Active Directory и безопасность. Часть 1. Построение защищенных служб каталога::Журнал СА 7-8.2014
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы
1001 и 1 книга  
12.02.2021г.
Просмотров: 8881
Комментарии: 2
Коротко о корпусе. Как выбрать системный блок под конкретные задачи

 Читать далее...

11.02.2021г.
Просмотров: 9220
Комментарии: 5
Василий Севостьянов: «Как безболезненно перейти с одного продукта на другой»

 Читать далее...

20.12.2019г.
Просмотров: 16376
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 15430
Комментарии: 13
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 16468
Комментарии: 6
Анализ вредоносных программ

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Active Directory и безопасность. Часть 1. Построение защищенных служб каталога

Архив номеров / 2014 / Выпуск №7-8 (140-141) / Active Directory и безопасность. Часть 1. Построение защищенных служб каталога

Рубрика: Безопасность /  ИТ-инфраструктура

Степан Москалев СТЕПАН МОСКАЛЕВ, инженер ИТ-систем, MCSE, MCSE:S, MCSE:M, MCITP EA, MCITP EMA, HP AIS, wsv121@mail.ru

Леонид Шапиро ЛЕОНИД ШАПИРО, архитектор ИТ-систем, MVP, MCT, MCSE, MCITP:EA, MCSE:S, MCSE:M, CCEE, shapiro_leonid@yahoo.com

Active Directory и безопасность
Часть 1. Построение защищенных служб каталога

Служба каталогов (СК) является основой построения информационных систем огромного количества организаций. Безопасность СК становится одним из ключевых вопросов, независимо от размеров предприятия

Уровень защищенности службы каталогов нередко определяет уровень безопасности всей компании. Целесообразно максимально усложнить деятельность злоумышленника, уменьшив возможные области атаки, проводить регулярный мониторинг системы в целях выявления злонамеренных действий и всегда быть готовым к отражению атак, имея детальные планы действий для разных ситуаций.

Еще в далеком 2000 году Scott Culp опубликовал статью «10 Immutable Laws of Security Administration» [1]. Ее актуальность по-прежнему очень высока, несмотря на то что с тех пор прошло уже 14 лет. К сожалению, далеко не все ИТ и ИБ-специалисты знакомы с этой важнейшей статьей, и поэтому угрозы их системам по-прежнему чрезвычайно велики.

Первым основополагающим законом ИБ, о котором рассказывается в статье, является следующий: «Никто не верит, что может произойти что-то плохое до тех пор, пока оно на самом деле не происходит» [1]. Выполняя аудит службы каталогов, мы регулярно встречались с ситуацией, когда администраторы ИТ и ИБ не уделяют должного внимания защите AD DS, будучи уверенными, что их системе ничего не угрожает, например, от «внутреннего» злоумышленника, что часто приводит к печальным последствиям.

Нам доводилось встречать организации, в которых ИТ-службы были обеспокоены лишь некоторыми аспектами ИБ, забывая при этом об инфраструктурных сервисах, что в результате могло приводить, а нередко и приводило, к компрометации системы, похищению и потерям данных.

Таким образом, не следует заботиться об одном из аспектов ИБ, пренебрегая другим. Подход к обеспечению ИБ должен быть комплексным, необходимо постараться учесть все особенности. Здесь как раз может помочь модель глубоко эшелонированной обороны компании Microsoft [2], которая дает возможность обеспечить декомпозицию.

В рамках этой модели предусматриваются разделение всего ИТ-окружения на уровни защиты и применение наилучших практик безопасности к каждому из них. Подобная схема позволяет выполнить общую декомпозицию и упростить защиту системы в целом (см. рис. 1).

Рисунок 1. Уровни защиты ИТ-окружения

Рисунок 1. Уровни защиты ИТ-окружения

Проблемы построения безопасных ИТ-инфраструктур являются актуальными для любых организаций. Как только возникает потребность в ИТ-решениях, тут же встает вопрос их безопасности. Не существует абсолютно неуязвимых с точки зрения ИБ организаций, тем не менее необходимо создать как можно больше трудностей злоумышленнику, пытающемуся скомпрометировать или уничтожить ИТ-инфраструктуру компании. Если мы говорим о ИТ-средах на основе ПО Microsoft, то обеспечение безопасности службы каталога – важнейшая задача ИТ и ИБ-отделов предприятия.

На что следует обратить особое внимание, проектируя и поддерживая AD?

Здесь имеет смысл воспользоваться базовыми рекомендациями, содержащимися в руководстве Best Practices for Securing Active Directory [3]. Ниже представлен перечень мер, которые помогут значительно снизить вероятность повреждения или внесения несанкционированных изменений в базу данных Active Directory.

1) Своевременное обновление ОС и ПО позволяет уменьшить вероятность компрометации системы и осуществления несанкционированной злонамеренной деятельности внутри ИТ-инфраструктуры организации. Проводимое на регулярной основе обновление серверов и рабочих станций организации является обязательным требованием для повышения уровня безопасности службы каталога.

2) Эффективная антивирусная защита и защита от зловредного ПО позволяет существенно повысить защищенность ИТ-инфраструктуры организации в целом.

3) Регулярное резервное копирование AD обеспечивает возможность оперативно восстановить БД СК и удаленные в результате ошибочных действий администраторов объекты AD, а также службу каталога в ситуации катастрофического сбоя. Здесь, разумеется, не стоит забывать о правильном хранении резервных копий.

4) Эффективная стратегия именования объектов позволяет администраторам службы AD эффективно идентифицировать объекты и управлять данными, хранящимися в AD, минимизируя возможность некорректного назначения прав доступа, делегирования полномочий и назначения политик.

5) Безопасность контроллеров доменов (DC) обеспечивают серверы, хранящие реплику БД службы каталога AD, которые выполняют функции управления данными AD. Если доступ к контроллеру домена получает злоумышленник, то его деструктивные действия могут вывести из строя или скомпрометировать всю организацию. Обеспечение безопасности контроллеров домена – одна из наиболее важных задач службы ИБ [4].

6) Защита учетных записей привилегированных пользователей. Учетные записи администраторов сервисов и администраторов данных представляют интерес для взломщика, т.к. дают доступ к ключевым функциям системы и к объектам службы каталога. Необходимо обеспечить их безопасность и мониторинг [5]. Ошибочное включение пользователей в высокопривилегированные группы может привести к краху системы как из-за отсутствия достаточных знаний и навыков, так и в результате злонамеренных действий.

7) Использование дополнительных возможностей ОС по обеспечению безопасности. Иногда ИТ-администраторы отключают ряд систем защиты ОС или ее отдельных служб для упрощения выполнения повседневных рутинных задач. Характерные примеры – User Account Control и Windows Firewall. Не обеспечив использование более совершенных средств защиты, администратор отказывается от имеющихся под рукой и централизованно управляемых встроенных средств ОС, понижая общий уровень безопасности.

8) Использование принципа наименьших привилегий позволит существенно повысить уровень безопасности, уменьшая для злоумышленника область атаки.

9) Блокировка возможности развертывания и выполнения неавторизованных приложений и сервисов, очевидно, повышает безопасность системы.

10) Наличие доступа к Интернету значительно снижает безопасность всей инфраструктуры. Обеспечение безопасного доступа в Интернет и доступа из Интернета к ресурсам организации является одной из важнейших задач по повышению общего уровня безопасности системы. Более детально сводные рекомендации по построению защищенных служб каталога на основе Microsoft AD представлены в таблице 1.

Таблица 1. Сводные рекомендации по построению защищенных служб каталога на основе Microsoft Active Directory

Рекомендация Цели использования
Обновление ОС и приложений Предотвращение угроз
Внедрение, своевременное обновление антивирусного ПО на всех системах. Мониторинг попыток отключения и удаления вышеназванного ПО Обнаружение и предотвращение угроз
Мониторинг объектов AD на предмет обнаружения попыток их изменения Предотвращение угроз
Защита и мониторинг УЗ пользователей, имеющих доступ к критично важной информации организации Предотвращение угроз
Блокировка использования привилегированных УЗ с неавторизованных систем Предотвращение угроз
Минимизация постоянного членства в высокопривилегированных группах Предотвращение угроз
Внедрение контроля предоставления временного членства в высокопривилегированных группах Предотвращение угроз
Внедрение безопасности АРМ привилегированных пользователей и администраторов ИБ и ИТ Предотвращение угроз
Использование списков разрешенных приложений на контроллерах доменов и других системах, требующих высокого уровня защищенности Предотвращение угроз
Выявление приоритетных критически важных задач в области ИБ организации Обнаружение и предотвращение угроз
Внедрение ролевой модели управления системой, основанной на принципах использования наименьших привилегий Предотвращение угроз
Выявление устаревших систем, их изоляция Предотвращение угроз
Вывод из эксплуатации устаревших систем и приложений Предотвращение угроз
Внедрение систем управления конфигурациями оборудования и ПО Предотвращение угроз
Миграция критически важных объектов в защищенную среду. Внедрение мониторинга Обнаружение и предотвращение угроз
Разработка и внедрение политик и регламентов безопасности для сотрудников организации Предотвращение угроз
Использование локальных брандмауэров и обеспечение безопасности сетевого взаимодействия Предотвращение угроз
Своевременное обновление аппаратного обеспечения систем Предотвращение угроз
Внедрение регламентов работы с инцидентами ИБ, планов (сценариев) восстановления систем -

В дальнейшем мы рассмотрим технологии реализации ряда представленных выше рекомендаций с помощью возможностей, предоставляемых нам самой службой каталога Microsoft Active Directory Domain Services.

  1. Статья «10 Immutable Laws of Security Administration» – http://technet.microsoft.com/en-us/library/cc722488.aspx.
  2. Security Content Overview – http://technet.microsoft.com/en-us/library/cc767969.aspx.
  3. Best Practices for Securing Active Directory – http://www.microsoft.com/en-us/download/details.aspx?id=38785.
  4. Deploying Secure Domain Controllers – http://technet.microsoft.com/en-us/library/cc773219(v=ws.10).aspx.
  5. Securing Active Directory Administrative Groups and Accounts – http://technet.microsoft.com/en-us/library/cc700835.aspx.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru