Active Directory и безопасность. Часть 1. Построение защищенных служб каталога::Журнал СА 7-8.2014
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6412
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4394
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3232
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7363
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10724
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12444
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14095
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Active Directory и безопасность. Часть 1. Построение защищенных служб каталога

Архив номеров / 2014 / Выпуск №7-8 (140-141) / Active Directory и безопасность. Часть 1. Построение защищенных служб каталога

Рубрика: Безопасность /  ИТ-инфраструктура

Степан Москалев СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS, wsv121@mail.ru

Леонид Шапиро ЛЕОНИД ШАПИРО, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, CCEE, shapiro_leonid@yahoo.com

Active Directory и безопасность
Часть 1. Построение защищенных служб каталога

Служба каталогов (СК) является основой построения информационных систем огромного количества организаций. Безопасность СК становится одним из ключевых вопросов, независимо от размеров предприятия

Уровень защищенности службы каталогов нередко определяет уровень безопасности всей компании. Целесообразно максимально усложнить деятельность злоумышленника, уменьшив возможные области атаки, проводить регулярный мониторинг системы в целях выявления злонамеренных действий и всегда быть готовым к отражению атак, имея детальные планы действий для разных ситуаций.

Еще в далеком 2000 году Scott Culp опубликовал статью «10 Immutable Laws of Security Administration» [1]. Ее актуальность по-прежнему очень высока, несмотря на то что с тех пор прошло уже 14 лет. К сожалению, далеко не все ИТ и ИБ-специалисты знакомы с этой важнейшей статьей, и поэтому угрозы их системам по-прежнему чрезвычайно велики.

Первым основополагающим законом ИБ, о котором рассказывается в статье, является следующий: «Никто не верит, что может произойти что-то плохое до тех пор, пока оно на самом деле не происходит» [1]. Выполняя аудит службы каталогов, мы регулярно встречались с ситуацией, когда администраторы ИТ и ИБ не уделяют должного внимания защите AD DS, будучи уверенными, что их системе ничего не угрожает, например, от «внутреннего» злоумышленника, что часто приводит к печальным последствиям.

Нам доводилось встречать организации, в которых ИТ-службы были обеспокоены лишь некоторыми аспектами ИБ, забывая при этом об инфраструктурных сервисах, что в результате могло приводить, а нередко и приводило, к компрометации системы, похищению и потерям данных.

Таким образом, не следует заботиться об одном из аспектов ИБ, пренебрегая другим. Подход к обеспечению ИБ должен быть комплексным, необходимо постараться учесть все особенности. Здесь как раз может помочь модель глубоко эшелонированной обороны компании Microsoft [2], которая дает возможность обеспечить декомпозицию.

В рамках этой модели предусматриваются разделение всего ИТ-окружения на уровни защиты и применение наилучших практик безопасности к каждому из них. Подобная схема позволяет выполнить общую декомпозицию и упростить защиту системы в целом (см. рис. 1).

Рисунок 1. Уровни защиты ИТ-окружения

Рисунок 1. Уровни защиты ИТ-окружения

Проблемы построения безопасных ИТ-инфраструктур являются актуальными для любых организаций. Как только возникает потребность в ИТ-решениях, тут же встает вопрос их безопасности. Не существует абсолютно неуязвимых с точки зрения ИБ организаций, тем не менее необходимо создать как можно больше трудностей злоумышленнику, пытающемуся скомпрометировать или уничтожить ИТ-инфраструктуру компании. Если мы говорим о ИТ-средах на основе ПО Microsoft, то обеспечение безопасности службы каталога – важнейшая задача ИТ и ИБ-отделов предприятия.

На что следует обратить особое внимание, проектируя и поддерживая AD?

Здесь имеет смысл воспользоваться базовыми рекомендациями, содержащимися в руководстве Best Practices for Securing Active Directory [3]. Ниже представлен перечень мер, которые помогут значительно снизить вероятность повреждения или внесения несанкционированных изменений в базу данных Active Directory.

1) Своевременное обновление ОС и ПО позволяет уменьшить вероятность компрометации системы и осуществления несанкционированной злонамеренной деятельности внутри ИТ-инфраструктуры организации. Проводимое на регулярной основе обновление серверов и рабочих станций организации является обязательным требованием для повышения уровня безопасности службы каталога.

2) Эффективная антивирусная защита и защита от зловредного ПО позволяет существенно повысить защищенность ИТ-инфраструктуры организации в целом.

3) Регулярное резервное копирование AD обеспечивает возможность оперативно восстановить БД СК и удаленные в результате ошибочных действий администраторов объекты AD, а также службу каталога в ситуации катастрофического сбоя. Здесь, разумеется, не стоит забывать о правильном хранении резервных копий.

4) Эффективная стратегия именования объектов позволяет администраторам службы AD эффективно идентифицировать объекты и управлять данными, хранящимися в AD, минимизируя возможность некорректного назначения прав доступа, делегирования полномочий и назначения политик.

5) Безопасность контроллеров доменов (DC) обеспечивают серверы, хранящие реплику БД службы каталога AD, которые выполняют функции управления данными AD. Если доступ к контроллеру домена получает злоумышленник, то его деструктивные действия могут вывести из строя или скомпрометировать всю организацию. Обеспечение безопасности контроллеров домена – одна из наиболее важных задач службы ИБ [4].

6) Защита учетных записей привилегированных пользователей. Учетные записи администраторов сервисов и администраторов данных представляют интерес для взломщика, т.к. дают доступ к ключевым функциям системы и к объектам службы каталога. Необходимо обеспечить их безопасность и мониторинг [5]. Ошибочное включение пользователей в высокопривилегированные группы может привести к краху системы как из-за отсутствия достаточных знаний и навыков, так и в результате злонамеренных действий.

7) Использование дополнительных возможностей ОС по обеспечению безопасности. Иногда ИТ-администраторы отключают ряд систем защиты ОС или ее отдельных служб для упрощения выполнения повседневных рутинных задач. Характерные примеры – User Account Control и Windows Firewall. Не обеспечив использование более совершенных средств защиты, администратор отказывается от имеющихся под рукой и централизованно управляемых встроенных средств ОС, понижая общий уровень безопасности.

8) Использование принципа наименьших привилегий позволит существенно повысить уровень безопасности, уменьшая для злоумышленника область атаки.

9) Блокировка возможности развертывания и выполнения неавторизованных приложений и сервисов, очевидно, повышает безопасность системы.

10) Наличие доступа к Интернету значительно снижает безопасность всей инфраструктуры. Обеспечение безопасного доступа в Интернет и доступа из Интернета к ресурсам организации является одной из важнейших задач по повышению общего уровня безопасности системы. Более детально сводные рекомендации по построению защищенных служб каталога на основе Microsoft AD представлены в таблице 1.

Таблица 1. Сводные рекомендации по построению защищенных служб каталога на основе Microsoft Active Directory

Рекомендация Цели использования
Обновление ОС и приложений Предотвращение угроз
Внедрение, своевременное обновление антивирусного ПО на всех системах. Мониторинг попыток отключения и удаления вышеназванного ПО Обнаружение и предотвращение угроз
Мониторинг объектов AD на предмет обнаружения попыток их изменения Предотвращение угроз
Защита и мониторинг УЗ пользователей, имеющих доступ к критично важной информации организации Предотвращение угроз
Блокировка использования привилегированных УЗ с неавторизованных систем Предотвращение угроз
Минимизация постоянного членства в высокопривилегированных группах Предотвращение угроз
Внедрение контроля предоставления временного членства в высокопривилегированных группах Предотвращение угроз
Внедрение безопасности АРМ привилегированных пользователей и администраторов ИБ и ИТ Предотвращение угроз
Использование списков разрешенных приложений на контроллерах доменов и других системах, требующих высокого уровня защищенности Предотвращение угроз
Выявление приоритетных критически важных задач в области ИБ организации Обнаружение и предотвращение угроз
Внедрение ролевой модели управления системой, основанной на принципах использования наименьших привилегий Предотвращение угроз
Выявление устаревших систем, их изоляция Предотвращение угроз
Вывод из эксплуатации устаревших систем и приложений Предотвращение угроз
Внедрение систем управления конфигурациями оборудования и ПО Предотвращение угроз
Миграция критически важных объектов в защищенную среду. Внедрение мониторинга Обнаружение и предотвращение угроз
Разработка и внедрение политик и регламентов безопасности для сотрудников организации Предотвращение угроз
Использование локальных брандмауэров и обеспечение безопасности сетевого взаимодействия Предотвращение угроз
Своевременное обновление аппаратного обеспечения систем Предотвращение угроз
Внедрение регламентов работы с инцидентами ИБ, планов (сценариев) восстановления систем -

В дальнейшем мы рассмотрим технологии реализации ряда представленных выше рекомендаций с помощью возможностей, предоставляемых нам самой службой каталога Microsoft Active Directory Domain Services.

  1. Статья «10 Immutable Laws of Security Administration» – http://technet.microsoft.com/en-us/library/cc722488.aspx.
  2. Security Content Overview – http://technet.microsoft.com/en-us/library/cc767969.aspx.
  3. Best Practices for Securing Active Directory – http://www.microsoft.com/en-us/download/details.aspx?id=38785.
  4. Deploying Secure Domain Controllers – http://technet.microsoft.com/en-us/library/cc773219(v=ws.10).aspx.
  5. Securing Active Directory Administrative Groups and Accounts – http://technet.microsoft.com/en-us/library/cc700835.aspx.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru