15 آبان 1393 دوره های شبکه و امنیت بدون دیدگاه

فصل هشتم: Authentication

مقدمه

 Authentication  زمانی که یک کاربر قصد دارد به AD DS ، Log on کند باید Username و Password خود را وارد کند، این Username و Password  توسط اکتیو دایرکتوری با با User Account متناظر با آن تطبیق داده می شود. در صورت تطابق، کاربر می تواند Log on  کند که به این فرآیند Authentication می گویند. به طور کلی فرآیند هایی که بین کلاینت و سرور انجام می شود دارای دو بخش است: بخش مربوط به کلاینت (Client-side) و بخش مربوط سرور (Server-side). (این اصلاحات را از بین پس بسیار خواهید دید).
در فرآیند Authentication بخش مربوط کلاینت، همان Username و Password ی است که کاربر با آن سر و کار دارد، برای اینکه این بخش را به درستی انجام دهید برای کاربران خود Username و Password مناسبی در نظر بگیرید مثالا از نام های مناسب استفاده کنید و برای کاربرانی که مسئولیت مهم تری دارند پسورد پیچیده تری در نظر بگیرید.

در این فصل با بخش های مربوط به کلاینت و سرور Authentication آشنا می شوید.

مواردی که برای آزمون باید یاد بگیرید:

  •      Creating & Maintaining Active Directory Objects
  •     Configure account policies
  •     Configure audit policy by using GPOs
  •    Configuring the Active Directory Infrastructure
  •     Configure Active Directory replication
  •     Configuring Additional Active Directory Server Roles
  •     Configure the read-only domain controllers (RODC)

 درس اول: پیکربندی پالسی های مربوط به پسوورد و لاک شدن

Authentication : در ویندوز سرور 2008 به طور پیش فرض Policy  هایی برای مدیریت پسورد کاربران وجود دارد که می توانید آنها را تغییر دهید، برای مثال کاربران باید هر 42 روز پسوردشان تغییر دهند، پسورد آنها حداقل باید 7 کاراکتر داشته باشد، و هر پسورد باید تا حدی پیچیدگی داشته باشد مثلا از 3 یا 4 نوع کاراکتر استفاده شود (حروف بزرگ، حروف کوچک، اعداد، کاراکتر های غیر الفبایی مثل علامت سوال ؟ ).

این سه Policy ، مهم ترین Policy های مدیریت پسورد هستند، در این درس می آموزید که چگونه این Policy ها را متناسب با نیاز های سازمان تان می توانید تغییر دهید. هم چنین با Policy جدیدی به نام Lockout آشنا می توانید؛ ممکن است کسی بخواهد با استفاده از User Account فرد دیگری به شبکه ورود کند، برای این کار پسورد هایی که حدس می زند درست باشد را یکی یکی امتحان کند.

اگر هیچ چیز مانع کار او نشود احتمال دارد که بالاخره موفق شود. Lockout Policy برای چنین موقعی طراحی شده است: اگر در طول یک دوره زمانی (مثلا دو ساعت) پسورد بیش از حد مجاز اشتباه وارد شود (مثلا 3 بار)  چه اتفاقی برای آن حساب کاربری یا آن کامپیوتر بیافتد (مثلا به مدت 30 دقیقه آن حساب کاربری اجازه Log on شدن نداشته باشد).

در این درس می آموزید که چگونه برخی کاربران از این Policy ها مستثنی کنید (این قابلیت در ورژن های قبلی ویندوز سرور وجود نداشت و یک Policy روی همه کاربران اعمال می شد).

با ما همراه باشید تا با Password Policy ها بیشتر آشنا شوید.

خلاصه درس اول:

Password Policy ها مشخص می کنند که یک پسورد چه زمانی باید عوض شود و پسورد جدید باید چه ویژگی هایی داشته باشد. Lockout Policy به شما کمک می کند تا امنیت حساب های کاربری و کامپیوتر های شبکه افزایش یابد. اگر سازمان شما نیاز به امنیت بالایی دارد توصیه می کنیم که از کنار این Policy ساده نگذرید.

به طور پیش فرض یک سری Policy برای امنیت پسورد های کاربران در ویندوز سرور 2008 وجود دارد، متناسب با نیازتان انها را تغییر دهید. RODC تمام وظایفی یک DC را به خوبی انجام می دهد. تنها تفاوت در این است که نمی توان اکتیو دایرکتوری آن را ویرایش کرد.

در این درس با RODC بیشتر آشنا می شوید، و می آموزید که چگونه آن را ایجاد و مدیریت کنید.

خلاصه درس سوم:

روی RODC یک کپی فقط خواندنی (Read-only) از دیتا بیس اکتیو دایرکتوری قرار دارد. RODC تغییرات و اصلاحاتی که در Domain اتفاق می افتد را از طریق Replication دریافت می کند. Replication در RODC فقط از نوع inbound است یعنی دیتا را از طریق Replication فقط دریافت می کند و هیچ دیتایی ارسال نمی شود.

می توانید مشخص کنید که Username و Password کاربرانی که به RODC ، Log on می کنند در حافظه Cache آن سرور ذخیره شود یا خیر. برای این کار از DC اصلی خود Password Replication Policy ها را متناسب با نیازتان تغییر دهید. RODC در نسخه های قبل از ویندوز سرور 2008 وجود ندارد، چنانچه می خواهید که در شبکه خود یک RODC داشته باشید لازم است که حداقل یکی از DC دارای ویندوز سرور 2008 باشد. هم چنین اگر در شبکه خود ویندوز سرور 2003 دارید روی آنها دستور Adprep /rpdcprep را اجرا کنید و پس از اقدام به راه اندازی RODC کنید تا ویندوز سرور 2003 بتواند با RODC ارتباط داشته باشد.

ویندوز سرور 2008 این قابلیت را برای شما فراهم می کند که تنظیمات مربوط به Lockout را حتی روی تمام Domain پیاده کنید. اگر می خواهید که یک Policy را روی تمام Domain  اعمال کنید بهتر است که آن Policy را روی GPO ی به نام Default Domain Policy اعمال کنید. این GPO به صورت پیش فرض در هر Domain وجود دارد. Authentication

زمانی که یک کاربر در شبکه Log on می کند هم در آن کامپیوتر و هم در اکتیو دایرکتوری شبکه برای آن Event Log ایجاد می شود. RODC به شما امکان می دهد تا بتوانید در جایی که امنیت مناسبی ندارد یک DC داشته باشید.

مطالعه بیشتر دوره های تخصصی در آموزشگاه هیواشبکه

سایت علمی آموزشی هیواشبکه

سایت طراحی و بهینه سازی سایت هیواشبکه

هیواشبکه

ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.