowych komputerów zgodnie z podanym powyżej KB.

1.23List Object Access Mode


Usługa katalogowa Active Directory posiada mechanizm dokładnej kontroli dostępu do zasobów katalogu opartego na systemie uprawnień i listach dostępu. W celu umożliwienia kontroli dostępu do zasobów katalogu, możliwe jest włączenie w ramach konfiguracji usługi katalogowej dodatkowego trybu „List Object Mode”.

Włączenie tego trybu działania usługi katalogowej wprowadza dodatkowe uprawnienie, które może być nadawane użytkownikom lub grupom użytkowników w ramach list dostępu. Powoduje to, że użytkownicy nie widzą w ramach katalogu obiektów, do których nie posiadają uprawnień.



W ramach usługi katalogowej Prokuratury Generalnej, tryb “List Object Mode” zostanie włączony.

1.24Zasady zabezpieczeń


W domenie Windows 2008 R2 następujące obiekty Zasad Grupy chronią domenę oraz wszystkie kontrolery domeny:

  • Default Domain Policy – przypisana do obiektu domeny. Ma wpływ na wszystkich użytkowników i wszystkie komputery w domenie (włączając kontrolery domeny)

  • Default Domain Controller Policy – przypisana do jednostki organizacyjnej Domain Controllers. Ten obiekt Zasad Grupy konfiguruje kontrolery domeny.

1.24.1Default Domain Policy


Zasada grupy Default Domain Policy zostanie zachowana w postaci domyślnej co umożliwia łatwy powrót do ustawień domyślnych (gdyby była taka potrzeba).

1.24.2PG-C-Default Domain Policy


Ta sekcja opisuje ustawienia obiektu Zasad Grupy PG-C-Domyslne ustawienia domeny. Obiekt ten zawiera ustawienia, które mają wpływ na całą domenę. Zasada ta musi mieć najniższą wartość parametru „link order”.

Password Policy


Tabela 11 Ustawienia Password Policy

Zasada

Ustawienia

Enforce password history

24 passwords remembered

Maximum password age

1 days

Minimum password age

1 days

Minimum password length

8 characters

Password must meet complexity requirements

Enabled

Store password using reversible encryption

Disabled

Account Lockout Policy


Tabela 12 Ustawienia Account Lockout Policy

Zasada

Ustawienia

Account lockout duration

15 minutes

Account lockout threshold

6 invalid logon attempts

Reset account lockout counter after

15 minutes

1.24.3Ziarniste ustawienia polityki haseł (Fine-Grained password Policy)


Active Directory w wersji Windows 2008 lub nowszej umożliwia ziarniste nadawanie polityki haseł. Oznacza to, że parametry haseł nie muszą być już nadawane na poziomie domeny i być jednakowe dla wszystkich użytkowników. Mechanizm został rozbudowany o:

  • Stosowanie wielu polityk haseł w obrębie domeny

  • Nadawanie odrębnych polityk haseł użytkownikom (jednemu lub wielu) i/lub grupom użytkowników

  • Nadawanie odrębnych polityk haseł dla członków jednostek organizacyjnych (OU) przez zastosowanie mechanizmu Shadow Groups

Wymienione w rozdziale 1.24.2 polityki definiują spójną politykę haseł dla całej domeny pg.gov.pl i zostaną zastosowane w pierwszej kolejności. Jeśli zajdzie potrzeba możliwe będzie zdefiniowane odrębnej polityki haseł dla wybranych grup użytkowników.

1.24.4Default Domain Controllers Policy


Zasada grupy Default Domain Controllers Policy pozostanie niezmieniona.

1.24.5PG-C-Default Domain Controllers Policy


Ta sekcja opisuje ustawienia zabezpieczeń zdefiniowane dla kontrolerów domeny. Ustawienia te zostały wprowadzone wewnątrz Zasady Grupy PG-C-Default Domain Controllers Policy, która jest przypisana do jednostki organizacyjnej Domain Controllers. Zasada ta musi mieć najniższą wartość parametru „link order”.

Audit Policy


Tabela 13 Ustawienia Audit Policy dla kontrolerów domeny

Zasada

Ustawienia

Audit account logon events

Success, Failure

Audit account management

Success, Failure

Audit directory service Access

Success, Failure

Audit logon events

Success, Failure

Audit object Access

Failure

Audit policy change

Success, Failure

Audit privilege use

Failure

Audit system events

Success, Failure

User Rights Assignment


Zostaną zachowane ustawienia z polityki Default Domain Controllers Policy.

Security Options


Zostaną zachowane ustawienia z polityki Default Domain Controllers Policy.

Event log


Tabela 14 Ustawienia Event Log dla kontrolerów domeny

Zasada

Ustawienia

Maximum application log size

102 400 kilobytes

Maximum security log size

524 288 kilobytes

Maximum system log size

102 400 kilobytes



1   2   3   4   5   6   7   8


©absta.pl 2019
wyślij wiadomość

    Strona główna