Active Directory и безопасность. Часть 1. Построение защищенных служб каталога

 СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS, wsv121@mail.ru

 ЛЕОНИД ШАПИРО, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, CCEE, shapiro_leonid@yahoo.com

Active Directory и безопасность
Часть 1. Построение защищенных служб каталога

Служба каталогов (СК) является основой построения информационных систем огромного количества организаций. Безопасность СК становится одним из ключевых вопросов, независимо от размеров предприятия

Уровень защищенности службы каталогов нередко определяет уровень безопасности всей компании. Целесообразно максимально усложнить деятельность злоумышленника, уменьшив возможные области атаки, проводить регулярный мониторинг системы в целях выявления злонамеренных действий и всегда быть готовым к отражению атак, имея детальные планы действий для разных ситуаций.

Еще в далеком 2000 году Scott Culp опубликовал статью «10 Immutable Laws of Security Administration» [1]. Ее актуальность по-прежнему очень высока, несмотря на то что с тех пор прошло уже 14 лет. К сожалению, далеко не все ИТ и ИБ-специалисты знакомы с этой важнейшей статьей, и поэтому угрозы их системам по-прежнему чрезвычайно велики.

Первым основополагающим законом ИБ, о котором рассказывается в статье, является следующий: «Никто не верит, что может произойти что-то плохое до тех пор, пока оно на самом деле не происходит» [1]. Выполняя аудит службы каталогов, мы регулярно встречались с ситуацией, когда администраторы ИТ и ИБ не уделяют должного внимания защите AD DS, будучи уверенными, что их системе ничего не угрожает, например, от «внутреннего» злоумышленника, что часто приводит к печальным последствиям.

Нам доводилось встречать организации, в которых ИТ-службы были обеспокоены лишь некоторыми аспектами ИБ, забывая при этом об инфраструктурных сервисах, что в результате могло приводить, а нередко и приводило, к компрометации системы, похищению и потерям данных.

Таким образом, не следует заботиться об одном из аспектов ИБ, пренебрегая другим. Подход к обеспечению ИБ должен быть комплексным, необходимо постараться учесть все особенности. Здесь как раз может помочь модель глубоко эшелонированной обороны компании Microsoft [2], которая дает возможность обеспечить декомпозицию.

В рамках этой модели предусматриваются разделение всего ИТ-окружения на уровни защиты и применение наилучших практик безопасности к каждому из них. Подобная схема позволяет выполнить общую декомпозицию и упростить защиту системы в целом (см. рис. 1).

Рисунок 1. Уровни защиты ИТ-окружения

Проблемы построения безопасных ИТ-инфраструктур являются актуальными для любых организаций. Как только возникает потребность в ИТ-решениях, тут же встает вопрос их безопасности. Не существует абсолютно неуязвимых с точки зрения ИБ организаций, тем не менее необходимо создать как можно больше трудностей злоумышленнику, пытающемуся скомпрометировать или уничтожить ИТ-инфраструктуру компании. Если мы говорим о ИТ-средах на основе ПО Microsoft, то обеспечение безопасности службы каталога – важнейшая задача ИТ и ИБ-отделов предприятия.

На что следует обратить особое внимание, проектируя и поддерживая AD?

Здесь имеет смысл воспользоваться базовыми рекомендациями, содержащимися в руководстве Best Practices for Securing Active Directory [3]. Ниже представлен перечень мер, которые помогут значительно снизить вероятность повреждения или внесения несанкционированных изменений в базу данных Active Directory.

1) Своевременное обновление ОС и ПО позволяет уменьшить вероятность компрометации системы и осуществления несанкционированной злонамеренной деятельности внутри ИТ-инфраструктуры организации. Проводимое на регулярной основе обновление серверов и рабочих станций организации является обязательным требованием для повышения уровня безопасности службы каталога.

2) Эффективная антивирусная защита и защита от зловредного ПО позволяет существенно повысить защищенность ИТ-инфраструктуры организации в целом.

3) Регулярное резервное копирование AD обеспечивает возможность оперативно восстановить БД СК и удаленные в результате ошибочных действий администраторов объекты AD, а также службу каталога в ситуации катастрофического сбоя. Здесь, разумеется, не стоит забывать о правильном хранении резервных копий.

4) Эффективная стратегия именования объектов позволяет администраторам службы AD эффективно идентифицировать объекты и управлять данными, хранящимися в AD, минимизируя возможность некорректного назначения прав доступа, делегирования полномочий и назначения политик.

5) Безопасность контроллеров доменов (DC) обеспечивают серверы, хранящие реплику БД службы каталога AD, которые выполняют функции управления данными AD. Если доступ к контроллеру домена получает злоумышленник, то его деструктивные действия могут вывести из строя или скомпрометировать всю организацию. Обеспечение безопасности контроллеров домена – одна из наиболее важных задач службы ИБ [4].

6) Защита учетных записей привилегированных пользователей. Учетные записи администраторов сервисов и администраторов данных представляют интерес для взломщика, т.к. дают доступ к ключевым функциям системы и к объектам службы каталога. Необходимо обеспечить их безопасность и мониторинг [5]. Ошибочное включение пользователей в высокопривилегированные группы может привести к краху системы как из-за отсутствия достаточных знаний и навыков, так и в результате злонамеренных действий.

7) Использование дополнительных возможностей ОС по обеспечению безопасности. Иногда ИТ-администраторы отключают ряд систем защиты ОС или ее отдельных служб для упрощения выполнения повседневных рутинных задач. Характерные примеры – User Account Control и Windows Firewall. Не обеспечив использование более совершенных средств защиты, администратор отказывается от имеющихся под рукой и централизованно управляемых встроенных средств ОС, понижая общий уровень безопасности.

8) Использование принципа наименьших привилегий позволит существенно повысить уровень безопасности, уменьшая для злоумышленника область атаки.

9) Блокировка возможности развертывания и выполнения неавторизованных приложений и сервисов, очевидно, повышает безопасность системы.

10) Наличие доступа к Интернету значительно снижает безопасность всей инфраструктуры. Обеспечение безопасного доступа в Интернет и доступа из Интернета к ресурсам организации является одной из важнейших задач по повышению общего уровня безопасности системы. Более детально сводные рекомендации по построению защищенных служб каталога на основе Microsoft AD представлены в таблице 1.

Таблица 1. Сводные рекомендации по построению защищенных служб каталога на основе Microsoft Active Directory

В дальнейшем мы рассмотрим технологии реализации ряда представленных выше рекомендаций с помощью возможностей, предоставляемых нам самой службой каталога Microsoft Active Directory Domain Services.

1. Статья «10 Immutable Laws of Security Administration» – http://technet.microsoft.com/en-us/library/cc722488.aspx.
2. Security Content Overview – http://technet.microsoft.com/en-us/library/cc767969.aspx.
3. Best Practices for Securing Active Directory – http://www.microsoft.com/en-us/download/details.aspx?id=38785.
4. Deploying Secure Domain Controllers – http://technet.microsoft.com/en-us/library/cc773219(v=ws.10).aspx.
5. Securing Active Directory Administrative Groups and Accounts – http://technet.microsoft.com/en-us/library/cc700835.aspx.

Комментарии могут оставлять только зарегистрированные пользователи