Аудит учетных записей пользователей

Опубликовано: 12 Апреля, 2023


Введение


Некоторые могут считать аутентификацию самым важным аспектом аудита безопасности Windows. Другие могут подумать, что политики учетных записей пользователей являются самой важной контрольной точкой. Вы можете подумать, что ключом является доступ к ресурсам. Независимо от того, как вы относитесь к самому важному аспекту аудита, все должны согласиться с тем, что свойства и настройки учетной записи пользователя необходимы для любого аудита сетевой операционной системы.


Когда дело доходит до аудита учетных записей пользователей операционной системы, важно учитывать, какие возможные настройки существуют для производителя и версии операционной системы. Для среды Windows Active Directory применяется то же правило. Как сетевой архитектор, сетевой администратор, консультант, автор и тренер, я знаком с уникальными деталями, которые необходимо учитывать при аудите учетных записей пользователей в среде Windows Active Directory. В этой статье представлены все данные об этих учетных записях пользователей, и она поможет вам лучше проводить аудит учетных записей пользователей в будущем.


Основные свойства учетной записи пользователя, подлежащие аудиту


Большинство инструментов аудита выкапывают основную информацию об учетной записи пользователя, которая должна быть включена в аудит. Эти базовые свойства и параметры являются отличным местом для начала аудита и обычно включают следующие свойства:


LogonScript — это важно, если сценарий входа выполняет какие-либо задачи, которые могут установить некоторые параметры безопасности, скопировать ключевые файлы безопасности или любую другую задачу, связанную с безопасностью. Если применяется неправильный сценарий входа в систему, это может сделать компьютер менее безопасным.


Рабочие станции — это важный параметр, если ваша компания использует этот параметр для ограничения входа учетных записей пользователей только на один или несколько компьютеров. Обычно этот параметр оставляют для учетных записей служб и обычно не используют для учетных записей пользователей, используемых сотрудниками.


Последний раз был установлен пароль — этот параметр может помочь определить устаревшие учетные записи пользователей. Если пользователь не изменил пароль в течение периода времени, определяемого политикой паролей для максимального времени действия пароля, это может указывать на то, что учетная запись пользователя больше не используется. Еще одна важная проблема, которую всегда следует учитывать, — это злонамеренный администратор, у которого не настроена учетная запись пользователя на истечение срока действия пароля. В этом случае администратор переключит учетную запись пользователя на истечение срока действия пароля, запустит отчет для аудита, а затем переключит срок действия пароля на неограниченный. Если пароль не менялся в течение года, но политика паролей требует, чтобы все пароли менялись каждые 30 дней, очевидно, что администратор пытается обмануть аудиторский отчет.


Требуется пароль — в среде Windows Active Directory непросто настроить одного пользователя так, чтобы у него был срок действия пароля, а у другого — нет. Есть некоторые учетные записи пользователей, для которых по умолчанию не требуется пароль, в том числе учетная запись гостя и учетная запись IWAM_{имя_компьютера}.


Срок действия пароля истекает — когда учетная запись пользователя настроена так, чтобы срок действия пароля не истекал, пароль не подчиняется тем же правилам, что и политика паролей домена. Это позволяет пользователю сохранять один и тот же пароль неограниченное время и потенциально иметь слабый пароль. Конечно, это нежелательно, и для стандартных учетных записей пользователей (включая администраторов и других ИТ-специалистов) срок действия пароля должен истекать.


Время истечения срока действия пароля — вы можете не только определить, истекает ли срок действия пароля, но и проверить, когда истечет срок действия пароля в следующий раз. Ключевым моментом аудита здесь является обеспечение того, чтобы срок действия пароля всех пользователей истекал в рамках политики паролей, которая требует, чтобы пароль был изменен в течение установленного количества дней. Если время истечения срока действия пароля выходит за пределы этого диапазона, это означает, что в свойстве пользователя может быть ошибка или кто-то изменил свойство, чтобы срок действия пароля истекал позже, чем хотелось бы.


Учетная запись отключена — это важное свойство для аудита учетных записей, которые были отключены и, возможно, должны быть удалены. У большинства компаний есть стандартная политика удаления учетных записей пользователей. Это может быть 6 месяцев, один год или больше после отключения учетной записи. Основная причина такого длительного времени удаления заключается в том, что учетную запись пользователя нельзя воссоздать после ее удаления, ее можно только восстановить, что является непростым процессом.


Время последнего входа в систему — этот параметр будет указывать ключевой аспект для каждой учетной записи пользователя. Он будет указывать, выходят ли пользователи из системы ночью, что важно для обеспечения того, чтобы пользователи меняли свои пароли в соответствии с настройками политики паролей. Если пользователь не входил в систему в течение достаточно долгого времени, было бы важно выяснить, следует ли отключить учетную запись пользователя или почему пользователь не выходил из системы в недавнем прошлом.


Расширенные свойства пользователя для аудита


Существуют и другие свойства, которые необходимо учитывать при проведении аудита учетных записей пользователей. Некоторые из них могут быть в вашем основном списке, а другие могут быть полностью исключены. В любом случае вам следует подумать о том, чтобы включить их в свой следующий аудит.


Удаленный доступ — удаленный доступ и доступ к виртуальной частной сети (VPN) контролируются через Active Directory. Проблема с Active Directory заключается в том, настроен ли параметр для разрешения, запрета или использования политики удаленного доступа. Если установлено последнее, вам также потребуется изучить политики удаленного доступа, настроенные на сервере RAS или на сервере RADIUS (служба удаленной аутентификации пользователей с телефонным подключением).


Доступ к службе терминалов. Поскольку службы терминалов являются таким важным аспектом Windows 2000/2003/XP, необходимо проверять, могут ли пользователи входить в систему с помощью этой службы. При доступе к службе терминалов вам необходимо не только проверить свойство пользователя для этого доступа, но и права пользователя. В Windows 2000 право пользователя, которое должно проверяться, — «Локальный вход в систему». В Windows XP и Server 2003 право пользователя, которое позволяет пользователям входить в систему с помощью служб терминалов, — «Разрешить вход в систему с помощью служб терминалов».


Инструменты для аудита свойств учетной записи пользователя


Все основные свойства учетной записи пользователя можно проверить с помощью DumpSec, бесплатного инструмента, предоставляемого SomarSoft (www.somarsoft.com). Это простой в установке и использовании инструмент для сбора всей необходимой информации из Active Directory, связанной с учетными записями пользователей. На рис. 1 показан список возможных свойств, которые можно проверить в отношении учетных записей пользователей.



Изображение 25987
Рисунок 1: DumpSec может проверять свойства учетной записи пользователя


Для расширенных свойств учетной записи пользователя DumpSec не подойдет. Он может указать, есть ли у пользователя разрешения на удаленный доступ, если они настроены на разрешение или запрет, но не на использование политик удаленного доступа. Не существует инструмента, способного расшифровать сложный массив настроек и возможностей, существующих в рамках политики удаленного доступа. Это необходимо сделать вручную. Для служб терминалов DumpSec не может проверить, есть ли у пользователя возможность или правильное право пользователя. Чтобы проверить это, вам нужно будет либо вручную проверить разрешение, либо создать сценарий для извлечения этой информации. Для прав пользователя лучше всего использовать локальную политику безопасности с компьютера, на котором включена служба терминалов, как показано на рисунке 2.



Изображение 25988
Рисунок 2. Для доступа к службе терминалов требуются права пользователя «Локальный вход в систему» или «Разрешить вход через службы терминалов».


Резюме


При аудите учетных записей пользователей необходимо учитывать множество свойств и аспектов учетной записи пользователя. Аудитор должен оценить каждое свойство по отдельности, чтобы определить, находится ли параметр в допустимых пределах или нет. Аудитор также должен оценить, как каждое свойство соотносится с другими. При аудите учетных записей пользователей важно учитывать как активные, так и отключенные учетные записи, поскольку обе могут быть потенциальными точками атаки для злоумышленника.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023