5 основных параметров безопасности для аудита
Безопасность вашей среды Windows постоянно меняется. Независимо от того, был ли компьютер только что установлен или он работал в течение многих лет, велика вероятность того, что он не соответствует стандартам безопасности, установленным для компьютеров в вашей организации. Чтобы обнаружить эти неверные параметры безопасности, обычно требуется провести внутренний или внешний аудит безопасности. Когда остается совсем немного времени, необходимо провести аудит некоторых ключевых параметров безопасности для вашего предприятия Windows Active Directory. Здесь мы рассмотрим 5 наиболее важных параметров безопасности, которые необходимо проверить, чтобы защитить ваши инвестиции на самом высоком уровне.
Безопасность Windows Active Directory
Я выбрал эти настройки безопасности по нескольким причинам. Во-первых, существуют стандартные атаки, запускаемые в средах Windows, от которых эти параметры безопасности могут помочь защитить, если они правильно настроены. Во-вторых, в основе Windows лежат некоторые параметры безопасности, которые исторически не настраивались как безопасные по умолчанию. Без первоначальных и плановых проверок этих параметров вы все еще можете использовать один или несколько компьютеров с этими небезопасными параметрами по умолчанию. Наконец, по опыту, эти параметры часто упускают из виду и настраивают неправильно даже в самых «защищенных» и проверенных сетях.
# 1 Политики паролей
Политики паролей для домена Active Directory изначально настраиваются в объекте групповой политики политики домена по умолчанию (GPO). В этой категории есть несколько настроек, которые должны быть установлены как минимум на стандартный уровень безопасности. Вам нужно будет проверить свои политики безопасности, чтобы определить, какие значения были установлены для вашего предприятия. Если вы не установили эти значения в своих политиках безопасности, вот некоторые рекомендуемые значения:
Настройка политики паролей
Рекомендуемый диапазон значений
Использовать историю паролей
Запоминается от 12 до 24 паролей
Максимальный срок действия пароля
от 30 до 90 дней
Минимальный срок действия пароля
от 1 до 3 дней
Минимальная длина пароля
от 7 до 14 символов
Пароль должен соответствовать требованиям сложности
Включено
Хранить пароль с помощью обратимого шифрования
Неполноценный
Таблица 1
Эти настройки по умолчанию хранятся в GPO политики домена по умолчанию, но их там не следует проверять. Вместо этого следует проанализировать такой инструмент, как DUMPSEC или локальную политику безопасности контроллеров домена (запустите GPEDIT.MSC из команды «Выполнить» на контроллере домена). Если используется DUMPSEC, требования к сложности пароля не собираются, что приводит к использованию другого метода для получения этой информации. Локальная политика безопасности предоставляет всю информацию для аудита этих параметров.
# 2 Политика блокировки учетной записи
Политика блокировки учетной записи определяет, что происходит, когда пользователь не может вспомнить свой пароль. Конечно, для борьбы с атаками, которые пытаются угадать и взломать эти пароли, лучше всего убедиться, что настройки настроены для работы с вашей политикой безопасности. Если ваша политика безопасности не определена для этих параметров, в следующей таблице показаны некоторые рекомендуемые значения для этих параметров.
Настройка политики блокировки учетной записи
Рекомендуемый диапазон значений
Длительность блокировки учетной записи
9999 (также можно установить меньшее число, например 5, но никогда не должно быть 0)
Порог блокировки учетной записи
от 3 до 5
Сбросить счетчик блокировки учетной записи после
9999
Таблица 2
Эти настройки по умолчанию хранятся в GPO политики домена по умолчанию, но их там не следует проверять. Вместо этого следует проанализировать такой инструмент, как DUMPSEC или локальную политику безопасности контроллеров домена (запустите GPEDIT.MSC из команды «Выполнить» на контроллере домена).
# 3 Членство в группе администраторов предприятия
Члены группы администраторов предприятия являются важной группой для предприятия Active Directory. Члены этой группы могут вносить глобальные изменения в функции типа «предприятие». Эти изменения включают изменение сайтов Active Directory, конфигураций DFS предприятия и т.п. Члены этой группы также имеют контроль над всеми учетными записями пользователей, учетными записями групп и учетными записями компьютеров во всем домене.
Эта группа существует только в корневом домене (первый домен в лесу Active Directory). Таким образом, для аудита этой группы вам нужно только зарегистрировать один домен леса Active Directory. Эта группа должна быть ограничена только несколькими администраторами, если они вообще есть. Поскольку члены группы «Администраторы домена» в корневом домене могут добавлять и удалять участников в эту группу, я предлагаю, чтобы в этой группе не было участников на ежедневной основе.
DUMPSEC отлично справляется с аудитом этой группы. Вы также можете просто использовать пользователей и компьютеры Active Directory для просмотра групп и пользователей, которые имеют членство в этой группе.
#4 Членство в группе администраторов схемы
Группа администраторов схемы так же мощна, как и группа администраторов предприятия, но в совершенно другом аспекте Active Directory. Члены группы администраторов схемы могут изменять схему Active Directory, которая затрагивает все домены в лесу. Ошибочная модификация схемы может нанести ущерб всему предприятию Active Directory.
Эта группа также существует только в корневом домене. Опять же, эта группа не может иметь ежедневных членов, так как изменения схемы происходят редко и, как правило, строго контролируются. Ограничив количество членов или исключив их, можно лучше управлять изменениями и контролировать их.
DUMPSEC отлично справляется с аудитом этой группы. Вы также можете просто использовать пользователей и компьютеры Active Directory для просмотра групп и пользователей, которые имеют членство в этой группе.
#5 Членство в группе администраторов домена
Единственная группа, которая имеет глобальный контроль над всеми пользователями, группами и компьютерами в одном домене, — это группа «Администраторы домена». Эта группа очень мощная и используется ежедневно. Члены этой группы также должны быть ограничены, но, как правило, не пусты. Вместо добавления пользователей в эту группу для функций домена следует использовать делегирование Active Directory. Это обеспечивает детальный контроль над всеми функциями Active Directory, не отдавая слишком много полномочий, как это делает группа администраторов домена. Эта группа существует во всех доменах Active Directory и требует аудита.
DUMPSEC отлично справляется с аудитом этой группы. Вы также можете просто использовать пользователей и компьютеры Active Directory для просмотра групп и пользователей, которые имеют членство в этой группе.
Резюме
Очень важно контролировать среду Active Directory на базовом уровне. Если пароли, связанные с учетными записями пользователей, слишком слабые, могут быть легко скомпрометированы, не меняются достаточно часто или вообще не устанавливаются, сеть и предприятие остаются уязвимыми. Обеспечение того, чтобы эти значения в политике блокировки паролей и учетных записей были заданы надлежащим образом и в соответствии с рекомендациями, поможет предотвратить атаки на пароли. Аналогичным образом необходимо контролировать и постоянно контролировать членство в трех основных группах предприятия Active Directory. Если у пользователя есть эта сила групп Enterprise, Schema или Domain Admins, могут возникнуть серьезные повреждения и проблемы.