Защита и аудит Windows Active Directory (часть 1)
Введение
У меня есть миссия! Я хочу убедиться, что все аудиторы, сетевые администраторы, специалисты по безопасности и все, кто связан с сетью Windows, понимают важность, детали и задачи, необходимые для обеспечения безопасности и аудита их сети. Мы сейчас в 2013 году, и я все еще нахожу, что самые основные задачи упускаются из виду, игнорируются или не понимаются. У нас должны быть системы, процедуры и понимание того, как правильно проводить аудит Windows Active Directory и серверов Windows, а также сетевые администраторы, которые заботятся не только о времени безотказной работы, но и о безопасности. Я не говорю, что мы на 100% провалены. Нигде рядом с этим! Тем не менее, мы, работающие в сфере ИТ-безопасности, получаем намного больше среднего, и я считаю своим долгом выполнять свою работу в полной мере. Эта серия статей призвана заполнить пробелы, открыть глаза и заставить вас мыслить нестандартно, когда речь идет о защите и аудите вашей среды Windows. Там, где это необходимо, будет подробно изложено, а в случае необходимости — на высоком уровне. Когда дело доходит до безопасности, нет правильного или неправильного ответа, но в целом обычно есть «лучший» ответ.
Подготовьтесь морально к тому, чтобы стать администратором Active Directory
Будучи администратором Active Directory большую часть своей жизни, я чувствую, что могу говорить об этом. Active Directory не сильно изменилась за последние 13 лет. Да, произошли большие изменения, но когда дело доходит до фактического управления существующим доменом Active Directory или лесом доменов, процесс не сильно изменился.
Учитывая, что изменений в форме было не так много, необходимо хорошо понимать основные концепции Active Directory и управлять ими, чтобы Active Directory была стабильной и защищенной. Вот некоторые концепции, которые должен понимать каждый администратор домена Active Directory!
- NetBIOS-имя и DNS-имя домена
- Как взаимодействуют концепции домена, дочернего домена, дерева и леса
- Как работает репликация Active Directory между контроллерами домена
- Что реплицируется между контроллерами домена и что уникально для каждого контроллера домена
- Что по умолчанию делает объект групповой политики контроллеров домена (GPO)
- Что по умолчанию делает объект групповой политики домена по умолчанию
- Что такое сайт Active Directory и какую роль играют контроллеры домена, репликация и доступ к Active Directory
- Что групповая политика может сделать для управления пользователями
- Что групповая политика может сделать для управления компьютерами
- Как групповая политика, организационные подразделения и расположение объектов пользователей/компьютеров функционируют вместе
- Что означает делегирование администрирования в Active Directory
- Как управлять делегированием администрирования в Active Directory
- Что такое доверительные отношения и в чем разница между внутренними и внешними трастами
Я мог бы составить список в десять раз больше, но думаю, вы поняли мою мысль! Active Directory большая, огромная и сложная. Чтобы хорошо выполнять свою работу, вам нужно уделять время обучению и идти в ногу с изменениями. Вот несколько концепций, появившихся «после» первоначальной версии Active Directory, о которых должны знать все администраторы Active Directory:
- Доверие на уровне леса
- Функциональные уровни
- Подробные политики паролей
- Реанимация надгробия
- Корзина
- PowerShell
Опять же, этот список можно расширить, но если вы не знакомы с этими понятиями, вам нужно быть!
Будьте морально готовы стать аудитором Active Directory
Я много лет участвую в аудиторском сообществе. Признаюсь, я не был самым «образованным» одитором в мире. По профессии я был администратором Active Directory, и мое знакомство с миром аудита меня немного шокировало. Мне удалось написать серию книг, которые помогут аудиторам понять серверы Active Directory и Windows, и они оказались очень успешными. Я не только предоставил эти книги, но и много лет обучал одиторов и, наконец, создал сайт www.auditingwindowsexpert.com, чтобы помочь этому сообществу.
Как внутренний или внешний аудитор, отвечающий за аудит Windows Active Directory и серверов Windows, вы не можете просто «отчасти знать», о чем говорите. Аналогично администраторам, которым я только что бросил вызов, аудиторы должны иметь базовый набор знаний, чтобы проводить аудит Windows. Как минимум, аудиторам необходимо знать следующее в качестве основы для аудита Windows:
- Что контроллеры домена делают для Active Directory
- Что означают домен, дерево, лес, организационная единица и сайт
- Как политика паролей по умолчанию развертывается для пользователей Active Directory
- Что такое доверительные отношения и какой доступ они предоставляют по умолчанию
- Чем организационное подразделение отличается от группы
- Для чего используется групповая политика и почему она так важна для Active Directory
- Что такое право пользователя
- Почему нельзя установить каждый пакет обновления и патч
- Что такое диспетчер учетных записей безопасности (SAM) для сервера и рабочей станции
- Почему отчет GPO нельзя использовать для аудита
Я бы сказал, что существует от 30 до 35 движущихся частей серверов Active Directory и Windows, которые каждый аудитор должен понимать на очень высоком уровне. Не тот уровень, чтобы администрировать настройки, но достаточно знать важность настроек, чтобы их проверять.
Аудитору необходимо не только знать об этих концепциях, но и быть гибким, когда дело доходит до инструментов и отчетов. Услуга, которую я предоставляю в течение многих лет (особенно в последнее время), — это помощь командам внутреннего аудита в проведении аудита Windows. Я считаю, что большинство аудиторских отделов полагаются на администраторов, которые предоставляют им отчеты хорошего качества, но это просто неприемлемо. Я считаю, что это неприемлемо по нескольким причинам. Во-первых, администраторы заняты и не должны нести ответственность за принятие решений о том, какие инструменты и отчеты необходимы для аудита. Во-вторых, аудиторы должны знать, о чем просить, какие инструменты приемлемы, какие инструменты доступны и в каком формате должен быть каждый отчет. Вот некоторые инструменты, которые, по моему мнению, есть у большинства компаний для аудита:
- Дампсек
- Гиена
- Встроенные инструменты (ADUC, ADDT, services.msc, secpol.msc и т. д.)
- PowerShell
- WSUS
- Инструменты Dell/Quest
- Инструменты VMWare
Почти каждый консалтинговый проект, над которым я работаю, требует, чтобы я изучил инструменты, а затем решил, какие инструменты использовать для сбора информации. Это зависит не от администратора, а от аудитора.
Резюме
Защита и аудит Windows — это не работа с частичной занятостью. Это работа на полный рабочий день, и я надеюсь, что все, кто читает это, понимают, почему. Если нет… позвольте мне освежить вашу память, почему!
- Брэдли «Челси» Мэннинг
- токены RSA
- Лаборатории Ок-Ридж
- Facebook и Марк Цукерберг
- Сони Плейстейшен
Нас атакуют каждый день. Мы подвергаемся атакам не только извне, но большинство наших атак изнутри! Это означает, что наши собственные сотрудники атакуют нас. Это означает, что мы должны полностью защитить внутреннюю сеть (Active Directory), чтобы снизить риск успешной атаки. Отсутствие защиты и обеспечения безопасности наших сетей (аудит) является уместным запросом на атаку! В наших будущих статьях мы обсудим, как администраторы и аудиторы должны работать вместе, какие настройки должны быть защищены, какие элементы управления должны быть проверены и многое другое! Если вам нужна помощь с аудитом, посетите сайт www.auditingwindowsexpert.com или напишите мне по адресу [email protected]