Наша взаимовыгодная связь https://banwar.org/
Згідно зі звітом «PWC The 2012 Global State of Information Security Survey» (2012 р), більше 60% всіх інцидентів відбувається з вини працюючих або колишніх співробітників компанії.
Це більше, ніж всі інші разом узяті, включаючи клієнтів, сервіспровайдеров, партнерів, хакерів і терористів. Основними причинами виникнення інцидентів є недбалість або недбалість (39%), системні «глюки» (24%) і шкідливі атаки (37%).
43% успішних шкідливих атак не вимагає глибоких знань і навичок, що повертає нас назад до недбалості і халатності.
В процесі своєї активної діяльності в сфері ІТ-аудиту і ризик-менеджменту мені постійно доводиться стикатися з інцидентами і причинами виникнення цих самих інцидентів. У якийсь момент я вирішив скласти кілька своїх власних топ-10 типових помилок за деякими напрямками діяльності ІТ-відділів різних компаній. І сьогодні я хочу представити чарт «Топ-10 помилок при роботі з Active Directory».
10 місце. Чи не видаляються облікові записи неіснуючих комп'ютерів і звільнених співробітників. Явище, в цілому, невинне, але порядок з «учетке» повинен бути, тому що хаос в облікових записах породжує хаос в системі авторизації в цілому. З іншого боку, помилково віддалену обліковий запис користувача вже не включиш.
9 місце. Плутанина в групових політиках. Тестові упереміш з діючими, дублюючі, а іноді і суперечать один одному, з незрозумілими іменами, незрозуміло ким створені і незрозуміло що роблять. Як наслідок - низька ефективність використання і збільшення витрат на обслуговування, не кажучи вже про безпеки .
8 місце. Використання застарілих версій Active Directory. 2013 рік на дворі, а я як і раніше не можу забути, як виглядає Windows Server 2000. Не кажу вже про 2003-43ю, на неї хоча б підтримка з боку виробника поки не закінчилася (до 2014 року) ... Додати новий контролер домену і знизити старий займає уміючи, приблизно, півгодини. Чи не вміючи - приблизно 2 години з урахуванням пошуку рішення в гуглі. Зате скільки плюсів відразу можна отримати! Це і PSO, і RODC, і DFS-R, і багато іншого.
7 місце. неефективна архітектура AD . Що-що, а люблять наші сисадміни заводити окремі домени. Що не філія - то окремий домен, а ще краще - окремий ліс! А потім починається танець з довірою, репликацией, універсальними групами, десятками контролерів домену та бубном. Є сенс використовувати окремий домен тільки у випадках, коли повинна бути дуже чітка межа безпеки між двома структурами, і буває це вкрай рідко. Найближчим часом я присвячу цьому окрему статтю, так що стежте за новинами .
6 місце. Політики блокування облікових записів. Кількість невдалих спроб авторизації - трохи менше, ніж нескінченність. Хм, відмінний день для зловмисника або вірусу - можна зламати парочку серверів!
5 місце. Запуск інших сервісів на контролері домену. У ті далекі часи, коли про віртуалізації тільки писали в журналах, було цілком нормальним явище, коли на одному сервері запускався контролер домену, DNS-сервер , DHCP-сервер, MS SQL + 1C, файловий сервер, принт-сервер, ну і проксі-сервер до купи. Але сьогодні, в епоху гіпервізора, це абсолютно неприпустимо як з точки зору найкращих практик, так і з точки зору ІТ-безпеки і здорового глузду.
4 місце. Прості паролі. Так, непросто запам'ятати 9 символів складного пароля для бухгалтера, так, на папірці іноді записувати доводиться, але, повірте, для простого вірусу набагато простіше зламати пароль з чотирьох цифр за 2 хвилини, ніж пароль з папірця за кілька десятків років.
3 місце. Права адміністратора домену мають співробітники, що не мають відношення до адміністрування це домену. наприклад, програмісти . Навіщо їм права адміністратора домена? А тому що у них щось там не працював, і ми про всяк випадок дали їм права, раптом запрацює! Але, на жаль, дива не сталося, а права залишилися. А що може накоїти співробітник з повним доступом? Питання риторичне.
2 місце. Для запуску сервісів використовується обліковий запис користувача з правами адміністратора домену, найчастіше, для всіх сервісів одна і та ж, зазвичай це робоча «учетка» системного адміністратора , А часто це обліковий запис domain \ administrator. - А як же зміна пароля, невже всюди міняєте раз на місяць? - А навіщо, у нас нічого секретного немає! - думаю, коментарі тут зайві.
1 місце. Робота під обліковим записом з правами адміністратора, а іноді і адміністратора домену. Тут все просто: у будь-якого необнаруженного вчасно вірусу є права адміністратора. Я вже не кажу про зловмисника .
Як ми бачимо, дані статистики знайшли своє підтвердження в практиці. Як видно з ТОПу-10 помилок, недбалість і / або недбалість сприяють зростанню кількості інцидентів.
Перевірте себе: чи не робите і ви подібні помилки?
Андрій Махнач
керівник відділу інфраструктурних рішень СТОВ «ДПА»
www.dpa.by
Навіщо їм права адміністратора домена?А що може накоїти співробітник з повним доступом?
А як же зміна пароля, невже всюди міняєте раз на місяць?
Перевірте себе: чи не робите і ви подібні помилки?