Всем доброго дня!
Продолжаем делиться идеями одного из наших авторов — Brian Svidergol, автора книги «Active Directory CookBook». Представляем вторую часть поста, посвященного безопасному управлению AD.
Выделенные подсети для административных задач.
Хороший пример, который приводит Брайан – банковские онлайн-системы: большинство банков использует системы мониторинга рисков, которые отслеживают подозрительные попытки входа в онлайн-клиент, например, если такая попытка осуществляется с нестандартного устройства или на вашем компьютере присутствуют необычные региональные настройки.
Если вы попытаетесь войти в онлайн-клиент из неизвестной подсети (например, в отпуске или командировке), банковская система включит механизм дополнительной аутентификации, такой как смс с кодом подтверждения и др. Но если будут зафиксированы несколько попыток входа из разных стран в течение часа – банковская система скорее всего блокирует вашу учетную запись до выяснения всех обстоятельств.
Советуем организовать выполнение административных задач похожим образом: сотрудникам службы ИБ должны отправляться оповещения, в случае если зафиксирована попытка подключения к административным ресурсам (консолям, серверам и пр.) из обычных подсетей. Идея очень простая, а вот реализовать её на практике достаточно сложно. Проблему представляют веб-интерфейсы для административных задач, которые используют TCP-порт 443. Блокировка трафика до этого порта, проходящего из одних подсетей в другие – трудоемкая задача. Но если вы справились – результат не заставит ждать.
Первый положительный результат – оповещения. Вы получите немедленное оповещение (и сможете действовать по обстоятельствам) если, например, кто-то попытается подключиться к контроллеру домена по протоколу RDP из обычной сети или гостевого вай-фая. Во многих организациях такие подключения возможны из любой сети, в некоторых даже через Интернет!
Вторым преимуществом от использования выделенных подсетей является возможность обеспечить в них дополнительные меры безопасности. Например, многофакторную идентификацию с помощью токенов или смс с одноразовыми кодами.
Выделенные серверы и клиентские машины для административных задач.
В случае, если вы не можете организовать выделенные подсети – используйте хотя бы выделенные серверы и отдельные рабочие станции для выполнения административных задач. Преимущества те же – дополнительные меры безопасности, двухфакторная аутентификация, мониторинг и оповещения о возможных инцидентах. Использование специальных клиентских машин позволяет также отделить рисковые ежедневные задачи (просмотр почты, посещение веб-сайтов) от административных, снизить вероятность фишинговых атак. Наилучший результат достигается при использовании специальных административных учетных записей на выделенных машинах.
Мы пытались выделить основные идеи. Оригинал текста доступен здесь.
Автор: NetWrixRU