Почитал про то, как устроен доступ привилегированных пользователей у Микрософт ( http://aka.ms/cyberpaw ). Рекомендации, в целом, стандартны - выделенная система для привилегированного доступа. Необычно тут то, что система с максимальным уровнем доступа (например enterprise admin) - это физический ПК, а менее привилегированные системы - это ВМ.
name='more'>
Обычно всё наоборот: компьютеры используются для повседневных задач, а для админского доступа подгружают защищённую ВМ, но это не спасает от атак уровня гипервизора и кейлоггеров. Так что обратный подход видится мне теперь более логичным. Хочешь проверить почту - загружай ВМ для интернета и сиди под обычным пользователем.
В целом контроль привилегированного доступа - одна из самых недооцененных задач ИБ. Откройте powershell на вашем корпоративном ПК и запустите такой командлет ( RSAT должны быть установлены ):
Get-LocalGroupMember -name Administrators |? {$_.ObjectClass -eq "Group"} | % {Get-ADGroupMember $_.name.Split('')[1] -Recursive} | select Name,SamAccountName,objectClassОн покажет список всех доменных учёток внутри групп, которые имеют права локального админа на вашем ПК. Стоит одной из них попасть в лапы злоумышленников (или очередного NotPetya), и все ваши полностью пропатченные базы будут принадлежать им.
Полезно так же составить лист таких учёток, добавить туда VIP и почтовые ящики , подгрузить список устройств из CMDB и скормить SIEM/MSSP. Любая подозрительная активность на таких ПК должна быть поводом для разбирательств.
Ну и LAPS уже тоже давно стал мастхэв штукой для доменов любого размера.
Полезно будет так же разработать, протестировать и периодически проводить процедуру двойного сброса пароля для служебного аккаунта KRBTGT
