Tworzenie skanera dla kont kontrolera domeny

Funkcjonalność skanera polega na przeszukiwaniu serwera kontrolera domeny pod kątem kont o różnym stopniu uprzywilejowania i przyznaniu im dostępu poprzez dodanie do odpowiednich gniazd nasłuchiwania oraz / lub sejfów. Alternatywnie, wysłania kont na kwarantannę. Proces przyznania wykrytym kontom dostępu nazywa się przydzieleniem.

Informacja

Przed przystąpieniem do utworzenia skanera musisz skonfigurować:

  • serwer, który ma zostać przeskanowany - zapoznaj się z rozdziałem Serwery,
  • konto uprzywilejowane na tym serwerze (Konta) oraz
  • pulę, do której chcesz przypisywać wykryte konta (Pule).

Polityka modyfikatora hasła oraz modyfikator i weryfikator hasła może zostać dodany w późniejszych krokach, już po zapisaniu skanera.

W celu stworzenia skanera postępuj zgodnie z poniższą instrukcją:


  1. Wybierz Zarządzanie > Discovery > Skanery
  2. Kliknij Dodaj.
  1. Wprowadź nazwę skanera.
  2. Z listy Typ skanera Wybierz Konta Kontrolera Domeny.
  3. Opcjonalnie, wprowadź opis skanera.
  4. W sekcji Harmonogram wybierz dzień oraz czas, kiedy co tydzień skaner będzie uruchamiany przez system. Ten krok może zostać pominięty, jeśli administrator chce uruchamiać skaner manualnie.
  5. W sekcji Konfiguracja:

7.1. Wybierz Serwer docelowy.

7.2. Wprowadź numer portu do serwera docelowego.

7.3. Wprowadź Certyfikat CA.

7.4. Opcjonalnie podaj wartość Base DN uszczegóławiającą lokalizację w domenie. Użyj następującego formatu: cn=##username##,dc=example,dc=com.

7.5. Opcjonalnie podaj wartość Group DN wskazującą konkretną grupę w domenie. Użyj następującego formatu: cn=##username##,dc=example,dc=com.

Informacja

Jeśli nie określono Base DN lub Group DN, skaner przeszuka całą domenę.

7.6. Wybierz Konto do połączenia z serwerem docelowym.

7.7. Wybierz Kategorię konta (uprzywilejowany, nieuprzywilejowany lub wszystko).

Informacja

Funkcja Discovery identyfikuje konta uprzywilejowane w Active Directory (AD) na podstawie przynależności do określonych grup, które oznaczają wysoki poziom praw i uprawnień. Aby zostać rozpoznanymi jako uprzywilejowane przez skaner Discovery, konta muszą należeć do jednej z czterech grup o wysokich uprawnieniach w AD:

  • Enterprise Admins (EA),
  • Domain Admins (DA),
  • Built-in Administrators (BA),
  • Schema Admins (SA).

7.8. Wybierz pule, do których zostaną przypisane wykryte konta.

7.9. Wybierz Reguły. W przypadku dodania więcej niż jednej reguły, ich kolejność będzie miała znaczenie. Jeśli działania reguł będą się pokrywać, system zastosuje pierwszą z kolejki.

../../_images/5-4-discovery-new-scanner-accounts.png
  1. W sekcji Modyfikatory Haseł wybierz Polityka modyfikatora hasła, Modyfikator hasła i/lub Weryfikator haseł, które będą automatycznie przypisane do odkrytych kont.

Informacja

  • Administrator może wstępnie zdefiniować wartości zmiennych w konfiguracji modyfikatorów haseł (patrz sekcja Uniwersalne modyfikatory haseł).
  • Wstępne definiowanie wartości jest opcjonalne. Jeśli zmienna nie zostanie wstępnie zdefiniowana, przyjmie wartość z konta, do którego przypisany jest modyfikator hasła.
  • Domyślne modyfikatory haseł nie mają predefiniowanych wartości zmiennych.
  1. Kliknij Zapisz.

Tematy pokrewne: