Active Directory и безопасность. Часть 8. Защита станций привилегированных пользователей

На первый взгляд кому-то может показаться странным, как связаны защита рабочих станций пользователей и безопасность службы каталога. Тем не менее взаимосвязь здесь самая что ни на есть непосредственная, и от того, насколько защищены рабочие станции администраторов, впрочем, не только администраторов, напрямую зависит безопасность Active Directory в целом, то есть компрометация рабочей станции пользователя с расширенными полномочиями может приводить к компрометации всего предприятия.

Достаточно ли внимания администраторы уделяют собственным рабочим местам? Нет ли тут типовых уязвимостей? Как повысить безопасность предприятия?

Попробуем разобраться с этим на примере нескольких крупных территориально распределенных организаций, в которых моему постоянному соавтору Степану Москалеву и мне пришлось провести аудит информационной безопасности и разрабатывать рекомендации по защите в части службы каталога.

Статья также может оказаться интересна специалистам средних и малых организаций, заинтересованным в обеспечении безопасности своей ИТ-инфраструктуры.

Типовые уязвимости рабочих станций администраторов и методы борьбы с ними

Рассмотрим, как выглядит типовое рабочее место администратора. Как правило, нам представляется рабочая станция, функционирующая в составе домена Active Directory и определенным образом настроенная для выполнения типовых административных задач в службе каталога. Это первый и наиболее распространенный вариант. При надлежащей защите этоможет оказаться достаточным, однако меры по обеспечению безопасности должны будут носить комплексный характер.

Чтобы не вводить читателя в заблуждение, под административными я подразумеваю не только задачи, выполняемые администраторами предприятия (Enterprise Admins), домена (Domain Admins) и прочими высокопривилегированными группами, но и то, что выполняется службами технической поддержки и другими пользователями, задействованными вуправлении и поддержке службы каталога, и другими инфраструктурными сервисами, которым были делегированы соответствующие полномочия.

Второй способ – использование сервера в составе домена (member server) с активированной ролью Remote Desktop, которая используется для подключения и управления системой. Этот способ оказывается более безопасным, чем первый вариант. При этом легко обеспечивается встроенными возможностями ОС.

Третий подход – виртуальная машина, используемая в административных целях, или специальным образом публикуемое доставляемое ПО – публикация приложений. Такой подход можно обеспечить средствами компаний Microsoft или Citrix, а также ПО ряда других компаний. При правильной настройке – очень неплохой вариант. ЦОД компании, как правило, защищается гораздо лучше, чем другие ресурсы.

Четвертый способ – публикация приложений для выполнения административных функций. Следует отметить, что такой способ нечасто встречается в практике, но тем не менее существует.

Надо сказать, что все вышеперечисленные варианты могут использоваться совместно. Администраторы могут и не ограничивать себя каким-то одним методом для выполнения работы, но наиболее распространенным оказывается именно первый способ.

Статью целиком читайте в журнале «Системный администратор», №5 за 2015 г. на страницах 39-43.

PDF-версию данного номера можно приобрести в нашем магазине.