Новость из категории: Информация

Просто и понятно о безопасности гибридной Active Directory. Часть II

Содержание:
1. Часть I;
2. Часть II (Вы читаете данный раздел);
3. Часть III;
4. Часть IV;
5. Часть V;
6. Часть VI;
7. Часть VII;
8. Часть VIII;
9. Часть IX;
10. Часть X.
Просто и понятно о безопасности гибридной Active Directory. Часть II

Что они могут сделать?

В современном мире система обеспечения безопасности определяется не только тем, насколько правильно она настроена; важно действовать на опережение перед лицом как кибервзломщиков, стремящихся завладеть учетными данными пользователей, так и сотрудников компании, злоупотребляющих привилегиями для собственной выгоды. Чтобы оценить потенциальный риск, необходимо понимать текущие настройки системы обеспечения безопасности организации, то есть составить определения, что «они» могут сделать в вашей среде.

Кто такие «они»? Привилегированные ИТ-пользователи? Приложения или владельцы бизнеса? Пользователи начального уровня? На что обратить внимание, оценивая текущее состояние безопасности? Если вы следите за отчетами Data Breach Investigation Reports, ежегодно выпускаемыми компанией Verizon, то знаете, что все случаи злоупотребления привилегиями (с участием как кибервзломщиков, овладевших ценными учетными данными, так и работников предприятия) распределяются между ролями внутри организации следующим образом (Verizon, Отчет Data Breach Investigations Report (2016)):
• 14% — руководители и менеджеры высшего звена;
• 14% — привилегированные пользователи (сотрудники ИТ-отделов и пользователи с повышенными правами);
• 72% — обычные пользователи.

Из этих данных видно, что «они» могут быть кем угодно, поэтому следует в большей степени сосредоточиться не на ролях, а на назначенных разрешениях. Плюс к внедрить разнообразные средства защиты, в том числе и code signing certificate, что позволит свести к минимуму использование сомнительных файлов и документов. Итак, идет ли речь о разрешениях внутри AD (и следовательно, AAD)? Одним словом — нет.

Просто и понятно о безопасности гибридной Active Directory. Часть II

Ваша гибридная AD служит фундаментом для доступа к приложениям, системам и данным как локально, так и в Azure (то есть к приложениям Office 365 и приложениям Azure). Например, пользователь начального уровня из финансового отдела может отвечать за сайт SharePoint Online подразделения, где хранятся конфиденциальные финансовые отчеты и данные. Если соответствующая учетная запись скомпрометирована, взломщик может потенциально получить доступ к информации, в разглашении которой организация определенно не заинтересована. Поэтому нужно знать, насколько это возможно, какие разрешения назначены пользователям AD и группам. Соответственно, следует обратить внимание на каждого обладателя повышенных привилегий, в первую очередь на пользователей AD, администраторов домена и лиц, имеющих право изменять пароли, управлять членством в группах и т. д. Затем нужно выйти за рамки AD и рассмотреть все приложения, в которых пользователям и группам AD назначаются разрешения, идентифицировав пользователей с повышенными привилегиями в каждом приложении. Трудность заключается в том, что никакие внешние разрешения, назначенные данному объекту AD, не хранятся в самом объекте. В сущности, вам нужно обратиться к приложению или системе и выяснить, как настроены параметры безопасности. Учитывая огромное количество систем, находящихся в вашем распоряжении, задача принимает угрожающие размеры. Как минимум, вы имеете дело с разрешениями собственно в AD, общих папках, файловых системах NTFS, базах данных SQL Server, Exchange и EOL, SharePoint и SPOL, базах данных и приложениях собственной разработки. Кроме того, есть еще Office 365 и другие приложения, интегрированные с Azure.

В идеальном мире эти нужды были бы документированы. Хотелось бы, чтобы к объектам в AD была добавлена вкладка «Назначенные разрешения» и любая система, которая выбирает данный объект, добавляла бы запись в список; таким образом, было бы центральное место, где можно увидеть наличие разрешений у объекта. Конечно, существуют способы сделать это вручную через встроенную функцию подготовки отчетов на консоли управления данного приложения (в случае приложений Microsoft для такой цели всегда есть PowerShell).

Просто и понятно о безопасности гибридной Active Directory. Часть II

В некоторых случаях, в частности для AD или почтовых ящиков Exchange, это сравнительно простая задача, решаемая с помощью одной команды (например, Get-Acl для AD и Get-MailboxPermission для Exchange). Для других приложений и служб (как локальных, так и в Office 365/Azure) требуются более сложные сценарии, которые мы не рассматриваем в данной статье.

Помните, что команды PowerShell в основном нацелены на объекты приложений. Вопрос звучит следующим образом: «Кто имеет права на данный объект?» Итак, вам нужно сначала найти способ перечислить с помощью PowerShell все объекты (например, папки в файловой системе, почтовые ящики в Exchange и т. д.), а затем извлечь разрешения.

Существуют сторонние решения, с помощью которых можно получить централизованные отчеты о текущем состоянии разрешений (обычно для отдельных приложений). Они позволяют сэкономить время, затрачиваемое на решение такого рода задач, при этом повышая точность собранных данных.

Просто и понятно о безопасности гибридной Active Directory. Часть II

Существуют и другие элементы, которые могут быть интегрированы с AD: приложения, разработанные самостоятельно или полученные от других компаний, кроме Microsoft, а также приложения на основе SaaS вне Azure и т. д. Воспользуйтесь встроенными функциями подготовки отчетов, чтобы определить, какие назначения были сделаны. Независимо от того, каким способом вы решили выяснить, какие разрешения имеет каждый пользователь в вашей организации, возможно, проблема в том, что вы рассматриваете разрешения только в определенный момент времени. Из отчета о текущем состоянии вы не узнаете, что кто-то получил полные права на сайте SharePoint Online финансового отдела на три дня, а затем был удален. Вы видите разрешения такими, какие они сегодня, когда соответствующий сотрудник уже не имеет разрешений. Таким образом, вы упускаете из виду контекст и не можете обеспечить безопасность вашей гибридной AD. Поэтому необходимо озаботиться тем, какие действия выполняют ваши пользователи.

Рейтинг статьи

Оценка
0/5
голосов: 0
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх