Новость из категории: Информация

Просто и понятно о безопасности гибридной Active Directory. Часть VII

Содержание:
1. Часть I;
2. Часть II ;
3. Часть III;
4. Часть IV;
5. Часть V;
6. Часть VI;
7. Часть VII (Вы читаете данный раздел);
8. Часть VIII;
9. Часть IX;
10. Часть X.
Просто и понятно о безопасности гибридной Active Directory. Часть VII

Неприемлемый доступ?

Часто трудно дать ответ на этот вопрос. Если кто-то из ИТ-подразделения обращается к почтовому ящику главного управляющего в Exchange Online, допустимо ли это? Реагирует ли он на обращение в службу поддержки, чтобы помочь восстановить удаленное сообщение, или просто подглядывает? То же самое относится к сбросу пароля главного управляющего. Само по себе действие не обязательно полностью характеризует ситуацию.

Чтобы определить, вызван ли доступ рабочей необходимостью, надо предусмотреть некоторую политику, указывающую, что выходит за рамки нормального для каждого пользователя с повышенными привилегиями. Почти все действия, перечисленные в начале раздела «Что они делают?», присутствуют и здесь, но с большей конкретикой относительно того, какие учетные записи пользователей, почтовые ящики, папки NTFS, файлы и т.д. находятся вне досягаемости.



Просто и понятно о безопасности гибридной Active Directory. Часть VII

Необходимо следить не только за сотрудниками ИТ-подразделений. Конечно, кто-то должен контролировать контролеров, но требуется охватить всех пользователей, имеющих доступ к конфиденциальной информации. Дело в том, что существует проблема роста числа пользователей с избыточными привилегиями: доступ предоставляется через членство в группах, которые не проверялись годами. Если вы не рассматривали членство в группах, не оценивали все предоставленные права доступа и не проверяли работу группы в течение длительного времени, то можете получить пользователей со слишком широкими правами.

Просто и понятно о безопасности гибридной Active Directory. Часть VII

Проблема избыточных привилегий более распространена, чем можно подумать. Согласно исследованию института Ponemon под названием Corporate data: A Protected Asset or a Ticking Time Bomb?, 71% пользователей имеют доступ к ресурсам, которых им видеть не полагается. Вам не удастся выяснить, является ли действие приемлемым, просто взглянув на него, поэтому следует сосредоточить внимание на определении наборов критических данных и элементов AD, требующих удвоенной бдительности, и настройке некоторого уровня уведомлений. Средство просмотра событий позволяет передавать сообщения по электронной почте с использованием мастера создания простой задачи. В PowerShell для этого существует команда Send-Mail Message. А в центре безопасности и соответствия требованиям Office 365 предусмотрены оповещения о действиях, Activity Alerts. Речь идет о том, чтобы обеспечить безопасность AD и предоставляемый через нее доступ, поэтому обязательно нужны какие-нибудь оповещения, чтобы ИТ-специалисты не узнавали о неприемлемом доступе с опозданием на дни, недели или месяцы. Систему мониторинга можно будет даже автоматизировать, прикупив для этих целей ноутбук асус с мощным железом, способный обрабатывать большие массивы поступающих на него данных.

Получив оповещение о подозрительном изменении, важно выяснить основную причину. Например, если изменен пароль главного управляющего, вопрос не ограничивается тем, кто внес изменения; анализ необходимо расширить, если выяснилось, что лицо, изменившее пароль, обычно не имеет такого права. Затем вам нужно определить, кто предоставил этому лицу такое право и т. д.

Просто и понятно о безопасности гибридной Active Directory. Часть VII

При анализе изменений необходимо выяснить, что конкретно изменилось и сколько пользователей, доменов, приложений и т. д. затронуто. Это может повлечь за собой, как в случае с главным управляющим, серию расследований, чтобы полностью раскрыть диапазон изменений, кто их внес, каким образом были получены разрешения и сколько человек участвовало.

Неприемлемый доступ может заключаться лишь в том, что кто-то увидел не предназначенную для него информацию. Но в некоторых случаях приходится сталкиваться с гораздо более серьезными последствиями, которые могут парализовать деятельность компании хотя бы на короткий период.

Рейтинг статьи

Оценка
0/5
голосов: 0
Ваша оценка статье по пятибальной шкале:
 
 
   

Поделиться

Похожие новости

Комментарии

^ Наверх