Следует сказать, что независимо от того, насколько безопасной вы можете сделать свою операционную систему или службу, она безопасна на уровне самого слабого пароля.
Например, предположим, что у вас самые деликатные данные на земле и вы, используя самые современные технологии, зашифровали их, но если вы используете такой пароль как «Password01» – он полностью ломает всю вашу цепь технологий безопасности.
Давайте рассмотрим другой сценарий. Прогуляйтесь по своему офису и подсчитайте, сколько человек написали свои пароли на бумажку и сунули их под клавиатуру или закрепили на монитор. Затем посмотрите, сколько людей держат на столе фотографии своей семьи или домашних животных. Когда эти люди должны придумать пароль, какова вероятность того, что это будет что-то личное, основанное на фотографии?
Теперь давайте рассмотрим окончательный сценарий: социальная инженерия нападения. В этой конкретной форме атаки, которая является основной причиной прорех в безопасности, злоумышленник говорит, что он работает в ИТ, и ему нужно проверить некоторые данные учётной записи. Если злоумышленник хорошо знает своё дело, то несчастные жертвы скорее всего легко предоставят информацию.
Учитывая эти сценарии, злоумышленник получит доступ к чему-то и потенциально использует этот доступ для эскалации атаки. Но, что делать, если одна из учётных записей была привилегированной?
Содержание:
Стратегия обеспечения привилегированного доступа
Обеспечение привилегированного доступа это не отдельная технология; это набор практик, которые может реализовать организация для своей безопасности. Несмотря на то, что основное внимание уделяется привилегированному доступу, в нем подчёркивается необходимость того, чтобы любая организация осуществляла и тестировала все, связанные с безопасностью, политики и обеспечивала необходимую готовность информировать людей о потенциальных областях угроз.
Для пользователей, которые имеют доступ к сети, она никогда не будет на 100% безопасной, но идя по пути обеспечения привилегированного доступа к системам и сетям, вы должны соблюдать следующие основы:
- Обновления. Развёртывание обновлений к контроллерам домена в течение семи дней после выпуска.
- Удаление пользователей с правами локальных администраторов. Отслеживать и удалять пользователей из локальных администраторов, если такой доступ в данный момент не нужен. Если требуется, для централизованного управления членством, используйте Active Directory.
- Базовые политики безопасности. Развёртывать политики, которые будут поддерживать стандартную конфигурацию для организации. Основанные на приложениях и определённых требованиях исключения конечно будут, но их для обеспечения максимально возможной совместимости системы, следует вызывать на повторной основе.
- Антивирусные программы. Поддерживать регулярное обновление и регулярное сканирование окружающей среды. Очищать и удалять угрозы как можно быстрее.
- Журнал и анализ. Собирать информацию о безопасности, проводить регулярные обзоры и выявление аномалий в параметрах журнала. Выполните последующие действия по каждому обнаруженному элементу, чтобы убедиться, что он является идентифицированным источником и защищён от «рисков».”
- Инвентаризация и развёртывание программного обеспечения.
Для обеспечения того, чтобы конечные пользователи не устанавливали в окружающую среду вредоносное ПО, первостепенное значение имеет управление установленным в среде программным обеспечением. Таким же образом важно знать установленное программное обеспечение и проводить инвентаризацию, чтобы точно знать, изменилось ли состояние системы.
Учитывая основы мы можем перейти к более подробной информации о стратегии, лежащей в основе обеспечения привилегированного доступа. Имейте в виду, что вы не достигнете этой стратегии в одночасье, это должно быть построено как прогрессивная реализация, так чтобы практика организации могла измениться и адаптироваться к новым принципам.
Как и в большинстве стратегий, вам необходимо установить краткосрочные, среднесрочные и долгосрочные цели. В следующей таблице описаны цели и временные рамки, которые вы должны использовать, а также области фокусирования для каждой цели.
Цель | Сроки | Описание |
Краткосрочные | От 2 до 4 недель | Быстрое смягчение наиболее часто используемых атак |
Среднесрочные | 1- 3-месячный план | Повысить наглядность и контроль над административной деятельностью |
Долгосрочная перспектива | 6 месяцев и более | Создайте упреждающее состояние безопасности |
Краткосрочный план
Для краткосрочной цели, чтобы обеспечить безопасную базу, в любой организации крайне важно смягчить наиболее часто используемые атаки.
Одно из первых, что вам нужно сделать, это установить разделение обязанностей. Это означает, если вам нужно выполнить задачу с привилегированным доступом, для её выполнения у вас должна быть соответствующая учётная запись с привилегированным доступом.
Для выполнения задач в сети, вы не должны предоставлять привилегированный доступ стандартной учётной записи пользователя. Эта учётная запись всегда должна считаться пользователем.
Создаваемая для задач учётная запись привилегированного доступа, должна быть проверена и отслеживаться более подробно. Потому что поддерживая для этой учётной записи другой набор учётных данных, с более строгими требованиями, при её компрометации, вы сможете смягчить атаку.
Ранее, защита локальной учётной записи администратора выполнялась во время развёртывания и редко менялась после её установки. Обычно пароль сохранялся на всех рабочих местах, что при его компрометации приводило к огромной проблеме.
Однако, если вы везде один и тот же пароль не используете, у вас, при попытке запомнить уникальный пароль для каждой из рабочих станций, может возникнуть более сложная проблема. Чтобы помочь вам управлять паролями локального администратора для рабочих станций и серверов, корпорация Майкрософт предоставляет инструмент под названием Local Administrator Password Solution (LAPS).
LAPS создаёт в среде уникальный пароль для каждого сервера и рабочей станции и сохраняет их в Active Directory как конфиденциальный атрибут компьютерного объекта. Там есть соответствующий список контроля доступа, так что получить нужный доступ по мере необходимости могут только соответствующие учётные записи.
Дополнительная информация о LAPS на http://aka.ms/LAPS.
Заключительная ключевая часть краткосрочных целей должна быть сосредоточена вокруг создания Privileged-Access Workstations (PAWs).
PAW - это надёжные рабочие станции, реализованные специально для того, чтобы действовать как контролируемая точка администрирования для более безопасных систем. У PAW ограниченный доступ к Интернету или небезопасным ресурсам, что гарантирует сведение уровня внешних атак к абсолютному минимуму.
Только ограниченный список авторизованных пользователей сможет войти в PAW, что, в свою очередь, снизит способность атаковать защищённую часть сетей.
Дополнительная информация о PAWs, на http://aka.ms/CyberPAW.
На рисунке ниже показаны шаги, которые вы можете предпринять как часть своего краткосрочного плана.
На рисунке показаны четыре отдельные области:
- Для административных задач, на рисунке Admin User, создайте отдельную учётную запись администратора.
- Развёртывание PAW для администраторов Active Directory. Для получения дополнительной информации перейдите на страницу http://aka.ms/cyberPAW, где этот шаг показан как этап 1.
- Создание уникального LAPS для рабочих станций. Больше информации на http://aka.ms/LAPS.
- Создание уникального LAPS для серверов. Больше информации на http://aka.ms/LAPS.
Среднесрочный план
Первое, что вам нужно сделать для вашего среднесрочного плана - это расширить развёртывание PAW, чтобы вы могли привлечь в сферу действия больше систем, которыми вы можете управлять только с этих рабочих станций.
Исходя из этого, вы должны сфокусироваться на реализации ограничений по времени; то есть пользователь может запрашивать привилегии, срок действия которых истекает через определённый период времени.
Это означает — так как пользователи могут запросить нужный им доступ, получить его и выполнить необходимые задачи, быть фактическими администраторами нет необходимости. Эта концепция основана на Microsoft Identity Manager и предоставляемых JEA функциях.
Также, для дальнейшего ослабления связанных с привилегированным доступом атак на системы, следует реализовать многофакторную аутентификацию. Вы можете сделать это используя безопасность на основе маркера, обратного вызова или смарт-карты. Далее, вы можете приступить к реализации JEA.
JEA в принципе прост, поскольку только определяет какое минимальное количество привилегий вы можете предоставить учётной записи для выполнения данной функции. Мы будем более подробно говорить о JEA далее.
Следующим шагом является дальнейшее обеспечение безопасности контроллеров домена, и заканчивается реализацией обнаружения угроз через Advanced Threat Analytics (ATA). ATA способна обнаружить ненормальное поведение в системах и быстро вам об этом сообщить. Он делает это профилируя поведение ваших пользователей и устанавливая стандартные шаблоны пользователя. Если пользователь делает что-то за пределами этой нормы, ATA предупредит вас.
АТА - гораздо более продвинута, чем предполагает это простое объяснение. Чтобы узнать больше, перейдите на http://aka.ms/ata.
Следующий рисунок показывает иллюстрированный обзор среднесрочного плана.
На рисунке показаны шесть отдельных областей:
- Расширьте PAW для всех администраторов и обеспечьте дополнительную защиту, такую как Credential Guard и RDP Restricted Admin. Для получения дополнительной информации перейдите на http://aka.ms/CyberPAW, где это показано в этапах 2 и 3.
- Установите сроки привилегий (без постоянных администраторов). Для получения дополнительной информации перейдите на http://aka.ms/AzurePIM.
- Создайте многофакторный профиль. Для получения дополнительной информации посетите http://aka.ms/PAM.
- Предоставьте JEA для обслуживания контроллера домена. Больше информации на http://aka.ms/JEA.
- Снизьте внешние атаки на домены и контролёры доменов. Больше информации на http://aka.ms/HardenAD.
- Осуществите обнаружение атак для ваших серверов и контроллеров домена. Для получения дополнительной информации посетите http://aka.ms/ata.
Долгосрочный план
Долгосрочные цели детализируют финальные, на сегодняшний день, части постоянно меняющейся стратегии. Обеспечение безопасности среды никогда не останавливается.
Поэтому эту стратегию в течение времени нужно пересматривать и адаптировать, но это даст вам основы для начала и роста.
Как и с разработкой программного обеспечения, в отношении управления доступа к ресурсам следует применить жизненный цикл. Ваш подход должен основываться на последних принципах и JEA. Исходя из этого, всем администраторам должны выдаваться сильные механизмы аутентификации, такие как SmartCard или Passport Authentication.
Чтобы действительно улучшить защиту, можно реализовать безопасные области, которые изолированы от традиционных пользовательских областей. Здесь, в этой окружающей среде вы можете хранить наиболее безопасные системы и быть полностью изолированы от производственной сети. Следующий раздел - реализация целостности кода, обеспечивающая, что на системах может выполняться только авторизованный код.
Наконец можно использовать новую функцию Hyper-V Server 2016, которая называется экранированные виртуальные машины. Она для шифрования VM использует Generation 2 VM. В этом случае вы можете начать с фокусировки на контроллерах домена, чтобы злоумышленник не мог инспектировать виртуальную машину, копировать с её дисков или для получения к ней доступа сделать атаку на хост. Экранированные VM описаны далее.
На рисунке указаны следующие области:
- Модернизация ролей и модель делегирования
- Реализация аутентификации с помощью смарт-карты или паспорта для всех администраторов (http://aka.ms/passport)
- Создание конкретных администраторов областей для администраторов Active Directory (http://aka.ms/ESAE)
- Реализация политики обеспечения целостности кода для контроллеров домена в Windows Server 2016
- Реализация экранированных VM для контроллеров домена в Windows Server 2016 и структур Hyper-V (http://aka.ms/shieldedvms)