Модель защищенного доступа от Микрософта

Модель защищенного доступа от Микрософта


Почитал про то, как устроен доступ привилегированных пользователей у Микрософт ( http://aka.ms/cyberpaw ). Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа. Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.

name='more'>  
Обычно всё наоборот: компьютеры используются для повседневных задач, а для админского доступа подгружают защищённую ВМ, но это не спасает от атак уровня гипервизора и кейлоггеров. Так что обратный подход видится мне теперь более логичным. Хочешь проверить почту - загружай ВМ для интернета и сиди под обычным пользователем.

В целом контроль привилегированного доступа - одна из самых недооцененных задач ИБ. Откройте powershell на вашем корпоративном ПК и запустите такой командлет ( RSAT должны быть установлены ):
Get-LocalGroupMember -name Administrators |? {$_.ObjectClass -eq "Group"} | % {Get-ADGroupMember $_.name.Split('')[1] -Recursive} | select Name,SamAccountName,objectClass
Он покажет список всех доменных учёток внутри групп, которые имеют права локального админа на вашем ПК. Стоит одной из них попасть в лапы злоумышленников (или очередного NotPetya), и все ваши полностью пропатченные базы будут принадлежать им. 

Полезно так же составить лист таких учёток, добавить туда VIP и почтовые ящики , подгрузить список устройств из CMDB и скормить SIEM/MSSP. Любая подозрительная активность на таких ПК должна быть поводом для разбирательств. 

Ну и LAPS уже тоже давно стал мастхэв штукой для доменов любого размера. 
Полезно будет так же разработать, протестировать и периодически проводить процедуру двойного сброса пароля для служебного аккаунта KRBTGT

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Артем Агеев

root@itsec.pro:~#