Press "Enter" to skip to content

Disk idarəçiliyi necə açılır

PAM haqqında daha çox məlumat üçün Windows Server 2016 və Microsoft-un JIT rəhbərliyini tətbiq etmək üçün tövsiyələri, bax Windows Server vNext İmtiyazlı Giriş İdarəetmə üzrə Petri İT İnformasiya bazası.

Windows Server 2016: İmtiyazlı Giriş İdarəetməsini Qurun

Günümüzdə Admindən soruşun, Sizə İmtiyazlı Giriş İdarəetməsini (PAM) necə tətbiq edəcəyimi göstərəcəyəm Windows Server 2016.

Active Directory (AD) və digər həssas sistemlərə imtiyazlı giriş çox vaxt daimi olaraq İT işçilərinə verilir. Hackerlər bu istifadəçiləri hədəfə alırlar, çünki onlar bütün şəbəkəni güzəştə getmək üçün asan bir yol təqdim edirlər. Problemlə mübarizədə kömək etmək üçün Microsoft, təşkilatlara, sərtləşdirilmiş bir inzibati meşənin (bastion meşəsi) AD idarəçiliyinə həsr olunduğu və təşkilatların onsuz da güzəşt edilmiş domenlər üzərində nəzarəti bərpa etmələrini təmin etdiyi inkişaf etmiş təhlükəsizlik idarəetmə mühiti (ESAE) modelini qəbul etmələrini tövsiyə edir.

Zamanında İdarəetmə

ESAE təşəbbüsü çərçivəsində Just-in-Time (JIT) rəhbərliyi tətbiq olundu Windows Server 2016 və sistem administratorlarına məhdud bir müddət üçün istifadəçilərə resurslara imtiyazlar verməyə imkan verir. Əlavə olunur Sadəcə kifayətdir (JEA), istifadəçiləri PowerShell iclasında əvvəlcədən təyin edilmiş bir PowerShell cmdlet, parametr və modul siyahısı ilə məhdudlaşdıran JIT modelinin iki məqsədi var:

  1. İstifadəçilərə lazımlı müddətdən çox yüksək imtiyazlar verildiyi yerdə imtiyaz sürüşməsinin qarşısını alın
  2. Yalnız qısa müddət ərzində tələb oluna biləcək imtiyazların daimi olaraq verilməsindən çəkinin

Shadow Principals və PIM Trust

Kölgə müdirləri yenidir Windows 2016 və bastion meşəsində yaradılmışdır. Shadow Principals, Domain Admins qrupu və İT işçilərinin hesabları kimi istehsal meşənizdəki obyektləri əks etdirir. İstehsal meşəsinə inzibati giriş, bastion meşəsindəki Shadow Principals istifadə edərək idarə olunur. Bastion meşəsində Shadow Principals istifadə edərək AD-nin idarə edilməsi, hash-pass, bilet-pass, Kerberos güzəştləri, mızrak ovu və daha çox daxil olmaqla bir çox ümumi hücum riskini azaltmağa kömək edir.

Bastion meşəsi sıfırdan qurulmalı, güclü identifikasiyanı tətbiq etməli və İmtiyazlı Şəxsiyyət İdarəetmə (PIM) etibarından istifadə edərək istehsal meşəsi ilə əlaqələndirilməlidir. Shadow Principal istifadəçiləri bastion meşəsindəki Shadow Principal qruplarına əlavə edildikdə, daha sonra silinmələrini təmin etmək üçün bir müddət (TTL) dəyəri əlavə edilə bilər.

Microsoft-un ESAE modelini tam tətbiq etmək üçün Microsoft İdentity Manager (MIM) tövsiyə olunur. MIM, istifadəçilərin istehsal meşəsindəki imtiyazlı qruplara müvəqqəti giriş tələb edə bilməsi üçün iş axınlarını həyata keçirmək üçün istifadə olunur. Öz iş axını həllinizi tətbiq edirsinizsə, MIM tələb olunmur.

PAM haqqında daha çox məlumat üçün Windows Server 2016 və Microsoft-un JIT rəhbərliyini tətbiq etmək üçün tövsiyələri, bax Windows Server vNext İmtiyazlı Giriş İdarəetmə üzrə Petri İT İnformasiya bazası.

Yeni Bastion Meşəsi yaradın

Bu demoda artıq bir istehsal sahəm var (ad.contoso.com). Ən azı bir Windows Server 2012 R2 və ya Windows PIM etibarını təmin etmək üçün istehsal sahəsində Server 2016 domen nəzarətçisi tələb olunur. Mövcud istehsal sahəmi etibarlı şəkildə idarə etmək üçün yeni bir bastion meşəsi (pim.contoso.com) yaradacağam.

Bastion meşəsi qurulmalıdır Windows Server 2016 meşə funksional səviyyəsi və AD Güzəştli Giriş İdarəetmə xüsusiyyət aktivdir. PowerShell sessiyasını açın və istifadə edin Yüklemek-WindowsXüsusiyyətADDSForest quraşdırın Active Directory Directory Services (ADDS) qurmaq və bastion meşəsini konfiqurasiya etmək Windows Server 2016.

$ domainName = 'pim.contoso.com' $ password = 'PassW0rd!' $ passwordsec = convertto-securestring $ password -asplaintext -force Install-WindowsXüsusiyyət –Ad AD-Domain-Services -IncludeManagementTools Install-ADDSForest -DomainName $ domainName -InstallDns -Force -Confirm: $ false -SafeModeAdministratorPassword $ passwordsec

Varsayılan meşə funksional səviyyəsi Windows Server 2016 edir Windows2016 meşə. İstifadə edərək meşə funksional səviyyəsini yoxlaya bilərsiniz Get-ADForest.

Get-ADForest

Meşə funksional səviyyəsinin dəyişdirilməsi haqqında daha ətraflı məlumat üçün baxın PowerShell istifadə edərək Active Directory Etki Alanını və Meşə İşlevsel Səviyyələrini yüksəldin on Petri.

İmtiyazlı Giriş İdarəetməsini aktivləşdirin Windows Server 2016 (Şəkil Krediti: Russell Smith)

Sonra, istifadə edərək bastion meşəsində Privilege Access Management’i aktivləşdirməlisiniz Aktivləşdirin-ADOptionalFeature. Bu, AD sxeminə lazımi obyektləri əlavə edir və geri dönməzdir.

Enable-ADOptionalFeature 'İmtiyazlı Giriş İdarəetmə Xüsusiyyəti' -Məhzə ForestOrConfigurationSet -Hədəf pim.contoso.com

PIM Trust yaradın

PIM güvən, istehsal sahəsindən (ad.contoso.com) bastion domeninə (pim.contoso.com) qurulmuş bir tərəfli meşələrarası güvəndir. Ad qətnaməsinin şərti DNS yönləndiricilərindən istifadə edərək istehsal və bastion meşələri arasında işlədiyinə əmin olun və sonra çalıştırın şəbəkə güvən qurmaq üçün istehsal sahəsində. DNS-nin konfiqurasiyası haqqında daha ətraflı məlumat üçün baxın DNS yönləndiricilərini konfiqurasiya edin Windows Server 2012 r2 on Petri.

netdom etibar ad.contoso.com / Domain: pim.contoso.com / Əlavə et / İstifadəçiD:adminrator@pim.contoso.com / PasswordD: PassW0rd! /UserO:administrator@ad.contoso.com / PasswordO: PassW0rd! netdom etibar ad.contoso.com /domain:pim.contoso.com / ForestTRANsitive: Bəli netdom etibar ad.contoso.com /domain:pim.contoso.com / EnableSIDHistory: Bəli netdom etibar ad.contoso.com / domain: pim. contoso.com / EnablePIMTrust: Bəli netdom etibar ad.contoso.com /domain:pim.contoso.com / Karantin: Xeyr

Güzəştli Şəxsiyyət İdarəetmə (PIM) Güvəninin yaradılması

İndi qaç şəbəkə bastion domenində:

netdom etibar pim.contoso.com / domain: ad.contoso.com / ForestTRANsitive: Bəli

Prosesi başa çatdırmaq üçün imkan verin Kerberos AES Şifrələmə maksimum təhlükəsizlik üçün bastion domeninə etibar haqqında:

  • açıq Active Directory İstifadəçiləri və Kompüterləri ilə Tools Server Meneceri menyusu.
  • Check Ətraflı Features ci baxış menyu.
  • Basın Sistem soldakı obyektlər siyahısında konteyner.
  • Sağdakı siyahıda istehsal domeni üçün etibar obyektini iki dəfə vurun. Mənim vəziyyətimdə etibar obyekti budur ad.contoso.com.
  • Ci Properties dialoq Ümumi nişanı yoxlayın Digər domen Kerberos AES Şifrələməsini dəstəkləyir və sonra basın OK.
  • Active Directory istifadəçilərini və kompüterlərini bağlayın.

Güvən üzərində Kerberos AES Şifrələmə Dəstəkini aktivləşdirin (Şəkil Krediti: Russell Smith)

Kölgə prinsiplərini yaradın

İstehsal sahəsinin Domain Admins qrupunu və bir BT işçisinin hesabını əks etdirmək üçün bastion domenində Shadow Principals yaradacağıq, russells. İstehsal sahəsindəki Domain Admins qrupu üçün (ad.contoso.com) bastion domenində (pim.ad.contoso.com) bir Kölgə Əsasını (PROD-Domain Admins) yaradaq.

$ ProdPrincipal = 'Domain Admins' $ ProdDC = 'dc1.ad.contoso.com' $ ShadowSuffix = 'PROD-' $ ProdShadowPrincipal = Get-ADGroup -Identity $ ProdPrincipal -Properties ObjectSID -Server $ ProdDC $ ShadowPrincipal ' Əsas Yapılandırma, CN = Xidmətlər, '+ (Get-ADRootDSE) .configurationNamingContext New-ADObject -Type msDS-ShadowPrincipal -Name "$ ShadowSuffix $ ($ ProdShadowPrincipal.SamAccountName)" -Path $ ShadowPrincipalContainutes-ms' ms 'SSL = $ ProdShadowPrincipal.ObjectSID>

Bastion meşəsində bir kölgə müdiri yaradın (Şəkil Krediti: Russell Smith)

Kölgə prinsipləri, istifadəçi hesabı obyektlərinə əsasən də yaradıla bilər. İldə ad.contoso.com, Hesab adı olan bir İT işçim var russells. Üçün bastion domenində bir kölgə müdiri (PROD-russells) yarataq russells istehsal domeni hesabı. Yuxarıdakı koddan yeganə dəyişiklik, $ ProdPrincipal adının artıq bir istifadəçinin (russells) adının olması və Get-ADUser üçün Get-ADGroup əvəz etməyimizdir.

$ ProdPrincipal = 'russells' $ ProdDC = 'dc1.ad.contoso.com' $ ShadowSuffix = 'PROD-' $ ProdShadowPrincipal = Get-ADUser -Identity $ ProdPrincipal -Properties ObjectSID -Server $ ProdDC $ ShadowPrincipalCain Konfiqurasiya, CN = Services, '+ (Get-ADRootDSE) .configurationNamingContext New-ADObject -Type msDS-ShadowPrincipal -Name "$ ShadowSuffix $ ($ ProdShadowPrincipal.SamAccountName)" -Path $ ShadowPrincipalContainer -Sther'Sadow = $ ProdShadowPrincipal.ObjectSID>

İstehsal Sahəsinə İmtiyazlı Giriş verin

İndi kölgə prinsipləri yaradıldığı üçün bastion domeni istifadəçisini (PIM-russells) kölgə əsas qrupuna əlavə edək. PROD-Alan Adminləri. Mən artıq yaratmışam PIM-russell hesab və PROD-Kölgə Təşkilat Birliyi (OU) in pim.contoso.com.

Set-ADObject -Identity “CN = PROD-Domain Admins, CN = Shadow Basic Configuration, CN = Services, CN = Configuration, DC = pim, DC = contoso, DC = com” -Add @

Könüllü addım

Növbəti addım isteğe bağlıdır. Biz də verə bilərik PIM-russell icazələri russells@ad.contoso.com həmin hesab üçün Kölgə Əsas obyektindən (PROD-russells) istifadə etmək.

Set-ADObject -Identity “CN = PROD-russells, CN = Shadow Basic Configuration, CN = Services, CN = Configuration, DC = pim, DC = contoso, DC = com” -Add @

PIM-russell istifadə obyekti heç vaxt istehsal domeninin (ad.contoso.com) Domain Admins qrupuna üzv olmasa da istehsal domenində 5 dəqiqə domen administratoru icazəsi alacaq. PIM-russell ayrıca icazələrini alacaq russells@ad.contoso.com isteğe bağlı addımları təqib etsəniz. Vaxt həddi TTL dəyərindən istifadə edərək saniyələr içində təyin olunur.

İstehsal Sahəsinə İmtiyazlı Giriş verin (Şəkil Krediti: Russell Smith)

açıq ADSI Redaktə edin etibarən Tools bastion domenindəki Server Manager-də əlaqə qurun Konfiqurasiya kontekstə ad verin və gedin Xidmətlər > Kölgə Əsas Konteyner. Açın PROD-Alan Adminləri Əsas kölgə vurun və aşağıya doğru sürüşdürün üzv görəcəyiniz atribut PIM-russell üzvüdür.

Test Giriş

İstehsal sahəsi potensial təhlükə altına alındığı üçün etibarlı bastion domenindəki hesabları AD idarəçiliyi üçün istifadə edəcəyik. Istifadə etmək əvəzinə russells@ad.contoso.com və ya başqa bir İT işçisinin hesabını istifadə edəcəyəm PIM-russells@pim.contoso.com.

Giriş Idaxil Domain Admin Güzəştləri ilə İstehsal Sahəsi (Image Credit: Russell Smith)

İstehsal sahəsindəki bir kompüterə daxil olun və bir əmr istəyi açın PIM-russells@pim.contoso.com. İstifadə edə bilərsən Mən kiməm istehsal sahəsindəki istifadəçi icazələrini təsdiqləmək. Bunu görə bilərsiniz PIM-russells@pim.contoso.com ADDomain Admins üzvüdür və yuxarıdakı isteğe bağlı addımı təqib etmisinizsə, eyni zamanda ADrussellsdir.

Unutmayın ki, 5 dəqiqəlik bir TTL qoyduq, buna görə həmin müddətdə yoxlamalı olacaqsınız. Təsdiqləmək üçün PIM-russell icazələr beş dəqiqədən sonra ləğv edildi, əmr istemini bağlayın və yenidən açın PIM-russell və qaçmaq Mən kiməm yenidən. Bir domen nəzarətçisindəki əmr istəməsini açırsınızsa, PIM-russell hesabın domen administratoru hüquqları olmadıqda giriş qadağan ediləcək.

Bu Admindən soruşun, İmtiyazlı Giriş İdarəetməsini necə qurmağı və istifadə etməyi göstərdim Windows Server 2016.

Related posts:

  1. Windows Server 2016: Microsoft-un Ətraflı Təhlükəsizlik İdarəetmə Mühitini Anlamaq
  2. İki Active Directory Meşəsi arasında Güvənliyi Aktivləşdirmək üçün DNS-i konfiqurasiya edin
  3. 3-də Domain Qeydiyyatı üçün 2020 Seçim
  4. microsoft Windows Təhlükəsizlik Yeniləmələri Fevral 2019-a ümumi baxış
  5. Bir Premium WordPress Blogunu Başlamaq üçün (Addım-Addım Kılavuzu)
  6. Katmanlı İdarəetmə və İmtiyazlı Giriş İş İstasyonlarını dəstəkləmək üçün Active Directory qurun
  7. microsoft Windows Təhlükəsizlik Yeniləmələri Sentyabr 2020-yə ümumi baxış
  8. May 2020 Yeniləməsi ilə əlaqəli problemlərin həlli üçün son bələdçi
  9. microsoft Windows Təhlükəsizlik Güncellemeleri Noyabr 2020-yə ümumi baxış
  10. microsoft Windows Təhlükəsizlik Yeniləmələri Dekabr 2019-a ümumi baxış

Disk idarəçiliyi necə açılır?

Sabit disk bölüşdürmək , sabit disk formatlamaq , sürücü harfini dəyişdirmək və ya digər disklə əlaqəli digər vəzifələri yerinə yetirmək istəyirsinizsə, Disk Management aracını açmanız lazımdır.

Windows Başlat Menyusunda və ya proqramlar ekranında Disk Administrasiyasının bir qısa yolunu tapa bilməyəcəksiniz, çünki bu, eyni mənada kompüterinizdə əksər proqramların olduğu bir proqram deyil.

Windows’dakı Disk Administrasiyasına daxil olmaq üçün aşağıdakı asan addımları edin:

Qeyd: Disk Administrasiyasının Windows 10 , Windows 8 , Windows 7 , Windows Vista və Windows XP daxil olmaqla, hər hansı bir Windows versiyasında aşağıda göstərildiyi kimi aça bilərsiniz.

Tələb olunan vaxt: Ən azı bir neçə dəqiqə çəkəcəksiniz! Windows Disk Management proqramını açın və orada daha çox vaxt əldə edə bilərsiniz.

Windows’da disk idarəçiliyi necə açılır?

Disk Management’i açmaq üçün ən geniş yayılmış və əməliyyat sistemi müstəqil şəkildə aşağıda təsvir olunan Kompüter İdarəetmə proqramı vasitəsilə həyata keçirilir. Digər dərsliklərdən sonra bu təlimçidən sonra Disk Administrasiyasını açmaq üçün digər yollara baxın, bəziləri isə sizin üçün bir az daha sürətli ola bilər.

  1. Kontrol Panelini açın .
    1. Windows’un əksər versiyalarında Control Panel , Başlat Menüsü və ya proqramlar ekranında qısa yoldan asanlıqla istifadə edilə bilər.
    1. Qeyd:Sistem və Təhlükəsizlik yalnız Windows 10, Windows 8 və Windows 7-də tapılmışdır. Windows Vista’da bərabər link Sistem və Baxımdır və Windows XP-də Performans və Baxım adlanır. Windows’un nə versiyasına baxın ? əmin deyilsinizsə.
    2. İpucu:Denetim Masası’ndakiBüyük simgeleri və ya kiçik simgeler görünüşünü görüntüliyorsanız, bu linki göremezsiniz. Bu fikirlərdən birisənsə, İdarəetmə Tools simgesini toxunun və ya 4-cü addım atlayın.
    1. Unutmayın ki, Vista və XP-də bu pəncərə Sistem və Baxım və ya Performans və Təmizlik deyilir.
    1. Kompüter İdarəetmə açıldıqda, Saxlama altındakı pəncərənin sol tərəfində Disk Administrasiyasına vurun və ya vurun.
      1. İpucu: Listelenen Disk Yönetimi’ni görmüyorsanız, Saklama simgesinin solundaki |> və ya + simgesine vurun və ya vurun.
      2. Disk Yönetimi yükləmək üçün bir neçə saniyə çəkə bilər və ya daha çox vaxt tələb edə bilər, ancaq nəticədə Kompüter İdarəetmə penceresinin sağ tərəfində görünür.
      1. İpucu: Bu sabit disk tapşırıqları ən çox pulsuz disk bölmə proqram təminatı vasitəsi ilə də həyata keçirilə bilər.

      Disk idarəçiliyinin açılmasının digər yolları

      Disk Administrasiyasını açmaq üçün hər hansı bir Windows versiyasına sadə bir əmr də yaza bilərsiniz. Yalnızca Command Prompt kimi istifadə etmək istədiyiniz hər hansı bir Windows command line interfeysindən diskmgmt.msc işləyin .

      Windows 10 və ya Windows 8 əməliyyat sistemini çalıştırıyorsanız və bir klaviatura və ya bir siçan varsa , Disk Management (və bir bütün olaraq Control Panel) olduqca faydalı İstifadəçi İstifadəçi Menyusunda bir çox sürətli giriş variantlarından biridir. Yalnız Başlat düyməsini sağ basın və ya klavyenizdeki WIN + X kombinasiyasını sınayın.

Comments are closed, but trackbacks and pingbacks are open.