Monday, December 11th, 2017

Пять самых значительных настроек безопасности аудита

Published on Февраль 2, 2009 by   ·   Комментариев нет

В этой статье мы рассмотрим пятерку самых важных настроек безопасности, которые необходимо проверить, чтобы защитить ваши компьютеры самым лучшим способом.

Безопасность вашей среды Windows постоянно меняется. Неважно, был ли компьютер только что установлен, или он работал годами, существует большой шанс того, что он не удовлетворяет стандартам безопасности, которые вы предъявляете к компьютерам в вашей организации. Для того, чтобы найти эти неправильные настройки безопасности, обычно вам необходимо провести внутренний или внешний аудит безопасности. Если у вас очень мало времени, то существуют некоторые ключевые настройки безопасности, которые необходимо проверить в вашей корпоративной Windows Active Directory. В этой статье мы рассмотрим пять самых важных настроек безопасности, которые необходимо проверить для защиты ваших вложений лучшим образом.

Безопасность Windows Active Directory

Я выбрал эти настройки безопасности по нескольким причинам. Во-первых, существуют стандартные атаки, которые проводятся на среду Windows, против которых эти настройки безопасности помогут защититься в случае правильной настройки. Во-вторых, в основе Windows лежат некоторые настройки безопасности, которые исторически не являются безопасными по умолчанию. Без начальной и рутинной проверки этих параметров некоторые из ваших компьютеров могут по-прежнему работать с использованием этих небезопасных настроек по умолчанию. Наконец, из моего опыта, эти настройки часто пропускают или настраивают неправильно, даже в большинстве безопасных и приспособленных сетей.

#1 Политики по назначению пароля

Политики по назначению пароля для домена Active Directory изначально настраиваются для объекта Default Domain Policy Group Policy Object (GPO). Существует несколько настроек в этой категории, которые необходимо установить по крайней мере до стандартного уровня безопасности. Вы должны проверить ваши политики, касающиеся безопасности и определить, какие из значений необходимо установить для вашей корпорации. Если вы не установите эти параметры в вашей политике безопасности, то ниже приведены некоторые рекомендованные значения:

Настройки политики безопасности (Password Policy Setting) Рекомендованные интервал значений (Recommended value range)
Enforce password history (увеличение истории паролей) От 12 до 24 паролей
Maximum password age (максимальное время жизни пароля) От 30 до 90 дней
Minimum password age (минимальное время жизни пароля) От 1 до 3 дней
Minimum password length (максимальная длина пароля) От 7 до 14 символов
Password must meet complexity requirements (пароль должен удовлетворять требованиям по сложности) Enabled (включено)
Store password using reversible encryption (хранить пароль с использованием шифрования) Disabled (отключено)

Таблица 1

Эти настройки хранятся в объекте Default Domain Policy GPO по умолчанию, но их не нужно проверять там. Вместо этого необходимо провести анализ при помощи инструмента под названием DUMPSEC или с помощью локальной политики безопасности контроллера домена (запустите GPEDIT.MSC из командной строки на контроллере домена domain controller). Если вы используете DUMPSEC, то информация о требованиях к сложности пароля не будут собираться, т.к. для получения этой информации используется другой метод. Локальные политики безопасности предоставляют всю информацию об этих настройках для аудита.

#2 Account Lockout Policy (политика блокирования учетной записи)

Политика блокирования учетной записи контролирует, что случится, если пользователь забыл свой пароль. Конечно, лучшее отражение атак хакеров, которые пытаются подобрать пароль, это убедиться в правильности настроек установлены в вашей политике безопасности. Если ваша политика безопасности не настроена для этих параметров, то следующая таблица представляет некоторые наиболее рекомендуемые значения.

Настройки (Account Lockout Policy Setting) Рекомендованный интервал значений (Recommended value range)
Account lockout duration (продолжительность блокирования учетной записи) 9999 (можно поставить число поменьше, например 5, но никогда не стоит ставить 0)
Account lockout threshold (порог блокирования учетной записи) От 3 до 5
Reset account lockout counter after (сбрасывать счетчик блокирования учетной записи после) 9999

Таблица 2

Эти настройки хранятся в объекте Default Domain Policy GPO по умолчанию, но здесь они не должны проходить аудит. Вместо этого необходимо использовать инструмент DUMPSEC или локальные политики безопасности контроллера домена (запустите GPEDIT.MSC из командной строки на контроллере домена).

#3 Членство в группе корпоративных администраторов

Члены группы корпоративных администраторов – одни из самых важных групп в корпоративном Active Directory. Члены этой группы могут вносить глобальные изменения в функции корпоративного значения. Эти изменения включают модификацию сайтов Active Directory, изменение конфигурации корпоративной DFS и т.д. У членов этой группы есть также контроль над всеми учетными записями пользователей, группами учетных записей и учетными записями компьютеров во всем домене.

Эта группа существует только в корневом домене (root domain). Поэтому для аудита этой группы вам необходимо проверить одни домен в лесу Active Directory. Эта группа должна быть ограничена лишь несколькими администраторами. Т.к. членов группы администраторов домена в корневом домене можно добавлять и удалять к этой группе, то я предположу, что в этой группе нет членов на ежедневной основе.

DUMPSEC выполняет превосходную работу по аудиту этой группы. Вы также можете использовать пользователей и компьютеры Active Directory для просмотра групп и пользователей, которые входят в эту группу.

#4 Членство в группе администраторов схемы

Группа администраторов схемы (Schema Admins) – это такая же важная группа, как и группа корпоративных администраторов, но совершенно в другом аспекте Active Directory. Члены группы администраторов схемы могут модифицировать схему Active Directory, что может повлиять на все домены (domain) в лесу (forest). Беспорядочная модификация схемы может повредить всю корпоративную Active Directory.

Также эта группа существует только в корневом домене (root domain). Снова эта группа может не содержать членов, т.к. изменения схемы очень редки и очень четко контролируются. При ограниченном количестве членов или их полном отсутствии изменения гораздо проще контролировать и управлять ими.

DUMPSEC превосходно справляется с аудитом этой группы. Вы можете просто использовать средство Active Directory Users and Computers для просмотра членов этой группы.

#5 Членство в группе администраторов домена

Одна группа, члены которой имеют глобальный контроль над всеми пользователями, группами и компьютерами в одном домене – это группа администраторов домена. Эта группа очень важная и используется на ежедневной основе. Количество членов этой группы должно быть также ограничено, но обычно оно не должно быть нулевым. Вместо того, чтобы добавлять пользователей в эту группу для выполнения доменных функций, вы должны использовать делегацию Active Directory delegation. Это позволит сохранить четкий контроль над всеми функциями Active Directory functions, не теряя при этом силы группы администраторов домена. Эта группа существует во всех доменах Active Directory и нуждается в подробном аудите.

DUMPSEC превосходно справляется с аудитом этой группы. Вы можете просто использовать средство Active Directory Users and Computers для просмотра членов этой группы.

Резюме

Контроль среды Active Directory необходим хотя бы на основном уровне. Если политики задания пароля для пользователя очень слабые, пароль можно легко подобрать, пароль редко меняется или не задан вовсе, то сеть и корпорация останется уязвимой. Гарантия того, что все выше перечисленные значения в политиках назначения пароля и блокирования учетной записи правильно настроены и имеют рекомендованные значения, позволяет уберечь сеть и корпорацию от атак. Точно также, необходимо жестко контролировать членство в трех основных группах корпоративной Active Directory и проводить постоянный мониторинг. Если пользователь получает права группы администраторов корпорации, схемы или домена, то могут появится некоторые нарушения и проблемы.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]