Обеспечение безопасности служебных и важных учетных записей

Обеспечение безопасности служебных и важных учетных записей
Посетителей: 11878 \| Просмотров: 23927 (сегодня 0)	Шрифт:

Введение

Первым шагом к обеспечению безопасности корпоративной сети среднего размера является понимание того, какими уязвимостями могут воспользоваться злоумышленники. Главной задачей злоумышленника, проникшего в сеть, является повышение привилегий созданного им плацдарма для получения более широкого доступа. После повышения привилегий очень тяжело предотвратить дальнейшие действия злоумышленника. Злоумышленники используют различные механизмы повышения привилегий, но чаще всего они связаны с атаками на имеющиеся в системе учетные записи, особенно, если они обладают правами администратора.

В корпоративных сетях среднего размера зачастую принимаются меры по обеспечению безопасности обычных учетных записей пользователей, а учетные записи служб остаются без внимания, что делает их уязвимыми и популярными целями злоумышленников. После получения злоумышленником контроля над важной учетной записью с высоким уровнем доступа к сети, вся сеть будет оставаться ненадежной, пока не будет полностью создана заново. Поэтому уровень безопасности всех учетных записей является важным аспектом обеспечения безопасности сети.

Внутренние угрозы, так же как и внешние, могут причинить значительный ущерб корпоративной сети среднего размера. Внутреннюю угрозу создают не только злоумышленники, но и те пользователи, которые могут нанести ущерб ненамеренно. Одним из примеров могут служить на первый взгляд безобидные попытки пользователей получить доступ к ресурсу в обход мер безопасности. Из соображений удобства пользователи и службы также очень часто получают более широкие права, чем необходимо для работы. Хотя такой подход гарантирует пользователям доступ к ресурсам, необходимым для выполнения работы, он также увеличивает опасность успешной атаки на сеть.

Аннотация

Как уже было сказано во введении, управление безопасностью всех типов учетных записей в сети является важным аспектом управления рисками корпоративной сети среднего размера. Во внимание должны приниматься как внешние, так и внутренние угрозы. Решение по защите от таких угроз должно быть сбалансировано с точки зрения безопасности и функциональности сетевых ресурсов, соответствующей потребностям среднего бизнеса.

Данный документ поможет представителям среднего бизнеса осознать риски, связанные с административными учетными записями и учетными записями служб, учетными записями по умолчанию и учетными записями приложений. Приведенные сведения являются основой для разработки и реализации мер по снижению этих рисков. Для этого необходимо рассказать о сути этих учетных записей, о том, как их различать, как определять права, необходимые для работы, и как снижать риски, связанные с повышенными привилегиями учетных записей служб и администраторов.

В рамках инициативы корпорации Майкрософт «Защищенные компьютерные системы» используемые в Microsoft® Windows Server™ 2003 параметры по умолчанию рассчитаны на обеспечение защиты службы каталогов Active Directory® от различных угроз. Однако уровень безопасности учетных записей администраторов корпоративной сети среднего размера можно усилить еще больше, изменив некоторые их параметры. Кроме того, службы, не входящие в состав операционной системы Windows Server 2003 и устанавливаемые другими приложениями, также необходимо защитить. В данном документе описываются способы обеспечения безопасности этих учетных записей и служб, а также содержатся рекомендации по контролю над использованием и управлением административными полномочиями.

Обзор

Данный документ состоит из четырех основных разделов, в которых приводятся сведения по обеспечению безопасности служебных и административных учетных записей в сетях компаний среднего размера. Первый раздел — «Введение» — вы читаете в настоящий момент. Оставшаяся часть документа имеет следующую структуру:

•

Определения. В этом разделе приводятся некоторые основополагающие сведения и описания терминов, встречающихся в документе.

•

Проблемы. В этом разделе описываются некоторые проблемы, с которыми чаще всего приходится сталкиваться компаниям среднего размера при принятии решения о необходимости обеспечения безопасности учетных записей, а также проблемы, связанные с обеспечением безопасности учетных записей администратора и служб.

•

Решения. Этот раздел разделен на три подраздела, в которых приводятся сведения об этапах реализации подходов к обеспечению безопасности важных учетных записей и учетных записей служб в компании среднего размера. Подразделы имеют следующие названия.

•	Оценка. В этом подразделе описываются основные концепции обеспечения важных и учетных записей служб, а также закладывается основа для планирования решения.
•	Разработка. В этом подразделе используются сведения подраздела «Оценка» для разработки решений, помогающих в создании планов усиления безопасности важных учетных записей и учетных записей служб.
•	Развертывание и управление. В этом подразделе описываются рекомендуемые способы реализации защиты учетных записей служб и администраторов в корпоративной сети среднего размера.

Для кого предназначен этот документ

Данный технический документ предназначен для технических специалистов и руководителей технических подразделений, имеющих дело с обеспечением безопасности учетных записей служб, приложений и администраторов в сети Microsoft. Хотя аудитория, не владеющая техническими знаниями, может почерпнуть из данного документа некоторое представление о принципах управления обеспечением безопасности учетных записей, для получения наибольшей пользы от сведений, приведенных в данном документе, необходимо понимание операционной системы Microsoft Windows®, а также концепций и процедур управления учетными записями службы каталогов Active Directory.

Определение

В этом разделе даются определения встречающихся в документе терминов, которые могут требовать разъяснения.

•	Службы. Службы — это исполняемые файлы, которые запускаются при загрузке системы или при возникновении других событий или запланированных действий. Обычно службы работают в фоновом режиме, практически без запросов и взаимодействия с пользователем.
•	Служебные учетные записи. Проще говоря, учетной записью службы называется любая учетная запись, которая не соответствует реальному человеку. Чаще всего это встроенные учетные записи, используемые службами для доступа к ресурсам, необходимым для выполнения их функций. Однако для выполнения отдельных функций некоторым службам нужны учетные записи реальных пользователей, а многие компании все еще практикуют использование учетных записей домена для работы служб.
•	Учетная запись администратора. Несмотря на то, что при установке Microsoft Windows или домена Active Directory по умолчанию создается учетная запись «Администратор», термин «учетная запись администратора» чаще всего используется в широком смысле для описания любой учетной записи, обладающей полномочиями администратора. Для ясности, в данном документе они используются для описания разных понятий.
•	Группы администраторов. Эти группы зависят от установленных служб. В их число могут входить автоматически созданные группы в контейнерах Builtin и Users. В такие группы также входят учетные записи, обладающие правами администратора.
•	Важные учетные записи. В данном документе термин «важная учетная запись» используется для описания учетных записей по умолчанию, которые считаются подверженными высокому риску, поскольку обладают высокими привилегиями и используются повсеместно.
•	Учетная запись с ограниченными правами. Учетная запись с ограниченными правами — это любая учетная запись, не принадлежащая к группе администраторов и не обладающая повышенными привилегиями, аналогичными привилегиями локального администратора или администратора домена. Обычно учетная запись с ограниченными правами входит в группу «Пользователи домена» или в локальную группу «Пользователи».
•	Принцип предоставления наименьшего уровня полномочий. Инструкция Министерства обороны США о критериях оценивания защищённых вычислительных систем (DOD-5200.28-STD) или «Оранжевая книга» является общепринятым стандартом компьютерной безопасности. В данном руководстве принцип предоставления наименьшего уровня полномочий определяется как принцип, согласно которому «каждому субъекту системы предоставляется минимальный набор полномочий (или минимальный допуск), необходимый для выполнения вверенных задач. Применение этого принципа ограничивает ущерб, наносимый в случае случайного, ошибочного или несанкционированного использования».

Трудности

Как было сказано в предыдущем разделе, незащищенные учетные записи администраторов и служб представляют значительную угрозу для безопасности корпоративной сети компании среднего размера. Сложность и быстрый рост большинства корпоративных сетей приводят к тому, что в организации управления учетными записями часто можно найти существенные уязвимости. По этим же причинам обеспечение безопасности важных учетных записей и служб, работающих в сети, становится такой сложной задачей.

Ниже перечислены наиболее часто встречающиеся проблемы, с которыми сталкиваются компании среднего размера при разработке подхода к вопросам безопасности.

•	Защита от внутренних и внешних угроз, связанных с управлением учетными записями и попытками персонала обойти защиту.
•	Определение всех учетных записей служб и приложений, используемых в сети и на локальных компьютерах.
•	Обеспечение безопасности важных учетных записей служб и администраторов, а также учетных записей, связанных с приложениями.
•	Определение учетных записей, связанных со службами и приложениями.
•	Изоляция учетных записей служб от политик паролей учетных записей пользователей.

Решения

Предлагаемые в данном документе решения для управления учетными записями служб и администратора, а также важными учетными записями, основаны на принципе предоставления наименьших полномочий и использовании учетных записей с минимальными полномочиями.

В большинстве учебных курсов и документов по безопасности упоминается принцип предоставления наименьших полномочий. Хотя этот принцип относительно прост для понимания, его реализация способствует резкому повышению безопасности любой компании. Попросту говоря, этот принцип гласит, что все учетные записи должны обладать минимальным набором прав, необходимых для выполнения текущих задачи, и не более того. Данный принцип применим не только к пользователям, но также к компьютерам и запущенным на них службам.

Использование этого принципа помогает не только защититься от злоумышленников и вредоносных программ, но и укрепить безопасность компании за счет тщательного изучения специалистами вопроса о правах доступа, необходимых пользователям, компьютерам и приложениям. Изучение этих сведений является обязательным этапом успешной реализации любой инициативы в области безопасности, поскольку позволяет получить представление о процессах и параметрах, которые могут быть не вполне безопасными и требуют дополнительной защиты.

Например, согласно принципу предоставления наименьших полномочий пользователь, которому назначена роль администратора домена, должен использовать учетную запись, обладающую привилегиями администратора домена, только при выполнении задач, требующих такого уровня доступа. При выполнении задач, не требующих такого высокого уровня привилегий, администратор должен использовать учетную запись, обладающую стандартными правами доступа. Такой подход позволяет снизить количество угроз безопасности, связанных с человеческими ошибками, и уменьшить наносимый ущерб, если рабочая станция администратора будет заражена вредоносной программой.

Оценка

Для обеспечения безопасности важных и служебных учетных записей необходимо определить, какие учетные записи относятся к этим категориям, и какие для них существуют угрозы. Важно также осознавать последствия изменения этих учетных записей, чтобы обеспечить приемлемый уровень влияния этих изменений на работу компании.

Управление важными учетными записями и учетными записями администраторов

Для защиты административных и важных учетных записей и соответствующих групп, необходимо знать какие учетные записи и группы соответствуют этому критерию. Также важно определить сферу действия привилегий администратора и то, на какие системы они распространяются, особенно если речь идет об управлении контроллерами доменов.

Таким образом, важно иметь глубокое понимание сущности учетных записей администраторов и системы, в рамках которой они используются, а также знания о контроллерах доменов и управляющих ими учетных записях.

Группы и учетные записи администраторов

В сети Active Directory имеются указанные ниже административные учетные записи.

•

Учетная запись по умолчанию «Администратор», которая создается при установке Active Directory на первый контроллер домена. Эта учетная запись обладает самыми высокими привилегиями в домене. При ее создании указывается пароль.

•

Всем остальным учетным записям, создаваемым после нее, непосредственно предоставляются привилегии администратора, либо они помещаются в группу администраторов.

Наличие групп администраторов в домене Active Directory зависит от служб, установленных на домене. Базовый домен Active Directory содержит перечисленные ниже группы.

•	Группы администраторов, автоматически создаваемые в контейнере Builtin.
•	Группы администраторов, автоматически создаваемые в контейнере Users.
•	Любые группы, создаваемые позже и помещаемые в группы, обладающие привилегиями администратора, либо такие, которым непосредственно назначаются привилегии администратора.

Администраторы служб и администраторы данных

В среде Active Directory операционной системы Windows Server 2003 существует два типа привилегий администратора: администраторы служб и администраторы данных.

•	Учетные записи администраторов служб управляют обслуживанием и работой служб каталогов. В частности, в сферу их компетенции входит управление контроллерами доменов и службой каталогов Active Directory.
•	Учетные записи администраторов данных управляют данными, хранящимися в службе каталогов, на рядовых серверах и рабочих станциях домена.

Несмотря на то, что в любой системе один и тот же пользователь может выполнять обе этих роли, важно понимать принципы работы используемых по умолчанию учетных записей и групп, которые являются администраторами служб. Учетные записи администраторов служб обладают большой властью в сетевой среде и должны быть защищены лучше всего. Эти учетные записи отвечают за параметры каталога, установку и обслуживание программного обеспечения, а также за установку пакетов обновления и обновлений операционной системы на контроллеры домена.

Таблица 1. Стандартные группы и учетные записи администраторов служб

Имя	Контейнер	Описание
Администраторы	Builtin	Члены этой группы обладают правами полного доступа ко всем контроллерам домена и всему хранящемуся в домене содержимому каталога. Члены этой группы администраторов служб обладают самыми высокими привилегиями и могут изменять состав всех остальных групп администраторов.
Администраторы предприятия	Пользователи	Эта группа автоматически добавляется в группу «Администраторы» каждого домена, а ее члены обладают правом полного доступа к настройкам всех контроллеров домена.
Администраторы домена	Пользователи	Эта группа автоматически добавляется в группу «Администраторы» каждого домена в лесу. Таким образом, члены группы «Администраторы домена» имеют права доступа ко всем контроллерам домена и данным, хранящимся в каталоге домена, а также могут изменять членство любой группы администраторов.
Администраторы схемы	Пользователи	Члены данной группы обладают всеми привилегиями администратора схемы службы каталогов Active Directory.
Операторы учета	Builtin	Члены данной группы могут создавать и управлять учетными записями и группами домена, но не могут управлять учетными записями администраторов служб. По умолчанию данная группа пуста. Рекомендуется не использовать ее для делегирования полномочий администратора.
Операторы архива	Builtin	Члены данной группы обладают правами на выполнение задач архивации и восстановления на контроллерах домена. По умолчанию группа пуста.
Операторы сервера	Builtin	Члены данной группы могут выполнять задачи по обслуживанию контроллеров доменов. По умолчанию группа пуста.
Администратор режима восстановления службы каталогов	Не хранится в службе каталогов Active Directory	Данная учетная запись создается при установке службы каталогов Active Directory. Используется для запуска контроллера домена в режиме восстановления службы каталогов и, хотя она и отличается от учетной записи «Администратор», имеет полный доступ к контроллеру домена, если тот работает в режиме восстановления службы каталогов.

Группы и учетные записи администраторов служб, приведенные в таблице, защищены с помощью фонового процесса, которые периодически проверяет и применяет специальный дескриптор безопасности, содержащий сведения о безопасности, которые связаны с определенным защищенным объектом. Данный процесс затрагивает каждого участника группы администраторов служб и обеспечивает перезапись несанкционированных изменений участников группы администраторов с их заменой на защищенные параметры, содержащиеся в структуре данных дескриптора безопасности.

Структура данных дескриптора безопасности хранится в объекте AdminSDHolder. Следовательно, чтобы изменить разрешения любой группы администраторов служб или их учетных записей, нужно изменить дескриптор безопасности в объекте AdminSDHolder таким образом, чтобы обеспечить согласованное применение изменений. Изменения, внесенные в дескриптор безопасности, приводят к изменению параметров по умолчанию, применяемых ко всем защищенным учетным записям администраторов, поэтому при использовании этого метода модификации разрешений необходимо соблюдать осторожность.

Дополнительные сведения об изменении разрешений учетных записей администраторов служб см. в документе «Рекомендации по обеспечению безопасности службы каталогов Active Directory»

Страницы: 1 2 3 4 5 >

Иcточник: Microsoft TechNet • Опубликована: 26.03.2007

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Похожие материалы раздела

Создание учетных записей и настройка автоматического входа в систему

Теги:

Оценить статью: