В данной статье содержатся рекомендации по использованию руководств по планированию безопасности от Microsoft, выпущенных недавно, которые служат для управления учетными записями администратора и выполнения аутентификации смарт-карт.
Корпорация Microsoft прошла долгий путь в улучшении безопасности своей продукции. Такие системы, как Windows XP с Service Pack 2 и Windows Server 2003 с Service Pack 1 теперь “безопасны по умолчанию”, если Вы устанавливаете всю операционную систему с нуля (обновления оказываются настолько же безопасными, насколько была безопасна операционная систему перед их установкой). К примеру, в Windows Server 2003 IIS не устанавливается по умолчанию, а Remote Desktop оказывается деактивированным и т.д.
Проблема заключается в том, что недостаточно просто обезопасить технологию — следует также обезопасить и тех, кто использует и управляет технологией. К примеру — это может быть роль администратора вашей сети. Учетная запись администратора является «всесильной», т.е. администратор вправе делать все, что захочет с сетью. Это может привести к серьезным проблемам в следующих случаях:
Раскол (плохо) или полный распад (очень плохо) — это то, чего Вы ни в коем случае не хотите. Таким образом, вы потратите уйму денег на то, чтобы получить самую безопасную по умолчанию версию Microsoft Windows как для Вашего личного компьютера, так и для серверной машины. Теперь, когда все компьютеры обезопасены, встает вопрос о том, каким образом вы обеспечите безопасность администраторов, управляющих Вашими компьютерами и в руках у которых сосредоточена вся «власть на жизнь» (надежность работы) и «власть на смерть» (голубой экран)? В данному случае нам могут помочь недавно выпущенные руководства по планированию безопасности, которые называются Administrator Accounts Security Planning Guide (руководство по планированию обеспечения безопасности учетной записи администратора) и Secure Access Using Smart Cards Planning Guide (руководство по планированию обеспечения безопасности при доступе с использованием смарт-карты). Давайте окинем взглядом некоторые из их достоинств.
Administrator Accounts Security Planning Guide (руководство по планированию обеспечения безопасности учетной записи администратора)
Данное руководство уделяет основное внимание безопасности учетных записей на уровне администратора и тому, каким образом лучше всего обеспечить подобную безопасность. Меня раздражают в данному руководстве (как и во всех аналогичных ему) следующие факты: (a) слишком большой объем (б) чрезмерная многословность (специалисты по маркетингу, возможно, проводят окончательную проверку подобных изданий) и (в) слишком часто в них повторяются прописные истины (к примеру, “используйте замысловатый пароль” — полная чушь!), а также (г) значительное количество рекомендаций без конкретного указания, какие из них используются постоянно, а какие — только в чрезвычайных ситуациях. С другой стороны, данное руководство занимает лишь 30 страниц, так что вы можете прочитать его за час и почерпнуть немало полезной информации, касающейся защиты учетной записи администратора. Но, как я часто говорю на своем ITreader.net, «позвольте мне прочитать все за вас». Теперь я изложу полезные рекомендации на основе указанного документа.
Во-первых, руководство напоминает нам о том, что компьютеры, которыми пользуются администраторы, должны быть хорошо обезопасены. Сюда включаются все настольные компьютеры, а также все портативные компьютеры, ноутбуки, карманные компьютеры и любые другие мобильные устройства, подключаемые к сети. Не забывайте о всех мобильных устройствах, в особенности, если они беспроводные! Безопасность не означает блокировки с использованием Групповой политики; она включает физическую безопасность и полную надежность. Вы должны быть уверены в том, что компьютер, используемый для администрирования сети, не оборудован регистратором нажатия клавиш или хранителем экрана; либо же подвергался атакам извне (физическим или виртуальным).
Кроме того, руководство поясняет нам, что администраторы должны иметь в своем распоряжении две учетные записи: привилегированную (администратор домена) для административных заданий и непривилегированную (пользователи домена) для обычной работы (просмотр web, email, написание отчетов, и т.д.). на всех компьютерах кроме серверного администраторы должны использовать непривилегированные учетные записи для интерактивной работы, а затем использовать Runas для выполнения административных задач с использованием мандата администратора. Что же, зайду вперед и скажу, что администраторам не следует никогда начинать работы на стационарной или мобильной машине, которую они используют для чего-то еще кроме выполнения задач по администрированию. Почему? Зависимость от безопасности: безопасность Вашей сети походит на цепь, в которой каждый компьютер безопасен настолько, насколько безопасен компьютер с самой слабой системой безопасности. Каждый раз, начиная работу с другого компьютера под учетной записью администратора домена, Вы ослабляете эту цепь. Почему? Потому что повышается риск войти в систему, которая до этого уже была подвергнута атаке извне. Если вы войдете в атакованную систему, используя учетную запись администратора домена, то Вы с таким же успехом можете очистить свой рабочий стол, поскольку вся система уже была «вычищена» плохими ребятами. Зависимость от безопасности представляет собою целый комплекс объектов, и наилучшее объяснение, которое я видел — глава 8 в Защита Вашей сети Windows Ситва Райли и Джеспера Джоаннсона — двух менеджеров по безопасности в корпорации Microsoft. Если вы — администратор предприятия, которое работает с системами Microsoft Windows, то я настоятельно рекомендую Вам купить копию указанной книги и прочитать ее, в особенности — главу 8.
Далее руководство предлагает нам переименовать или деактивировать встроенную учетную запись администратора для каждого домена/системы. Что же мы сделаем? Переименуем или деактивируем? Как и в большинстве руководств, этот вопрос целиком остается на наше усмотрение — большое спасибо! Однако руководство предупреждает, что в случае деактивации учетной записи администратора следует создать новый уровень администрирования для того, чтобы получить выход к сети или всей системе! Кроме того, встроенная учетная запись администратора является также по умолчанию Агентом по восстановлению данных Data Recovery Agent (DRA) для EFS, поэтому перед ее деактивацией вам необходимо создать новый DRA; в противном случае, зашифрованные данные в один день могут стать невосстановимыми. Стив и Джеспер также говорят немало интересного по вопросу использования встроенной учетной записи администратора.
Кроме того, руководство предлагает нам разделить функции «обычных» администраторов и администраторов домена. Это довольно хорошая идея, и, кроме того, еще один повод для того, чтобы не использовать встроенную учетную запись администратора в корневом домене, поскольку по умолчанию она будет принадлежать как к группе администраторов домена, так и к обычным администраторам.
В руководстве также содержится немало интересного о passprop (пакет инструментов Windows 2000 Server) для обеспечения блокировки учетной записи при удаленном доступе к учетным записям администраторов. Имеются рекомендации по использованию MBSA для сканирования паролей на слабость, а также некоторые другие темы. Совет, который мне особенно понравился — разделить пароли администрирования в высоко охраняемой среде на две половины между двумя людьми. Это снижает риск нанесения вреда сети неправильным администрированием. Тем не менее, я полагаю, если один из парней не надежен, то он вполне может предложить второму достаточную сумму денег для того, чтобы переманить его на свою сторону. Если вы используете смарт-карты, то можно оставить саму карту одному человеку, а PIN-код поручить другому. Так, вероятно, и делается на ядерных подводных лодках, однако, маленькие фирмы, наверняка, не будут заходить настолько далеко в поисках лучшей безопасности.
Secure Access Using Smart Cards Planning Guide (руководство по планированию обеспечения безопасности при доступе с использованием смарт-карты)
Данное руководство заинтриговало меня больше, чем предыдущее, поскольку в нем содержится поэтапное описание обеспечения безопасности при использовании смарт-карты на двух уровнях: охрана на уровне администратора и на уровне удаленных пользователей Виртуальной частной сети VPN. После быстрого ознакомления с тем, что собою представляют смарт-карты, руководство объясняет принципы использования смарт-карт в сетях, базирующихся на Windows Server. Это включается в себя PKI (создание собственного с использованием Microsoft Certificate Services, либо покупка у третьей стороны CA), образцы сертификатов, Групповую политику, Сервисы Internet и аутентификации (IAS) для аутентификации RADIUS удаленных пользователей VPN, CMAK для обеспечения соединения с мобильными компьютерами, смарт-карты и устройства для их чтения и т.д. Полезное предложение—создание ряда групп безопасности для управления различными аспектами «жизненного цикла» смарт-карты. Это включает: группы агентов регистрации, продолжительность использования, пользователей смарт-карты, постоянные и временные исключения. Кончено же следует помнить, что не стоить использовать свои PIN или номера водительских прав в качестве PIN-кода для смарт-карты!
Затем, весь процесс использования смарт-карты иллюстрируется на примерах с использованием фиктивного сценария фирмы Woodgrove National Bank. Мне нравится такой подход, однако, только если он сопровождается пошаговыми инструкциями. К сожалению, в данном случае таковые отсутствуют — никаких заставок на тему конфигурирования учетной записи пользователя, использования смарт-карты, местоположения установок Групповой политики смарт-карты—только сплошные текстовые описания! Лично мне гораздо легче понимать все, видя иллюстрации к объяснениям.
В одном я полностью согласен с руководством: “Внедрение смарт-карт—не единовременная акция. Сертификаты безопасности на картах требуют управления, кроме того, Вам следует учитывать ситуации, когда администраторы забывают свои карты, теряют их, или же их вообще крадут.” Прописная истина любого аспекта системы безопасности: цена безопасности — постоянная бдительность. Однако, с использованием технологии смарт-карт (в особенности для пользователей VPN) в меняющейся среде, становится довольно сложно следить за каждым аспектом смарт-технологий и сервисами Windows Server, которые их поддерживают.
Microsoft осуществило это — развернуло использование смарт-карт для администраторов доменов в своей компании и для всех пользователей, которым необходим удаленный доступ к корпоративной сети (пользователи, очевидно, так или иначе соотносятся с компанией).Они используют Microsoft Consulting Services и Premier Support для популяризации подобного метода среди партнерских компаний и клиентов. Вы не можете просто игнорировать потенциальную угрозу, надеясь на то, что Ваш бизнес выстоит! Вы должны быть уверены в том, что тот, кто входит в сеть в качестве администратора, действительно является таковым, что удаленные пользователи вашей корпоративной сети являются официальными служащими.
Хотелось бы надеяться, что Microsoft предоставит гораздо более детализированный, пошаговый и очень точный пример использования смарт-карт, чем тот, который представлен в данном руководстве; в особенности это касается доступа VPN.
Источник www.windowsecurity.com
Tags: nat, redirect, vpn, Windows XP