Pull to refresh
0

Безопасное управление Active Directory. Часть 2

Reading time 2 min
Views 9.8K
Всем доброго дня!

Продолжаем делиться идеями одного из наших авторов — Brian Svidergol, автора книги «Active Directory CookBook». Представляем вторую часть поста, посвященного безопасному управлению AD.



Выделенные подсети для административных задач.

Хороший пример, который приводит Брайан – банковские онлайн-системы: большинство банков использует системы мониторинга рисков, которые отслеживают подозрительные попытки входа в онлайн-клиент, например, если такая попытка осуществляется с нестандартного устройства или на вашем компьютере присутствуют необычные региональные настройки.

Если вы попытаетесь войти в онлайн-клиент из неизвестной подсети (например, в отпуске или командировке), банковская система включит механизм дополнительной аутентификации, такой как смс с кодом подтверждения и др. Но если будут зафиксированы несколько попыток входа из разных стран в течение часа – банковская система скорее всего блокирует вашу учетную запись до выяснения всех обстоятельств.

Советуем организовать выполнение административных задач похожим образом: сотрудникам службы ИБ должны отправляться оповещения, в случае если зафиксирована попытка подключения к административным ресурсам (консолям, серверам и пр.) из обычных подсетей. Идея очень простая, а вот реализовать её на практике достаточно сложно. Проблему представляют веб-интерфейсы для административных задач, которые используют TCP-порт 443. Блокировка трафика до этого порта, проходящего из одних подсетей в другие – трудоемкая задача. Но если вы справились – результат не заставит ждать.

Первый положительный результат – оповещения. Вы получите немедленное оповещение (и сможете действовать по обстоятельствам) если, например, кто-то попытается подключиться к контроллеру домена по протоколу RDP из обычной сети или гостевого вай-фая. Во многих организациях такие подключения возможны из любой сети, в некоторых даже через Интернет!
Вторым преимуществом от использования выделенных подсетей является возможность обеспечить в них дополнительные меры безопасности. Например, многофакторную идентификацию с помощью токенов или смс с одноразовыми кодами.

Выделенные серверы и клиентские машины для административных задач.

В случае, если вы не можете организовать выделенные подсети – используйте хотя бы выделенные серверы и отдельные рабочие станции для выполнения административных задач. Преимущества те же – дополнительные меры безопасности, двухфакторная аутентификация, мониторинг и оповещения о возможных инцидентах. Использование специальных клиентских машин позволяет также отделить рисковые ежедневные задачи (просмотр почты, посещение веб-сайтов) от административных, снизить вероятность фишинговых атак. Наилучший результат достигается при использовании специальных административных учетных записей на выделенных машинах.

Мы пытались выделить основные идеи. Оригинал текста доступен здесь.
Tags:
Hubs:
+1
Comments 0
Comments Leave a comment

Articles

Information

Website
www.netwrix.ru
Registered
Founded
2006
Employees
101–200 employees
Location
США