Хотите прокачать свою ИТ-безопасность? Улучшите свои методы управления учетными записями
Управление учетными записями — это больше, чем рутинная рутинная работа, с которой приходится сталкиваться администраторам. Контроль над тем, кто может получить доступ к чему-либо в ваших системах, важен не только для производительности, но и для самой основы вашей ИТ-безопасности. Чем лучше вы справитесь с управлением учетными записями, тем безопаснее будут ваши системы.
Общие методы управления учетными записями можно разделить на три широкие категории: типы учетных записей, общие концепции и применение политики учетных записей. Хотя первая и последняя практика подробно объясняются ниже, общие понятия относятся к стандартным практикам управления учетными записями, которые хорошо известны в управлении идентификацией и доступом, поэтому они не объясняются более подробно.
Типы внутренних учетных записей и связанные с ними риски
Каждому пользователю предоставляется определенный уровень доступа, и это напрямую влияет на общий уровень защиты сети. Хотя может показаться странным желание защитить сеть от ее собственных пользователей, это имеет смысл, если учесть, что внутренние пользователи обладают самым высоким уровнем доступа к данным. Это означает, что они могут случайно или намеренно удалить или саботировать его. Однако есть решение для управления учетными записями.
Предупреждения/отказ от ответственности/оповещения перед входом в систему
После входа в систему компании должны отображать баннер входа в систему, указывающий на разрешение доступа к сети при определенных условиях.
В то же время это служит индикатором того, что действия пользователей тщательно отслеживаются. Таким образом, организация успешно покрывает любые юридические последствия и гарантирует, что пользователи следуют ожидаемым протоколам политики безопасности.
Совместное использование аккаунта — огромный риск
Существует множество ИТ-организаций, которые используют общие учетные записи для приложений, администраторов и привилегированных пользователей. К сожалению, такая практика изобилует угрозами соответствия и безопасности. Таким образом, защита среды доступа к учетной записи предполагает отказ от использования общей учетной записи.
Когда вы предоставляете каждый набор учетных данных для доступа одному принципу — это может быть либо машинная служба, либо пользователь — вы успешно измеряете каждый аспект доступа к данным и их использования. Это позволяет успешно создать базовый уровень приемлемого и ожидаемого использования. Мониторинг таких базовых показателей на наличие вариаций помогает обнаруживать возможное неправомерное использование доступа к данным или ресурсов предприятия.
Постоянное внимание к обучению конечных пользователей безопасности
Внутренние заинтересованные стороны представляют собой самый большой риск для ценных данных вашего предприятия. Все ваши усилия по внедрению строгих методов управления учетными записями могут оказаться недостаточными, если небрежный суперпользователь сможет найти способы обойти этот процесс.
Чтобы этого не случилось с вашим бизнесом, инвестируйте в программы обучения информационной безопасности начального уровня для ваших ключевых пользователей и полагайтесь на то, что они передадут свои знания своим командам. Кроме того, определите чемпионов по безопасности, которые могут быть зачислены на курсы этического взлома и другие подобные курсы по информационной безопасности.
Лошади на курсы?
Для пользователей с административными ролями важно не полагаться на свои привилегированные учетные записи при доступе к электронной почте и другим повседневным действиям. В противном случае скрытое вредоносное ПО, обнаруженное в ходе обычных бизнес-функций, может превзойти ограничения контроля доступа для учетной записи, осуществляющей доступ.
Таким образом, лучше выдать таким пользователям не только общую учетную запись для обычного доступа, но и другой набор административных учетных данных.
Это должно ограничить сферу контроля, когда речь идет об их операционном счете. Эта практика уже широко распространена среди пользователей Linux, многие из которых используют sudo («superuser do») для выполнения административных задач из своей учетной записи сеанса.
Общие сведения об установках по умолчанию
Некоторые учетные записи и группы устанавливаются по умолчанию. Ваша работа как администратора — знать, что они из себя представляют. Кроме того, учетные записи служб, как правило, также устанавливаются, поэтому они могут лучше взаимодействовать с ОС. Обычно учетные записи локальных служб взаимодействуют с ОС Windows и имеют пароли по умолчанию.
При работе с личными учетными записями административные учетные записи следует использовать только при администрировании сервера. Если пользователь получит такой уровень доступа, это может закончиться катастрофой.
Почему? Потому что человек, контролирующий учетную запись администратора, может поставить под угрозу весь бизнес, особенно если он заходит не в тот адрес электронной почты или нажимает на ссылку, зараженную вредоносным ПО. Кроме того, вам следует рассмотреть возможность запрета общих учетных записей, обычно используемых несколькими пользователями.
Что дальше?
Как только вы узнаете учетные записи, которые являются результатом установки по умолчанию, вы сможете определить те, которые действительно необходимы, и отсеять те, которые повышают безопасность системы. Кроме того, рекомендуется отслеживать учетные записи, которые были установлены с хорошо зарекомендовавшими себя (например, «admin») или пустыми паролями.
Общие учетные записи компьютеров, найденные в системах веб-доступа, обычно предназначены для авторизованного доступа, особенно если оставить параметры конфигурации по умолчанию.
Из-за всех этих сложностей пустые пароли не поддерживаются многими новыми операционными системами. Но учетные записи, найденные в старых операционных системах, могут по-прежнему использовать хорошо известный пароль по умолчанию или пустой пароль. Применяйте права пользователей к группам безопасности, чтобы понять, какие действия члены группы могут выполнять в рамках леса или домена. Права пользователя обычно предоставляются через параметры безопасности в случае учетных записей пользователей.
Применение политики учетной записи
По мере роста компании растет и количество пользователей и систем в каждой организации. В таком сценарии принудительное применение политики учетных записей становится критическим.
Поэтому вы должны установить политики учетных записей, которые обеспечат вашим системам надежную защиту. Имейте в виду, что политики учетных записей могут быть настроены в групповой политике.
Важность учетных данных
Учетные данные должны быть назначены на некоторое время, чтобы подготовленные учетные записи можно было использовать до того, как их операции будут прекращены. Рабочие силы с временными или краткосрочными работниками сочтут этот метод важным, поскольку в противном случае их учетные записи останутся неотслеживаемыми и нетронутыми, когда они перейдут на новые должности.
Эти типы учетных записей являются предпочтительными целями для атак методом грубой силы на пароли входа, которые происходят в течение длительного периода времени, чтобы избежать методов обнаружения и предотвращения вторжений.
Таким образом, независимо от того, являются ли учетные данные сложным ключом шифрования или простым паролем для входа в систему, они должны иметь встроенный срок действия для гарантированного прекращения действия в случае, если они будут забыты или утеряны.
Процедуры аудита должны четко отображать долгосрочные компьютерные и неактивные учетные записи, срок действия которых истек и которые регулярно восстанавливаются, чтобы ограничить использование и долгосрочные атаки, особенно если есть вероятность, что они могут быть скомпрометированы в течение обычного периода использования.
Роль политик учетных записей в групповой политике
Широкий спектр сведений о конфигурации хранится в объектах групповой политики доменами Active Directory, включая параметры политики и паролей. Домены поставляются со своей личной политикой паролей вместе с настройками локальной политики паролей. Эти политики паролей домена можно использовать для управления настройками паролей.
В случае групповой политики параметры политики учетных записей применяются на уровне домена. Таким образом, параметры политик учетных записей домена устанавливаются как локальные параметры политик учетных записей по умолчанию для любого типа системы на базе ОС Windows, которая является частью домена. Однако есть одно исключение из правила, когда для подразделения или организационной единицы определяется другой параметр политики учетной записи.
Параметр политики учетной записи OU влияет на локальную политику любой компьютерной системы, входящей в OU. В то же время параметры политики паролей для домена можно найти в корневом контейнере этого домена. Политика домена по умолчанию подключена к корневому контейнеру.
Управление учетной записью: исправьте то, чего не хватает
Организации регулярно сталкиваются с различными угрозами, как внутренними, так и внешними. Понимание важнейших основополагающих идей, из которых состоят строительные блоки информационной безопасности компании, может помочь вам понять, чего не хватает и где необходимо принять незамедлительные меры.
Как только вы освоите различные режимы аутентификации, авторизации и изучите передовые методы обеспечения безопасности, вы получите полное представление об управлении учетными записями.