Как и договаривались, привожу перечень противоядий описанному в этом посте. Следуя этим рекомендациям можно значительно понизить шансы злоумышленника повысить свои привилегии после успешного проникновения в корпоративную сеть. Я не буду напоминать о необходимости обновлять используемое ПО, здесь речь пойдет только об учетных записях и паролях к ним.
1. Минимизируйте количество пользователей с правами доменного администратора. Желательно до двух человек. Я серьезно. В Active Directory нет объективной необходимости раздачи этих прав во все стороны. Все функции, для выполнения которых в большинстве компании айтишникам выдают доменных админов, можно делегировать.
2. Минимизируйте количество штатных пользователей с правами локального администратора.Желательно до нуля. Локальный админ должен быть у специалистов техподдержки и агентов хелпдеска, ТЧК. Причем это должна быть учетная запись отличная от обычной, под которой пользователь входит в систему интерактивно.
Ну например, В.Пупкин -- агент хелпдеска. У него есть логин vpupkin, под которым Василий входит в Windows на рабочем месте и запускает всяческое уязвимое ПО. В добавок к обычному аккаунту у Васи есть учетка vapupkin, которая состоит в доменной группе Local Admins, которая является подгруппой локальной группы Adminisratorsна всех ПК домена. Под ней он и помогает своим коллегам через Удаленный помощник, Run As... & Shell RunAs. Такая политика обеспечивает уверенность в том, что по крайней мере случайно ничего катостофического не произойдет.
3. Не кешируйте пароли на ПК. Конечно же, вообще не кешировать пароли не выйдет, ведь пользователям нужно логиниться на ноутбуках и тогда, когда они не подключены к корпоративной сети. Не кешируйте хотя бы пароли привилегированных пользователей, насколько мне известно, это можно настроить при помощи групповых политик AD. Обычно в этом месте начинаются контраргументы типа "А как в таком случае хелпдеску поддерживать удаленных пользователей?" А никак. Пропишите в SLA, что поддержке полежат только ПК, подключенные к корпоративной сети. Не можете пойти на такие радикальные меры? Проведите анализ рисков и уточните приоритеты. Возможно, оказание помощи коллегам, находящимся в отпуске, для вас важнее, чем угроза возникновения прав доменного администратора в руках злоумышленника.
4. Размер имеет значение. Для брутфорса восьмисимвольного пароля необходимы вычислительные ресурсы Amazon EC2стоимостью около 1,5 тысяч долларов. Не такая уж и серьезная сумма, не правда ли? Переводите домен на использование десяти-, а еще лучше, двенадцатисимвольных паролей. Сотрудники, которые в 2009 году испытывают сложности с выдумыванием длинных и сложных паролей, вероятно, прошли собеседование по ошибке. В качестве компенсации морального ущерба, проведите тренинг на тему персональной информационной безопасности и увеличьте срок истечения паролей, если у вас он меньше 90 дней.
Всем удачи в вашем нелегком деле, каким бы оно ни было.
Гранд-Каньон на пути к доменному админу
Гранд-Каньон на пути к доменному админу
