Привет!
Сегодня мы начинаем переводить посты одного из наших авторов, знакомьтесь — Brian Svidergol, автор книги «Active Directory Cookbook». Брайан специализируется на проблемах ИТ-инфраструктуры, в т.ч. управлении AD, Exchange, системами хранения и др. Брайан щедро разбавил оригинальный текст общими фразами, поэтому мы постараемся выделить самую суть.
Принцип минимальных привилегий
Википедия содержит хорошую статью, посвященную принципу минимальных привилегий. В двух словах, соблюдать этот принцип – значит давать пользователю только те привилегии, которые абсолютно необходимы для выполнения его задач.
Внутренние инциденты ИБ
В сети содержатся совершенно различные данные о том, насколько критичными для безопасности ИТ систем могут быть внутренние угрозы. Я видел отчеты, в которых сказано, что только 15% вторжений осуществляются из корпоративной сети. Я видел и другие отчеты, которые говорят о 50%, но безопасное управление AD не состоит в том, чтобы узнать откуда проводится атака, не так важно, внутренняя это угроза или внешняя. Важно, что Active Directory почти всегда является главной целью атакующего. Получив контроль над AD, атакующий может управлять сотнями различных ИТ-систем, с помощью повышения привилегий. Приведем несколько примеров:
1) Microsoft Exchange. Администрирование Active Directory и управление серверами Exchange часто осуществляется разными ИТ-специалистами, но привилегии раздаются с помощью групп в AD.
Если у вас есть контроль над Active Directory – вы можете добавить себя в соответствующие группы и получить полный доступ ко всей почтовой подсистеме организации. Например, доступ к почтовым ящикам руководителей, возможность копирования конфиденциальной информации, возможность действовать от имени администратора с высоким уровнем доступа, таким как DBA.
2) Microsoft Lync. Ситуация похожа на Exchange: доступ на основе ролей, привилегии, раздаваемые с помощью групп AD. Добавьте себя в соответствующие группы, и вы сможете отправлять сообщения от имени любого пользователя организации. Вы сможете перенаправлять звонки, отменять запланированные встречи, читать журналы сообщений.
3) Общие папки. Большинство файловых ресурсов, общих папок и пр. контролируются с помощью групп AD. Часто наиболее конфиденциальная информация хранится именно в общих папках – данные о зарплатах, персональные данные сотрудников, учредительные документы. Атакующий, получивший контроль над AD может использовать PowerShell для того, чтобы быстро получить доступ к любому файловому ресурсу в корпоративной сети.
Видите, как быстро ситуация выходит из-под контроля? Предлагаем несколько советов, которые помогут сократить риски, использовать принцип минимальных привилегий:
Сотрудники службы Helpdesk могут сбросить пароль большинства пользователей в Active Directory.
В случае если сотрудник Helpdesk может сбросить пароль DBA, он может получить доступ к любой базе данных. На практике атакующие всегда ищут наиболее легкий способ получения доступа к ресурсам, поэтому им необязательно взламывать учетную запись администратора домена. «Фишинг» нескольких сотрудников поддержки и получение доступа к их учетным записям – всё, что необходимо в таких случаях.
Рекомендуем убедиться, что сотрудники поддержки не могут проводить сброс паролей привилегированных учетных записей, в таких случаях должны привлекаться специалисты по безопасности или использоваться защищенные методы самостоятельного сброса паролей.
Делегирование административных полномочий дополнительной учетной записи может снизить риски, связанные с фишинговыми атаками, уязвимостями браузеров или вирусной активностью. Администратор может читать письма, открывать веб-страницы и т.д. используя учетную запись, не наделенную повышенными полномочиями.
Служебные учетные записи в группе «Domain Admins». Думаю, вы часто бывали в ситуации, когда некоему софту необходима для работы служба, которая должна запускаться из-под служебной учетной записи. И конечно, эта учетная запись должна непременно входить в группу «Domain Admins». Первым адекватным шагом в такой ситуации будет запрос официальной документации от производителя софта. Возможно, что в документации описаны минимальные привилегии, необходимые для запуска и работы службы. Если же такой информации нет – рекомендуем обратиться к профильным форумам, возможно вы не первый, кто занимается установкой и настройкой этого продукта и решение уже найдено. В любом случае, хорошей практикой считается регулярная смена паролей служебных учетных записей. Вы можете автоматизировать этот процесс, а мы предоставим бесплатный инструмент для этого — Netwrix Privileged Account Manager.
Оригинал текста
_____
P.S. В целом, все это: сброс паролей для привилегированных учетных записей, действия, выполняемые с использованием дополнительной учетной записи и попытки повышения привилегий – можно легко отследить, при использовании программных средств для аудита изменений. Это не только позволит обезопасить инфраструктуру и данные, но и частично снизит нагрузку на администраторов и служду helpdesk. В качестве примера (вид отчетов, способы формирования, информативность отчетов) можно посмотреть Netwrix Auditor. Доступна пробная версия и онлайн тест-драйв.
Автор: NetWrixRU
