Обзор руководств по планированию безопасности от Microsoft

Опубликовано: 12 Апреля, 2023

Microsoft прошла долгий путь в повышении безопасности своих продуктов. Такие платформы, как Windows XP с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1, теперь являются «безопасными по умолчанию» при выполнении чистой установки этих операционных систем (обновления, как правило, настолько безопасны, насколько безопасен уровень безопасности операционной системы перед обновлением). система). Например, в Windows Server 2003 службы IIS по умолчанию не установлены, удаленный рабочий стол по умолчанию отключен и т. д.


Проблема в том, что технологии недостаточно быть защищенными — те, кто использует и администрирует эти технологии, также должны быть защищены. Например, рассмотрим роль администратора вашей сети. Учетная запись администратора является всемогущей, поэтому администратор может делать в вашей сети практически все, что захочет. Это может привести к полной катастрофе в нескольких ситуациях:



  • Если кто-то украдет пароль для учетной записи администратора, ваша система будет уничтожена (если учетная запись является локальной) или ваш домен будет зажарен (если учетная запись является учетной записью администратора домена).


  • Если кто-то проникнет в вашу сеть и воспользуется неисправленной уязвимостью, чтобы поднять свою учетную запись до уровня администратора, ваши информационные активы снова будут поджарены (или поджарены).


  • Если вы нанимаете кого-то в качестве своего администратора и не проверяете его биографию должным образом, вы можете отдать весь свой бизнес в руки преступника.


  • Если ранее беспечный администратор вашей компании рассердится из-за того, что ему не прибавили к зарплате, и решит отомстить, он может в будущем внедрить вредоносное ПО, работающее под учетными данными администратора, уволиться и пойти дальше. долгий отпуск далеко, а затем, когда вредоносное ПО срабатывает, вся ваша клиентская база данных стирается.


  • Если вы нанимаете кого-то в качестве администратора, и у него нет надлежащей технической квалификации и обучения, он может сделать что-то глупое, войдя в систему под своей учетной записью администратора — настоящую глупость, например, удалить все цифровые сертификаты, используемые для идентификации сотрудников в вашей компании, или переформатировать диск C: на контроллере домена, или просмотреть черный веб-сайт под учетной записью администратора и, таким образом, загрузить червя, который вынесет весь ваш бизнес на день.

Тост (плохо) или жареный тост (очень плохо), в любом случае вы не хотите найти свой бизнес в такой ситуации. Таким образом, вы тратите деньги, чтобы получить самые последние и наиболее безопасные версии Microsoft Windows по умолчанию как для настольных компьютеров, так и для серверов. Теперь ваши машины в безопасности, но как защитить администраторов, которые управляют ими и имеют над ними власть над жизнью (надежность в четыре девятки) и смертью (синий экран)? Здесь могут помочь два недавно выпущенных руководства по планированию безопасности, а именно Руководство по планированию безопасности учетных записей администраторов и Руководство по планированию безопасного доступа с использованием смарт-карт. Давайте теперь посмотрим на некоторые из их рекомендаций.


Руководство по планированию безопасности учетных записей администратора


В этом руководстве основное внимание уделяется важности защиты учетных записей административного уровня и тому, как это лучше всего сделать. Как и все руководства по безопасности, оно немного раздражает меня тем, что оно (а) слишком длинное и (б) слишком многословное (маркетологи, вероятно, получили его в руки в процессе пересмотра) и (в) часто констатирует очевидное (например, «Используйте надежный пароль» шиш!) и (г) дать целую кучу рекомендаций, толком не указав, какие из них критичны всегда, а какие необходимы только в определенных ситуациях. С другой стороны, это конкретное руководство занимает всего около 30 страниц, поэтому вы можете прочитать его за час и получить несколько полезных советов о том, как обеспечить безопасность ваших административных учетных записей. Но, как я часто упоминаю в своем блоге ITreader.net, позвольте мне прочитать за вас, так что вот мой краткий обзор полезных рекомендаций из этого документа.


Во-первых, руководство напоминает нам, что компьютеры, используемые администраторами, должны быть защищены. Это означает как настольные компьютеры в его офисе, так и любой ноутбук, планшетный ПК, КПК или другое мобильное устройство, которое она использует для управления машинами в своей сети. Не забывайте про мобильные устройства, особенно если они беспроводные! А безопасность означает не только блокировку с помощью групповой политики, но и физическую безопасность и полное доверие. Вы должны быть уверены, что компьютер, который вы используете для администрирования вашей сети, не имеет подключенного к задней панели регистратора нажатий клавиш или программного обеспечения для очистки экрана или не был скомпрометирован каким-либо другим образом, физически или иным образом.


Естественно, в руководстве также говорится, что каждый администратор должен иметь две учетные записи: привилегированную (администратор домена) для административных задач и непривилегированную (пользователи домена) для обычной работы (просмотр веб-страниц, электронная почта, написание отчетов и т. д.). на). На любом компьютере, кроме сервера, администраторы должны использовать свои непривилегированные учетные записи только для интерактивного входа в систему, а затем использовать Runas для выполнения административных задач с использованием учетных данных администратора. Что ж, я бы пошел еще дальше и сказал, что администраторы никогда не должны входить в систему в интерактивном режиме на настольном или мобильном компьютере, который они используют для чего-то еще, кроме административных задач. Почему? Зависимости безопасности — безопасность вашей сети подобна цепочке, в которой ни один компьютер не является более безопасным, чем наименее безопасный компьютер в вашей сети. И каждый раз, когда вы входите на другой компьютер, используя учетную запись администратора домена, вы ослабляете эту цепочку. Почему? Потому что это увеличивает вероятность того, что вы вошли в систему, которая уже была скомпрометирована, и если вы входите на скомпрометированную машину, используя учетную запись уровня администратора, вы также можете очистить свой рабочий стол, потому что ваша сеть была 0wn3d плохие парни. Зависимости безопасности — сложная тема, и лучшее объяснение, которое я видел на сегодняшний день, — это глава 8 книги Protect Your Windows Network Стива Райли и Джеспера Йоханссона, двух менеджеров программ безопасности в Microsoft. Если вы являетесь администратором предприятия и работаете с платформами Microsoft Windows, я настоятельно рекомендую вам купить копию этой книги и прочитать ее, особенно главу 8.


Далее руководство предлагает переименовать или отключить встроенную учетную запись администратора для каждого домена/системы. Что нам делать? Переименовать или отключить? Как и все хорошие гиды, это оставляет нам решать - большое спасибо. Но он предупреждает нас, что если мы планируем отключить встроенную учетную запись администратора, вам следует сначала создать хотя бы одну новую учетную запись уровня администратора, чтобы у вас была возможность вернуться в свою сеть или систему! Кроме того, это напоминает нам, что встроенная учетная запись администратора также является агентом восстановления данных (DRA) по умолчанию для EFS, и перед ее отключением вам необходимо создать новый DRA, иначе ваши зашифрованные данные однажды могут стать невосстановимыми. Стив и Джеспер также могут рассказать несколько полезных вещей об отключении встроенной учетной записи администратора в своей книге.


Наконец, в руководстве предлагается разделить функции администраторов предприятия (всего леса) и администраторов домена. Это хорошая идея и еще одна веская причина не использовать встроенную учетную запись администратора в корневом домене леса, поскольку по умолчанию она принадлежит как к группе администраторов домена, так и к группе администраторов предприятия.


В руководстве также говорится о некоторых интересных вещах об использовании passprop (инструмент Windows 2000 Server Resource Kit) для включения блокировки учетной записи для удаленного входа в систему с учетными записями администратора; использование MBSA для поиска слабых паролей; и несколько других тем. Одно предложение, которое мне нравится, заключается в том, что в средах с высоким уровнем безопасности вы должны разделить пароль администратора предприятия на две части и поделиться им между двумя разными людьми. Это снижает риск того, что мошеннический администратор повредит вашу сеть, хотя я полагаю, что если бы один парень был плохим, он мог бы предложить другому парню достаточно денег, чтобы он работал в команде. Если вы используете смарт-карты, вы можете сделать то же самое, предоставив смарт-карту одному человеку, а PIN-код для этой карты другому человеку. Это, вероятно, делается на атомных подводных лодках и тому подобном, но магазин электронных цветов мамы и папы, вероятно, не хочет заходить так далеко.


Руководство по планированию безопасного доступа с использованием смарт-карт


Это руководство заинтриговало меня немного больше, чем предыдущее, поскольку в нем даны пошаговые (своего рода) советы по внедрению безопасного решения с использованием смарт-карт для защиты двух ключевых аспектов доступа к корпоративной сети: учетных записей уровня администратора и удаленных пользователей VPN. После краткого ознакомления со смарт-картами, как и почему, в руководстве подробно описываются компоненты, которые необходимо развернуть и использовать для внедрения решения со смарт-картами в сети на базе Windows Server. К ним относятся PKI (создайте свою собственную с помощью служб сертификации Microsoft или передайте стороннему ЦС), шаблоны сертификатов, групповую политику, службу Интернета и аутентификации (IAS) для аутентификации удаленных пользователей VPN с помощью RADIUS, CMAK для развертывания подключений к мобильным компьютерам., смарт-карты и устройства чтения смарт-карт и так далее. Одним из полезных предложений является создание ряда новых групп безопасности для управления различными аспектами жизненного цикла смарт-карт. К ним относятся группы для агентов регистрации, подготовки, пользователей смарт-карт, временных исключений и постоянных исключений. И, конечно же, не забудьте предупредить пользователей, чтобы они не использовали свой PIN-код или номер автомобиля в качестве PIN-кода для своей карты!


Затем руководство иллюстрирует процесс внедрения решения для смарт-карт на примере вымышленного сценария с участием Woodgrove National Bank. Мне нравится подход, основанный на сценариях, но только в том случае, если он дополняет пошаговое руководство, и, к сожалению, здесь его нет — нет снимков экрана о том, как настроить учетную запись пользователя для использования смарт-карты или где находятся параметры групповой политики смарт-карты, только текстовые описания. Я лучше усваиваю информацию с помощью нескольких картинок, за которые могу зацепиться.


В одном я полностью согласен с руководством, а именно в следующем: «Внедрение смарт-карт — это не разовое действие, потому что встроенные в карты сертификаты безопасности требуют управления, и вы должны справляться с ситуациями, в которых администраторы забывают свои смарт-карты, потерять их или украсть». Конечно, это верно для любого аспекта информационной безопасности — цена безопасности — постоянная бдительность. Но поскольку технология смарт-карт — особенно для пользователей VPN в меняющейся среде компании — может быть сложной и сложной в управлении, администраторам необходимо полностью ознакомиться со всеми аспектами технологий смарт-карт и службами Windows Server, которые их поддерживают, прежде чем приступить к работе. и разверните их по всему предприятию.


И Microsoft сделала именно это — развернула смарт-карты для всех администраторов домена в своей компании и для всех пользователей, которым необходим удаленный доступ к корпоративной сети (а это, вероятно, все в компании). И они используют Microsoft Consulting Services и Premier Support для продвижения таких решений среди компаний-партнеров и клиентов, и на то есть веские причины. Вы просто не можете больше игнорировать угрозы и рассчитывать на то, что бизнес выживет. Вы должны убедиться, что те администраторы, которые входят в систему, действительно являются вашими администраторами, а те удаленные пользователи, которые подключаются к вашей корпоративной сети, действительно являются законными сотрудниками.


Тем не менее, я хотел бы, чтобы Microsoft предоставила гораздо более подробный пошаговый пример развертывания решения для смарт-карт, чем тот, который представлен здесь, особенно для доступа к VPN.