Есть ли в Windows механизм, выводящий на экран информацию о неудачной регистрации в сети во время этого процесса?
Да, в Windows есть такой механизм, который запускается в Windows Server 2008 и Windows Vista. С его помощью пользователи могут заметить, если кто-либо попытается воспользоваться их учетными данными и угадать пароли после того, как они успешно зарегистрировались в Windows.
После успешной регистрации в Windows система покажет время последней успешной регистрации, время последней неудачной регистрации и количество неудачных попыток зарегистрироваться со времени последней успешной регистрации. Пользователь должен нажать кнопку ОК при получении этой информации, и только после этого на экране появится рабочий стол Windows.
У этой функции есть новый набор атрибутов в службе каталога Active Directory (AD), которые дублируются на все контроллеры домена. Эти атрибуты позволяют операционной системе определять последнюю успешную и неудачную регистрации. Данную функцию могут использовать только Windows 7, Vista и Server 2008 — другие операционные системы Windows игнорируют ее. Эта возможность будет доступна только после того, как вы поднимете функциональный уровень домена до Windows Server 2008. Таким образом, в службе каталога домена могут существовать только контроллеры домена на Server 2008, а не на одной из более ранних операционных систем.
Для запуска данного механизма нужно разрешить Windows отсылать информацию о процессе регистрации и записывать ее в службу каталога. Вы можете выполнить оба действия, используя новый набор настроек Group Policy Object (GPO).
Чтобы позволить Windows записывать информацию в службу каталога при регистрации, объект GPO, меняющий параметры конфигурации DC (например, Default Domain Controllers GPO), должен включить настройку:
Computer Configuration\Administrative Templates\Windows
Components\Windows Logon Options\Display information
about previous logons during user logon
Чтобы позволить Windows отсылать информацию о процессе регистрации, объект GPO, меняющий настройки на сервере и клиентской системе (например, Default Domain Policy), должен включить настройку:
Computer Configuration\Administrative Templates\Windows
Components\Windows Logon Options\Display information
about previous logons during user logon
Одно предупреждение: если вы активируете эти настройки для доменов, которые находятся на функциональном однородном уровне Windows Server 2003 и Windows 2000, либо для домена Windows 2000 со смешанным функциональным уровнем, во время регистрации появится предупреждающее сообщение. В нем будет говориться о том, что Windows не может найти информацию о регистрации и пользователи не могут зарегистрироваться. Другими словами, нельзя активировать эти настройки GPO, если ваш сервер не находится на функциональном уровне Server 2008.
Можно ли определить по журналу безопасности Windows, что пользователь зарегистрировался при помощи смарт-карты?
У Windows нет специального ID события для дифференциации регистрации по смарт-карте, но можно узнать, использовалась ли при регистрации смарт-карта, проверяя запись о событии успешной регистрации Kerberos. Дело в том, что в Windows вы можете зарегистрироваться, используя смарт-карту, только когда проводите аутентификацию в домене с помощью протокола аутентификации Kerberos.
В Windows запрос успешной аутентификации Kerberos генерирует событие безопасности с ID 672 на контроллере домена. Точнее, событие с ID 672 указывает на успешный запрос Kerberos Authentication Service Request (AS-REQ). Это последовательность обмена протокола Kerberos, где пользователь передает свои учетные данные контроллеру домена и получает от него Kerberos Ticket Granting Ticket (TGT).
Помимо записи информации о том, что пользователь затребовал билет и IP-адрес системы, событие 672 записывает вид учетных данных, которые пользователь переслал контроллеру домена. Эта информация сохраняется в поле типа предварительной аутентификации (patype) события 672. Смарт-карты используют общие ключи для предварительной аутентификации и будут содержать значения 14, 15, 16 или 17 типа предварительной аутентификации. Таким образом, если вы увидите одно из значений типа предварительной аутентификации в событии 672 на контроллере домена, это будет означать, что пользователь зарегистрировался в Windows, используя смарт-карту.
Фактически эти значения типа предварительной аутентификации говорят о том, что система Windows использовала расширение протокола для аутентификации пользователя Kerberos Public Key Cryptography for Initial Authentication (PKINIT). Кроме регистрации по смарт-картам, PKINIT может применяться и для других видов аутентификации с Kerberos, основанных на общих ключах.
Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft