Kilka pytań do Active Directory

Witam, od jakiegoś czasu mam postawiony Serwer 2012, zrobione konta użytkowników AD, uprawnienia itd.
Wyszło kilka zapytań na które nie potrafię znaleźć odpowiedzi.

Przede wszystkim jeśli chodzi o kwestię zabezpieczeń na WS 2012

Pytanie pierwsze mam zainstalowany program XAMPP a na nim stoi baza danych na MySQL, mam takim program w firmie który właśnie z tego silnika korzysta.
Klienci (którzy są wpięci pod domenę) łączą się po OBDC do bazy, problem jest w tym że ci którzy nie są wpięci w domenę wpisując dane do OBDC też mogą się z bazą połączyć jak to zablokować aby tylko użytkownicy AD mieli dostęp?

Pytanie drugie , mam ustawione GPO dla użytkoników wszystko fajnie, nie mają praw do wejścia w panel sterowania, zmiany adresu IP kompa itp, itd. Co z tego jeśli wylogowując z konta domenowego i przełączając na konto lokalne komputera mogą wszystko zrobić (mało tego mogą nawet poprzez dysk C–>użytkownicy–> wejść na konto użytkownika domenowego i podejrzeć sobie aplikacje, foldery itd.
Jak zablokować całkowicie możliwość takie zachowania , chodzi o to aby komputer był tylko w domenie i żadna ingerencja w cokolwiek sytemowa nie była możliwa.

Trzecie pytanie i już ostatnie względem bezpieczeństwa podłączenie dysków zewnętrznych, kart pamięci, płyt mam to w GPO wyblokowane i działa ładnie, ale mamy w firmie mały skaner przenośny po odpięciu od portu i ponowym podpięciu przestaje działać, muszę wtedy znieść uprawnienia GPO podłączyć go znowu załączyć i działa ale czy jest jakaś możliwość przy blokowaniu zapisania uwierzytelnionych urządzeń? żeby przy podłączaniu nie trzeba było za każdym razem ich uwierzytelniać???

:wink: trochę zamęczyłem ale proszę o odpowiedz
pozdrawiam

Zobacz https://serverfault.com/questions/594366/windows-active-directory-authentication-and-xampp-apache-server

Co do reszty, to niestety nie mam pomysłu…

Hej,

  1. ODBC
    Zacznijmy od tego, że użytkownicy nie powinni znać tego hasła - tu jest największy problem. Uwierzytelnianie idzie przez konto przypisanie do ODBC i nie ma to nic wspólnego z AD - czy to będzie użytkownik domenowy, czy lokalny, to jak zna te dane, to bez problemu się zaloguje. Możesz zawsze przerzucić od strony ODBC na autoryzację po kontach AD i pojedyczne konta dopisać do SQLa.

  2. dokładnie ten sam problem - użytkownicy nie powinni mieć dostępu do kont lokalnych. Na tym polega konto lokalne z uprawnieniami administratora (bo pewnie takie mają, jak mogą wchodzić do katalogów do których nie powinni mieć dostępu). Zostaw sobie jedno konto awaryjne administratora, resztę zablokuj - problem rozwiązany.

Szczerze mówiąc - nie rozumiem ogólnie problemu: Twoje pytanie jest na zasadzie: “czemu osoba, która zna login i hasło administratora może z niego skorzystać”.

Włącz konto wbudowane administratora, nadaj mu jakaś nazwę nie kojarzącą się z kontem admina, czyli unika nazw admin, serwis itp. Usuń wszystkie konta lokalne. Zabezpiecz to konto hasłem i nikomu nie podawaj.

W GPO ustaw, aby na ekranie logowania nie pokazywało kont użytkowników i ostatnio używanego loginu. W ten sposób nikt nie będzie wiedział jak logujesz się na konto lokalne. Za każdym razem trzeba ręcznie wpisać login i hasło. Jeśli ktoś będzie marudził, że musi to wpisywać z palca zamiast wybrać z listy, zasłaniaj się RODO, wszyscy po tym słowie robią się potulni jak baranki.

Foldery użytkowników domeny masz niezabezpieczone, nawet administrator domeny nie powinien mieć prawa ich przeglądać. Ja w swojej domenie do katalogu użytkownika mogę zajrzeć tylko z konta użytkownika. Administrator wejdzie do folderu, ale nie widzi jego zawartości. Tak samo administrator lokalny.

Profile przechowujesz na dysku czy na serwerze?

Co do skanera, próbowałeś aktualizować polityki na komputerze?

Folder użytkowników domeny faktycznie mam prawodpodobnie niezabezpieczony ponieważ widzę je z poziomu administratora domeny, oraz konta lokalnego danego komputera na którym znajduje się folder. Jak to zabezpieczyć???

Profile przechowuje raczej na serwerze, aczkolwiek jakbyś mógł rozwinąć tą myśl…

Raczej?

Już sam nie wiem, podpowiedzcie jak sprawdzić…