У овом чланку покушао сам да сакупим основна организациона и техничка правила за коришћење административних налога у организацији са циљем побољшања сигурности у Виндовс домену. Употреба ових препорука значајно ће повећати заштиту рачунара домена Ацтиве Дирецтори од напада сличних летњем инциденту са Петиа рансомваре-ом, а један од метода дистрибуције између рачунара домена (поред рањивости у СМБв1) био је даљински приступ користећи административне податке добијене из меморије (коришћење услужног програма сличног Мимикатз). Можда су неке препоруке контроверзне или непримјењиве за одређене случајеве, али ипак треба тежити њима.
Дакле, у претходном чланку смо испитали основне методе заштите од вађења лозинки из меморије помоћу Мимикатз-а. Међутим, све ове техничке мере могу бити бескорисне ако се основна правила за обезбеђивање административних рачуна не примене у Виндовс домени..
Основно правило за употребу - максимално ограничење административних привилегија, и за кориснике и за администраторе. Потребно је тежити да се корисницима и групама подршке пруже само она права која су неопходна за свакодневне задатке.
Основна листа правила:
- Налози администратора домена / организације требају се користити само за управљање доменом и контролерима домена. Не можете користити ове налоге за приступ радним станицама и управљање њима. Сличан захтев треба да буде постављен и за администраторове налоге сервера.
- За рачуне администратора домена препоручљиво је користити двофакторну аутентификацију
- На својим радним станицама администратори морају да раде под рачунима са правима редовног корисника
- Да бисте заштитили привилеговане налоге (домен, Екцханге, администратори сервера), размислите о употреби групе заштићених корисника (заштићени корисници)
- Спречити употребу деперсонализованих општих административних рачуна. Сви административни налози морају бити персонифицирани
- Не можете покренути услуге путем административних налога (и још више администратора домена), препоручљиво је користити наменске налоге или управљане сервисне налоге .
- Онемогућавање корисника под локалним администраторима
Наравно, политичарима је неопходно да обезбеде довољну дужину и сложеност лозинке за кориснике и администраторе и услове блокирања. Говорим о правилима секција Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Политика налога (види чланак хттпс://винитпро.ру/индек.пхп/2018/10/26/политика-паролеј-уцхетник-записеј-в-ацтиве-дирецтори/):
- Политика лозинке
- Политика закључавања рачуна
Можете поставити строже захтеве за дужину и сачувану историју лозинки за администраторе користећи Фино-Граинед Полицијске политике.
Што се тиче уграђеног налога на рачунару корисника. Не можете користити исте лозинке локалног администратора на свим рачунарима. Препоручљиво је да генерално онемогућите (или барем преименујете) локални налог администратора. Да бисте редовно мењали лозинку овог налога у јединствену на сваком рачунару у мрежи, можете користити ЛАПС.
Групне политике морају да ускрате приступ мрежи помоћу локалних налога и удаљене пријаве за РДП. Ове политике су у одељку. Конфигурација рачунара -> Подешавања оперативног система Виндовс -> Подешавања сигурности -> Локална правила -> Додјела права корисника.
- Забраните приступ овом рачунару са мреже - Забраните приступ овом рачунару са мреже
- Забраните пријављивање путем услуга удаљене радне површине - Забрани пријаву на услуге удаљене радне површине
- Одбаци записник на као а серија посао - Одбијте пријаву као пакетни посао
- Одбаци записник на као а услуга - Одбијте пријаву као услугу
Након завршетка административне сесије (инсталација софтвера, подешавање система итд.) Боље је поново покренути рачунар корисника. И на РДС серверима форсирајте обуставу суспендованих сесија користећи смернице у одељку Конфигурација рачунара-> Политике-> Административни предлошци-> Компоненте Виндовс-> Услуге удаљене радне површине-> Домаћин сесије на удаљеној радној површини -> Ограничења времена сесије.
У домену са Виндовс Сервер 2016, можете да користите нову функцију привременог чланства у групи да бисте привремено одобрили административна права.
У овоме сам описао правила приоритета која ће вам помоћи да повећате ниво заштите административних налога у вашем Виндовс домену. Наравно, овај чланак не тврди да је пуноправан водич о заштити и ограничавању права административних налога, али могао би вам постати полазна основа за изградњу сигурне инфраструктуре. За даљње проучавање ове теме, препоручујем почетак студије Мицрософтове документације: Најбоље праксе за обезбеђивање Ацтиве Дирецтори-а.