Всем доброго дня!
Продолжаем делиться идеями одного из наших авторов — Brian Svidergol, автора книги «Active Directory CookBook». Представляем вторую часть поста, посвященного безопасному управлению AD.
Выделенные подсети для административных задач.
Хороший пример, который приводит Брайан – банковские онлайн-системы: большинство банков использует системы мониторинга рисков, которые отслеживают подозрительные попытки входа в онлайн-клиент, например, если такая попытка осуществляется с нестандартного устройства или на вашем компьютере присутствуют необычные региональные настройки.
Если вы попытаетесь войти в онлайн-клиент из неизвестной подсети (например, в отпуске или командировке), банковская система включит механизм дополнительной аутентификации, такой как смс с кодом подтверждения и др. Но если будут зафиксированы несколько попыток входа из разных стран в течение часа – банковская система скорее всего блокирует вашу учетную запись до выяснения всех обстоятельств.
Советуем организовать выполнение административных задач похожим образом: сотрудникам службы ИБ должны отправляться оповещения, в случае если зафиксирована попытка подключения к административным ресурсам (консолям, серверам и пр.) из обычных подсетей. Идея очень простая, а вот реализовать её на практике достаточно сложно. Проблему представляют веб-интерфейсы для административных задач, которые используют TCP-порт 443. Блокировка трафика до этого порта, проходящего из одних подсетей в другие – трудоемкая задача. Но если вы справились – результат не заставит ждать.
Первый положительный результат – оповещения. Вы получите немедленное оповещение (и сможете действовать по обстоятельствам) если, например, кто-то попытается подключиться к контроллеру домена по протоколу RDP из обычной сети или гостевого вай-фая. Во многих организациях такие подключения возможны из любой сети, в некоторых даже через Интернет!
Вторым преимуществом от использования выделенных подсетей является возможность обеспечить в них дополнительные меры безопасности. Например, многофакторную идентификацию с помощью токенов или смс с одноразовыми кодами.
Выделенные серверы и клиентские машины для административных задач.
В случае, если вы не можете организовать выделенные подсети – используйте хотя бы выделенные серверы и отдельные рабочие станции для выполнения административных задач. Преимущества те же – дополнительные меры безопасности, двухфакторная аутентификация, мониторинг и оповещения о возможных инцидентах. Использование специальных клиентских машин позволяет также отделить рисковые ежедневные задачи (просмотр почты, посещение веб-сайтов) от административных, снизить вероятность фишинговых атак. Наилучший результат достигается при использовании специальных административных учетных записей на выделенных машинах.
Мы пытались выделить основные идеи. Оригинал текста доступен здесь.
Продолжаем делиться идеями одного из наших авторов — Brian Svidergol, автора книги «Active Directory CookBook». Представляем вторую часть поста, посвященного безопасному управлению AD.
Выделенные подсети для административных задач.
Хороший пример, который приводит Брайан – банковские онлайн-системы: большинство банков использует системы мониторинга рисков, которые отслеживают подозрительные попытки входа в онлайн-клиент, например, если такая попытка осуществляется с нестандартного устройства или на вашем компьютере присутствуют необычные региональные настройки.
Если вы попытаетесь войти в онлайн-клиент из неизвестной подсети (например, в отпуске или командировке), банковская система включит механизм дополнительной аутентификации, такой как смс с кодом подтверждения и др. Но если будут зафиксированы несколько попыток входа из разных стран в течение часа – банковская система скорее всего блокирует вашу учетную запись до выяснения всех обстоятельств.
Советуем организовать выполнение административных задач похожим образом: сотрудникам службы ИБ должны отправляться оповещения, в случае если зафиксирована попытка подключения к административным ресурсам (консолям, серверам и пр.) из обычных подсетей. Идея очень простая, а вот реализовать её на практике достаточно сложно. Проблему представляют веб-интерфейсы для административных задач, которые используют TCP-порт 443. Блокировка трафика до этого порта, проходящего из одних подсетей в другие – трудоемкая задача. Но если вы справились – результат не заставит ждать.
Первый положительный результат – оповещения. Вы получите немедленное оповещение (и сможете действовать по обстоятельствам) если, например, кто-то попытается подключиться к контроллеру домена по протоколу RDP из обычной сети или гостевого вай-фая. Во многих организациях такие подключения возможны из любой сети, в некоторых даже через Интернет!
Вторым преимуществом от использования выделенных подсетей является возможность обеспечить в них дополнительные меры безопасности. Например, многофакторную идентификацию с помощью токенов или смс с одноразовыми кодами.
Выделенные серверы и клиентские машины для административных задач.
В случае, если вы не можете организовать выделенные подсети – используйте хотя бы выделенные серверы и отдельные рабочие станции для выполнения административных задач. Преимущества те же – дополнительные меры безопасности, двухфакторная аутентификация, мониторинг и оповещения о возможных инцидентах. Использование специальных клиентских машин позволяет также отделить рисковые ежедневные задачи (просмотр почты, посещение веб-сайтов) от административных, снизить вероятность фишинговых атак. Наилучший результат достигается при использовании специальных административных учетных записей на выделенных машинах.
Мы пытались выделить основные идеи. Оригинал текста доступен здесь.