Wednesday, February 21st, 2018

Обзор руководств по планированию безопасности от Microsoft

Published on Февраль 3, 2009 by   ·   Комментариев нет

В данной статье содержатся рекомендации по использованию руководств по планированию безопасности от Microsoft, выпущенных недавно, которые служат для управления учетными записями администратора и выполнения аутентификации смарт-карт.

Корпорация Microsoft прошла долгий путь в улучшении безопасности своей продукции. Такие системы, как Windows XP с Service Pack 2 и Windows Server 2003 с Service Pack 1 теперь “безопасны по умолчанию”, если Вы устанавливаете всю операционную систему с нуля (обновления оказываются настолько же безопасными, насколько была безопасна операционная систему перед их установкой). К примеру, в Windows Server 2003 IIS не устанавливается по умолчанию, а Remote Desktop оказывается деактивированным и т.д.

Проблема заключается в том, что недостаточно просто обезопасить технологию — следует также обезопасить и тех, кто использует и управляет технологией. К примеру — это может быть роль администратора вашей сети. Учетная запись администратора является «всесильной», т.е. администратор вправе делать все, что захочет с сетью. Это может привести к серьезным проблемам в следующих случаях:

  • Если кто-либо украл пароль к учетной записи администратора, то Ваша сеть может быть расколота (если это локальная сеть), либо может быть «спечен» Ваш домен (если учетная запись принадлежит администратору домена).
  • Если кто-либо проникает внутрь Вашей сети и использует незащищенные патчем места для того, чтобы поднять их уровень до уровня администратора. В таком случае вся Ваша информация снова оказывается вскрытой.
  • Если администратор сети работает на Вас по найму, и вы не особенно хорошо знаете о его предыдущей работе, то может получиться, что Вы доверяете свой бизнес криминальным элементам.
  • Если ранее довольный администратор Вашей компании вдруг становится раздражительным и нервным из-за того, что не пошел на повышение, то он может установить на компьютеры неисправное программное обеспечение, которое будет работать под мандатом администратора. Затем, такой администратор уволится от Вас, а программное обеспечение через некоторое время нанесет свой скрытый удар по вашим базам данных.
  • Если вы нанимаете в качестве администратора человека, у которого нет соответствующих технических навыков и квалификации, то подобный человек может допустить серьезные ошибки при использовании учетной записи администратора. К примеру, он может удалить цифровые сертификаты, используемые для идентификации рабочих Вашей компании, либо — переформатировать диск C: на контроллере домена, или же просматривать «черные» сайты и ненароком подцепить там червя, который в один злосчастный день станет разрушителем всего вашего бизнеса.

Раскол (плохо) или полный распад (очень плохо) — это то, чего Вы ни в коем случае не хотите. Таким образом, вы потратите уйму денег на то, чтобы получить самую безопасную по умолчанию версию Microsoft Windows как для Вашего личного компьютера, так и для серверной машины. Теперь, когда все компьютеры обезопасены, встает вопрос о том, каким образом вы обеспечите безопасность администраторов, управляющих Вашими компьютерами и в руках у которых сосредоточена вся «власть на жизнь» (надежность работы) и «власть на смерть» (голубой экран)? В данному случае нам могут помочь недавно выпущенные руководства по планированию безопасности, которые называются Administrator Accounts Security Planning Guide (руководство по планированию обеспечения безопасности учетной записи администратора) и Secure Access Using Smart Cards Planning Guide (руководство по планированию обеспечения безопасности при доступе с использованием смарт-карты). Давайте окинем взглядом некоторые из их достоинств.

Administrator Accounts Security Planning Guide (руководство по планированию обеспечения безопасности учетной записи администратора)

Данное руководство уделяет основное внимание безопасности учетных записей на уровне администратора и тому, каким образом лучше всего обеспечить подобную безопасность. Меня раздражают в данному руководстве (как и во всех аналогичных ему) следующие факты: (a) слишком большой объем (б) чрезмерная многословность (специалисты по маркетингу, возможно, проводят окончательную проверку подобных изданий) и (в) слишком часто в них повторяются прописные истины (к примеру, “используйте замысловатый пароль” — полная чушь!), а также (г) значительное количество рекомендаций без конкретного указания, какие из них используются постоянно, а какие — только в чрезвычайных ситуациях. С другой стороны, данное руководство занимает лишь 30 страниц, так что вы можете прочитать его за час и почерпнуть немало полезной информации, касающейся защиты учетной записи администратора. Но, как я часто говорю на своем ITreader.net, «позвольте мне прочитать все за вас». Теперь я изложу полезные рекомендации на основе указанного документа.

Во-первых, руководство напоминает нам о том, что компьютеры, которыми пользуются администраторы, должны быть хорошо обезопасены. Сюда включаются все настольные компьютеры, а также все портативные компьютеры, ноутбуки, карманные компьютеры и любые другие мобильные устройства, подключаемые к сети. Не забывайте о всех мобильных устройствах, в особенности, если они беспроводные! Безопасность не означает блокировки с использованием Групповой политики; она включает физическую безопасность и полную надежность. Вы должны быть уверены в том, что компьютер, используемый для администрирования сети, не оборудован регистратором нажатия клавиш или хранителем экрана; либо же подвергался атакам извне (физическим или виртуальным).

Кроме того, руководство поясняет нам, что администраторы должны иметь в своем распоряжении две учетные записи: привилегированную (администратор домена) для административных заданий и непривилегированную (пользователи домена) для обычной работы (просмотр web, email, написание отчетов, и т.д.). на всех компьютерах кроме серверного администраторы должны использовать непривилегированные учетные записи для интерактивной работы, а затем использовать Runas для выполнения административных задач с использованием мандата администратора. Что же, зайду вперед и скажу, что администраторам не следует никогда начинать работы на стационарной или мобильной машине, которую они используют для чего-то еще кроме выполнения задач по администрированию. Почему? Зависимость от безопасности: безопасность Вашей сети походит на цепь, в которой каждый компьютер безопасен настолько, насколько безопасен компьютер с самой слабой системой безопасности. Каждый раз, начиная работу с другого компьютера под учетной записью администратора домена, Вы ослабляете эту цепь. Почему? Потому что повышается риск войти в систему, которая до этого уже была подвергнута атаке извне. Если вы войдете в атакованную систему, используя учетную запись администратора домена, то Вы с таким же успехом можете очистить свой рабочий стол, поскольку вся система уже была «вычищена» плохими ребятами. Зависимость от безопасности представляет собою целый комплекс объектов, и наилучшее объяснение, которое я видел — глава 8 в Защита Вашей сети Windows Ситва Райли и Джеспера Джоаннсона — двух менеджеров по безопасности в корпорации Microsoft. Если вы — администратор предприятия, которое работает с системами Microsoft Windows, то я настоятельно рекомендую Вам купить копию указанной книги и прочитать ее, в особенности — главу 8.

Далее руководство предлагает нам переименовать или деактивировать встроенную учетную запись администратора для каждого домена/системы. Что же мы сделаем? Переименуем или деактивируем? Как и в большинстве руководств, этот вопрос целиком остается на наше усмотрение — большое спасибо! Однако руководство предупреждает, что в случае деактивации учетной записи администратора следует создать новый уровень администрирования для того, чтобы получить выход к сети или всей системе! Кроме того, встроенная учетная запись администратора является также по умолчанию Агентом по восстановлению данных Data Recovery Agent (DRA) для EFS, поэтому перед ее деактивацией вам необходимо создать новый DRA; в противном случае, зашифрованные данные в один день могут стать невосстановимыми. Стив и Джеспер также говорят немало интересного по вопросу использования встроенной учетной записи администратора.

Кроме того, руководство предлагает нам разделить функции «обычных» администраторов и администраторов домена. Это довольно хорошая идея, и, кроме того, еще один повод для того, чтобы не использовать встроенную учетную запись администратора в корневом домене, поскольку по умолчанию она будет принадлежать как к группе администраторов домена, так и к обычным администраторам.

В руководстве также содержится немало интересного о passprop (пакет инструментов Windows 2000 Server) для обеспечения блокировки учетной записи при удаленном доступе к учетным записям администраторов. Имеются рекомендации по использованию MBSA для сканирования паролей на слабость, а также некоторые другие темы.  Совет, который мне особенно понравился — разделить пароли администрирования в высоко охраняемой среде на две половины между двумя людьми. Это снижает риск нанесения вреда сети неправильным администрированием. Тем не менее, я полагаю, если один из парней не надежен, то он вполне может предложить второму достаточную сумму денег для того, чтобы переманить его на свою сторону. Если вы используете смарт-карты, то можно оставить саму карту одному человеку, а PIN-код поручить другому. Так, вероятно, и делается на ядерных подводных лодках, однако, маленькие фирмы, наверняка, не будут заходить настолько далеко в поисках лучшей безопасности.

Secure Access Using Smart Cards Planning Guide (руководство по планированию обеспечения безопасности при доступе с использованием смарт-карты)

Данное руководство заинтриговало меня больше, чем предыдущее, поскольку в нем содержится поэтапное описание обеспечения безопасности при использовании смарт-карты на двух уровнях: охрана на уровне администратора и на уровне удаленных пользователей Виртуальной частной сети VPN. После быстрого ознакомления с тем, что собою представляют смарт-карты, руководство объясняет принципы использования смарт-карт в сетях, базирующихся на Windows Server. Это включается в себя PKI (создание собственного с использованием Microsoft Certificate Services, либо покупка у третьей стороны CA), образцы сертификатов, Групповую политику, Сервисы Internet и аутентификации (IAS) для аутентификации RADIUS удаленных пользователей VPN, CMAK для обеспечения соединения с мобильными компьютерами, смарт-карты и устройства для их чтения и т.д. Полезное предложение—создание ряда групп безопасности для управления различными аспектами «жизненного цикла» смарт-карты. Это включает: группы агентов регистрации, продолжительность использования, пользователей смарт-карты, постоянные и временные исключения. Кончено же следует помнить, что не стоить использовать свои PIN или номера водительских прав в качестве PIN-кода для смарт-карты!

Затем, весь процесс использования смарт-карты иллюстрируется на примерах с использованием фиктивного сценария фирмы Woodgrove National Bank. Мне нравится такой подход, однако, только если он сопровождается пошаговыми инструкциями. К сожалению, в данном случае таковые отсутствуют — никаких заставок на тему конфигурирования учетной записи пользователя, использования смарт-карты, местоположения установок Групповой политики смарт-карты—только сплошные текстовые описания! Лично мне гораздо легче понимать все, видя иллюстрации к объяснениям.

В одном я полностью согласен с руководством: “Внедрение смарт-карт—не единовременная акция. Сертификаты безопасности на картах требуют управления, кроме того, Вам следует учитывать ситуации, когда администраторы забывают свои карты, теряют их, или же их вообще крадут.” Прописная истина любого аспекта системы безопасности: цена безопасности — постоянная бдительность. Однако, с использованием технологии смарт-карт (в особенности для пользователей VPN) в меняющейся среде, становится довольно сложно следить за каждым аспектом смарт-технологий и сервисами Windows Server, которые их поддерживают.

Microsoft осуществило это — развернуло использование смарт-карт для администраторов доменов в своей компании и для всех пользователей, которым необходим удаленный доступ к корпоративной сети (пользователи, очевидно, так или иначе соотносятся с компанией).Они используют Microsoft Consulting Services и Premier Support для популяризации подобного метода среди партнерских компаний и клиентов. Вы не можете просто игнорировать потенциальную угрозу, надеясь на то, что Ваш бизнес выстоит! Вы должны быть уверены в том, что тот, кто входит в сеть в качестве администратора, действительно является таковым, что удаленные пользователи вашей корпоративной сети являются официальными служащими.

Хотелось бы надеяться, что Microsoft предоставит гораздо более детализированный, пошаговый и очень точный пример использования смарт-карт, чем тот, который представлен в данном руководстве; в особенности это касается доступа VPN.

Источник www.windowsecurity.com


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]