Samenvatting

Bij het gebruikmaken van lokale accounts voor externe toegang in Active Directory-omgevingen kunnen verschillende andere problemen optreden. Het belangrijkste probleem treedt op als een lokale Administrator-account de gebruikersnaam en het wachtwoord op meerdere apparaten. Een aanvaller die beheerdersrechten op één apparaat in die groep heeft kunt de wachtwoordhash voor accounts uit de lokale Security Accounts Manager (SAM) database beheerdersrechten krijgen via andere apparaten in de groep die "slagen voor de hash" technieken gebruiken.

Meer informatie

Onze nieuwste beveiligingsrichtlijnen reageert op deze problemen door te profiteren van de nieuwe Windows-functies voor het blokkeren van externe aanmeldingen door lokale accounts. Windows 8.1 en Windows Server 2012 R2 geïntroduceerd de volgende beveiligings-id's (SID's):

  • S-1-5-113: NT AUTHORITY\Local account

  • S-1-5-114: De account NT AUTHORITY\Local en lid van de groep Administrators

Deze SID's worden ook gedefinieerd in Windows 7, Windows 8, Windows Server 2008 R2 en Windows Server 2012 na het installeren van updateKB 2871997.

De eerste SID toegevoegd aan het toegangstoken van gebruikers op het moment van aanmelden als een lokale account is de account van de gebruiker wordt geverifieerd. De tweede SID wordt ook toegevoegd aan het token als de lokale account lid van de groep Administrators is.

Deze SID's kunt toegang verlenen of weigeren van toegang tot alle lokale accounts of alle lokale beheeraccounts. Bijvoorbeeld, kunt u deze SID's in de toewijzingen van gebruikersrechten in Groepsbeleid 'Toegang tot deze computer vanaf het netwerk weigeren' en 'Aanmelden weigeren via Extern bureaublad-Services.' Dit is de aanbevolen werkwijze in onze nieuwste beveiligingsrichtlijnen. To b hetzelfde effect ook bereikenvoo deze nieuwe beveiligings-id's zijn gedefinieerd, moest u expliciet benoemen elke lokale account die u wilt beperken.

In de eerste release van de richtlijnen voor Windows 8.1 en Windows Server 2012 R2 we netwerk en extern bureaublad aanmelden bij 'Lokale account' geweigerd (S-1-5-113) voor alle configuraties van Windows client en server. Alle RAS-toegang voor alle lokale accounts geblokkeerd.

We hebben opnieuw failover-clustering is gebaseerd op een niet-leidinggevende lokale account (CLIUSR) voor Clusterbeheer-knooppunt en dat blokkeert de toegang tot het netwerk aanmelden, cluster-services niet wordt ontdekt. Omdat de account CLIUSR niet een lid van de groep Administrators, kunt vervangen door een S-1-5-113 S-1-5-114 in de instelling 'Toegang tot deze computer vanaf het netwerk' clusterservices goed werken. Dit gebeurt terwijl u nog steeds bescherming tegen "slagen voor de hash" typen aanvallen door te weigeren aan beheerdersaccounts voor lokale aanmelding bij het netwerk.

Hoewel we kunnen de richtsnoeren ongewijzigd blijven en een voetnoot "speciaal geval" voor scenario's voor failover-cluster toevoegen, koos wij in plaats daarvan implementaties te vereenvoudigen en de baseline lidserver van Windows Server 2012 R2 wijzigen zoals vermeld in de volgende tabel.

Beleidspad

Computer\Computerconfiguratie\Windows instellingen\Beveiligingsinstellingen\Lokaal Beleid\toewijzing

Naam van beleid

Toegang tot deze computer vanaf het netwerk weigeren

Oorspronkelijke waarde

Gasten, lokale account *

Nieuwe waarde

Gasten, lokale account en leden van de groep Administrators *

*Deze instructies ook aangeraden dat u domein beheerders (DA) en Enterprise Administrators (EA) aan deze beperkingen toevoegen. De uitzondering is op domeincontrollers en beheer van gespecialiseerde werkstations. DA en EA zijn specifiek voor een domein en kan niet worden opgegeven in de algemene Group Policy Object (GPO) basislijnen.

Opmerkingen

  • Dit geldt alleen voor de baseline lidserver. De beperking voor extern bureaublad aanmelden worden niet gewijzigd. Organisaties kunnen nog geen netwerktoegang tot 'Lokale account' voor niet-geclusterde servers bepalen.

  • De beperkingen van lokale accounts zijn bedoeld voor systemen van Active Directory-domein behoren. Niet-verbonden, werkgroep Windows-apparaten kunnen niet worden geverifieerd domeinaccounts. Als u beperkingen met betrekking tot het externe gebruik van lokale accounts op deze apparaten, zal u dus alleen via de console aanmelden.

Meer informatie over de account CLIUSR

De CLIUSR-account is een lokale gebruikersaccount die door de functie Failover Clustering wordt gemaakt als de functie wordt geïnstalleerd op Windows Server 2012 of latere versies.

Een domeingebruikersaccount is in de Windows Server 2003 en eerdere versies van de Cluster-Service gebruikt om de service te starten. Dit Cluster Service Account (CSA) werd gebruikt voor het cluster vormen, deelnemen aan een knooppunt, register replicatie uitvoeren, enzovoort. In principe elk type verificatie dat is tussen knooppunten gebruikt deze gebruikersaccount een gemeenschappelijke identiteit.

Verschillende problemen zijn opgetreden omdat domeinbeheerders zijn Groepsbeleid verwijderd machtigingen voor gebruikersaccounts voor domeinen instellen. De beheerders zijn niet te nemen dat zijn enkele van die gebruikersaccounts waarmee services worden uitgevoerd.

Bijvoorbeeld, is dit probleem opgetreden in het gebruik van de aanmelding als een Service rechts. Als de Cluster-serviceaccount deze machtiging niet hebt heeft, zou het niet kunnen starten van de Cluster-Service. Als u dezelfde account gebruikt voor meerdere clusters, kan zich in diverse zeer belangrijke systemen productie uitvaltijd. Ook moest omgaan met wachtwoordwijzigingen in Active Directory. Als u de gebruiker wachtwoord accounts in Active Directory heeft u ook nodig had om wachtwoorden te wijzigen in alle clusters en knooppunten die gebruikmaken van de account hebt gewijzigd.

In Windows Server 2008, wij opnieuw ontworpen zodat alles over de manier waarop dat we starten om de service veerkrachtiger, minder gevoelig voor fouten en gemakkelijker te beheren. We begonnen met de Cluster-Service te starten met behulp van de ingebouwde Network Service. Houd er rekening mee dat dit niet de volledige account, alleen minder bevoorrechte set. Verminderd met het toepassingsgebied van deze account we een oplossing gevonden voor de problemen met Groepsbeleid.

De account is voor verificatie overgeschakeld op het gebruik van het computerobject dat is gekoppeld aan de naam van het Cluster als het Cluster naam Object (CNO) voor een gemeenschappelijke identiteit bekend. Omdat deze CNO een computeraccount in het domein is, of het aansluitpunt het wachtwoord, zoals gedefinieerd door het domeinbeleid. (Standaard is dit elke 30 dagen.)

Starten in Windows Server 2008 R2, beheerders gestart virtualisatie van alles in hun datacenters. Dit geldt ook voor domeincontrollers. De functie Cluster gedeelde Volumes (CSV) ook werd geïntroduceerd en werd de standaard voor persoonlijke cloud-opslag. Sommige beheerders volledig of virtualisatie omarmd en elke server in hun datacenter gevirtualiseerd. Dit omvat domeincontrollers toe te voegen als een virtuele machine naar een cluster en met behulp van de CSV-station voor het opslaan van de VHD/VHDX van de VM.

Dit scenario "Catch 22" gemaakt voor veel bedrijven. Als u wilt koppelen in het CSV-station het VMs, moest u contact op met een domeincontroller de CNO ophalen. U kunt echter de domeincontroller kon niet starten omdat deze werd uitgevoerd op het CSV.

Een trage of onbetrouwbare verbinding met domeincontrollers die ook van invloed op I/O naar CSV-stations. CSV heeft intra-clustercommunicatie via SMB verbinding te maken met bestandsshares strekking. Als u verbinding maakt met SMB, heeft de verbinding te verifiëren. In Windows Server 2008 R2, die de CNO verifiëren met behulp van een externe domeincontroller betrokken.

Voor Windows Server 2012 hebben we om na te denken over hoe wij kunnen het beste van beide werelden te nemen en te voorkomen dat sommige problemen die we zien zijn. We gebruiken nog steeds de verminderde netwerkservice gebruiker rechts de Cluster-Service te starten. Echter, als u wilt dat alle externe afhankelijkheden, we nu gebruiken een lokale gebruikersaccount (niet van het domein) voor verificatie tussen de knooppunten.

Deze account van de lokale "gebruiker" is niet een Administrator-account of een domeinaccount. Deze account wordt automatisch voor u gemaakt op elk knooppunt als u een cluster maakt of een knooppunt wordt toegevoegd aan het cluster. Deze account wordt volledig zelfstandig beheerd door de Cluster-Service. Automatisch roteert het wachtwoord voor de account en alle knooppunten voor u synchroniseert. Het wachtwoord CLIUSR is gedraaid op dezelfde frequentie als de CNO, zoals gedefinieerd door het domeinbeleid. (Standaard is dit elke 30 dagen.) Omdat de account is een lokale, kan verifiëren en CSV koppelen zodat de gevirtualiseerde domeincontrollers kunnen worden gestart. Nu kunnen alle domeincontrollers zonder bang te virtualiseren. We bent daarom de tolerantie en de beschikbaarheid van het cluster verhogen door vermindering van de externe afhankelijkheden.

Deze account is de account CLIUSR. Die wordt geïdentificeerd door de bijbehorende beschrijving in de module Computerbeheer.

CLIUSR account

Een frequente vraag is of de CLIUSR-account kan worden verwijderd. Uit veiligheidsoverwegingen, kunnen tijdens de audits worden gemarkeerd als extra lokale accounts (niet standaard). Als de netwerkbeheerder niet zeker dat deze account is voor (dat wil zeggen, ze niet lezen de omschrijving van 'Failover-Cluster lokale identiteit'), kunnen ze verwijderen zonder het inzicht in de consequenties. Voor Failover-Clustering correct, is dit nodig voor verificatie.

CLIUSR referenties worden doorgegeven

1) knooppunt toegevoegd de Cluster-Service wordt gestart en geeft de referenties van de CLIUSR in.

2) om het hetzelfde effect te bereiken eenll referenties worden doorgegeven, zodat het knooppunt kan lid worden.

We verstrekt een meer vrijwaringsmaatregelen om er zeker van aanhoudende succes. Als u de account CLIUSR per ongeluk verwijdert, zal deze worden automatisch opnieuw gemaakt wanneer een knooppunt probeert toe te voegen aan het cluster.

Om samen te vatten: de CLIUSR is een intern onderdeel van de Cluster-Service. Deze volledig zelf wordt beheerd, zodat u niet verplicht bent te configureren of beheren.

In Windows Server 2016, we deze probeerden op een stap verder door gebruik te maken van certificaten inschakelen clusters werken zonder enige vorm van externe afhankelijkheden. Hiermee kunt u clusters maken met servers die zich in verschillende domeinen bevinden of buiten alle domeinen.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×