Внедрение узлов безопасного администрирования узлов
Безопасные административные узлы — это рабочие станции или серверы, настроенные специально для создания безопасных платформ, из которых привилегированные учетные записи могут выполнять административные задачи в Active Directory или на контроллерах домена, системах, присоединенных к домену, и приложениях, работающих в системах, присоединенных к домену. В этом случае "привилегированные учетные записи" относятся не только к учетным записям, которые являются членами наиболее привилегированных групп в Active Directory, но и к любым учетным записям, которые были делегированы права и разрешения, которые позволяют выполнять административные задачи.
Эти учетные записи могут быть учетными записями службы технической поддержки, которые могут сбрасывать пароли для большинства пользователей в домене, учетных записей, которые используются для администрирования записей DNS и зон или учетных записей, используемых для управления конфигурацией. Безопасные административные узлы предназначены для административных функций, и они не запускают программное обеспечение, например почтовые приложения, веб-браузеры или программное обеспечение для повышения производительности, например Microsoft Office.
Хотя наиболее привилегированные учетные записи и группы должны быть наиболее строго защищены, это не устраняет необходимость защиты любых учетных записей и групп, которым назначены привилегии выше стандартных учетных записей пользователей.
Безопасный административный узел может быть выделенной рабочей станцией, которая используется только для административных задач, сервера-члена, на котором выполняется роль сервера шлюза удаленных рабочих столов и к которому ИТ-пользователи подключаются для администрирования конечных узлов, или сервер, на котором выполняется роль Hyper-V, и предоставляет уникальную виртуальную машину для каждого ИТ-пользователя, который будет использоваться для выполнения административных задач. Во многих средах могут быть реализованы сочетания всех трех подходов.
Реализация безопасных административных узлов требует планирования и настройки, которая соответствует размеру организации, административным методикам, аппетиту к рискам и бюджету. Рекомендации и варианты реализации безопасных административных узлов приведены здесь, чтобы использовать для разработки стратегии администрирования, подходящей для вашей организации.
Принципы создания безопасных административных узлов
Чтобы эффективно защитить системы от атак, следует учитывать несколько общих принципов:
Никогда не следует администрировать надежную систему (т. е. защищенный сервер, например контроллер домена) с менее доверенным узлом (т. е. рабочей станцией, которая не защищена до той же степени, что и системы, которыми она управляет).
При выполнении привилегированных действий не следует полагаться на один фактор проверки подлинности; т. е. сочетания имен пользователей и паролей не следует рассматривать как допустимую проверку подлинности, так как представлен только один фактор (то, что вы знаете). Учитывайте, где создаются, кэшируются и хранятся учетные данные администраторов.
Хотя большинство атак в текущем ландшафте угроз используют вредоносные программы и вредоносные взлома, не опустите физическую безопасность при разработке и реализации безопасных административных узлов.
Конфигурация учетной записи
Даже если ваша организация в настоящее время не использует смарт-карты, следует рассмотреть возможность их реализации для привилегированных учетных записей и безопасных административных узлов. Административные узлы должны быть настроены для обязательного входа смарт-карты для всех учетных записей, изменив следующий параметр в объекте групповой политики, связанном с подразделениями, содержащими административные узлы:
Конфигурация компьютера\Политики\Параметры Windows\Локальные политики\Параметры безопасности\Интерактивный вход: требуется смарт-карта
Для этого параметра потребуются все интерактивные входы в систему, чтобы использовать смарт-карту независимо от конфигурации отдельной учетной записи в Active Directory.
Кроме того, необходимо настроить безопасные административные узлы для разрешения входа только авторизованными учетными записями, в которых можно настроить следующие параметры:
Конфигурация компьютера\Политики\Параметры Windows\Локальные политики\Параметры безопасности\Локальные политики\Назначение прав пользователя
Это предоставляет интерактивные права на вход только авторизованным пользователям защищенного административного узла (и, где это необходимо, службы удаленных рабочих столов).
Физическая безопасность
Чтобы административные узлы считались надежными, они должны быть настроены и защищены в той же степени, что и системы, которыми они управляют. Большинство рекомендаций, приведенных в разделе "Защита контроллеров домена против атаки ", также применимы к узлам, которые используются для администрирования контроллеров домена и базы данных AD DS. Одна из проблем реализации безопасных административных систем в большинстве сред заключается в том, что физическая безопасность может быть сложнее реализовать, так как эти компьютеры часто находятся в областях, которые не так безопасны, как серверы, размещенные в центрах обработки данных, например рабочих столов административных пользователей.
Физическая безопасность включает управление физическим доступом к административным узлам. В небольшой организации это может означать, что вы поддерживаете выделенную административную рабочую станцию, которая хранится в офисе или на рабочем столе, если не используется. Или это может означать, что, если необходимо выполнить администрирование Active Directory или контроллеров домена, вы входите непосредственно в контроллер домена.
В организациях среднего размера можно рассмотреть возможность реализации безопасных административных серверов перехода, расположенных в защищенном расположении в офисе и используемых при управлении active Directory или контроллерами домена. Вы также можете реализовать административные рабочие станции, которые заблокированы в безопасных расположениях, если они не используются, с серверами перехода или без них.
В крупных организациях можно развернуть серверы перехода, размещенные в центре обработки данных, которые обеспечивают строго контролируемый доступ к Active Directory; контроллеры домена; и файл, печать или серверы приложений. Реализация архитектуры сервера перехода, скорее всего, включает сочетание безопасных рабочих станций и серверов в больших средах.
Независимо от размера организации и проектирования административных узлов необходимо защитить физические компьютеры от несанкционированного доступа или кражи, а также использовать шифрование дисков BitLocker для шифрования и защиты дисков на административных узлах. Реализуя BitLocker на административных узлах, даже если узел украден или его диски удалены, можно убедиться, что данные на диске недоступны для несанкционированных пользователей.
Версии и конфигурация операционной системы
Все административные узлы, независимо от того, какие серверы или рабочие станции, должны запускать новейшую операционную систему, используемую в вашей организации, по причинам, описанным ранее в этом документе. Выполняя текущие операционные системы, администраторы получают преимущества от новых функций безопасности, полной поддержки поставщиков и дополнительных функций, представленных в операционной системе. Кроме того, при оценке новой операционной системы, сначала развернув ее на административных узлах, необходимо ознакомиться с новыми функциями, параметрами и механизмами управления, которые он предлагает, которые впоследствии можно использовать при планировании более широкого развертывания операционной системы. К тому же самые сложные пользователи в вашей организации также будут пользователями, знакомыми с новой операционной системой и наиболее подходящими для поддержки.
Мастер настройки безопасности Майкрософт
При реализации серверов переходов в рамках стратегии администрирования следует использовать встроенный мастер настройки безопасности для настройки службы, реестра, аудита и брандмауэра, чтобы уменьшить область атаки сервера. Когда параметры конфигурации мастера конфигурации безопасности собраны и настроены, параметры можно преобразовать в объект групповой политики, который используется для обеспечения согласованной конфигурации базовой конфигурации на всех серверах переходов. Вы можете дополнительно изменить объект групповой политики для реализации параметров безопасности, относящихся к серверам переходов, и объединить все параметры с дополнительными базовыми параметрами, извлеченными из диспетчера соответствия требованиям безопасности Майкрософт.
Диспетчер соответствия требованиям безопасности Майкрософт
Microsoft Security Compliance Manager — это свободно доступное средство, которое интегрирует конфигурации безопасности, рекомендуемые корпорацией Майкрософт на основе версии операционной системы и конфигурации ролей, и собирает их в одном средстве и пользовательском интерфейсе, которое можно использовать для создания и настройки базовых параметров безопасности для контроллеров домена. Шаблоны Диспетчера соответствия требованиям безопасности Майкрософт можно объединить с параметрами мастера настройки безопасности для создания комплексных базовых показателей конфигурации для серверов переходов, развернутых и применяемых в подразделениях, в которых серверы переходов находятся в Active Directory.
Примечание.
На момент написания этой статьи диспетчер соответствия требованиям безопасности Майкрософт не включает параметры, относящиеся к серверам переходов или другим безопасным административным узлам, но диспетчер соответствия требованиям безопасности (SCM) по-прежнему можно использовать для создания начальных базовых показателей для административных узлов. Однако для правильной защиты узлов следует применить дополнительные параметры безопасности, соответствующие высокозащищенным рабочим станциям и серверам.
AppLocker
Административные узлы и виртуальные машины должны быть настроены с помощью скриптов, инструментов и приложений с помощью AppLocker или стороннего программного обеспечения ограничения приложений. Все административные приложения или служебные программы, которые не соответствуют безопасным параметрам, должны быть обновлены или заменены средствами, которые соответствуют безопасным методам разработки и администрирования. Если требуется новое или дополнительное средство на административном узле, приложения и служебные программы должны тщательно тестироваться, а если средство подходит для развертывания на административных узлах, его можно добавить в системы.
Ограничения RDP
Хотя конкретная конфигурация зависит от архитектуры административных систем, необходимо включить ограничения, на которые можно использовать учетные записи и компьютеры для установления подключений протокола удаленного рабочего стола (RDP) к управляемым системам, например с помощью шлюза удаленных рабочих столов (шлюза удаленных рабочих столов) для управления доступом к контроллерам домена и другим управляемым системам от авторизованных пользователей и систем.
Вы должны разрешить интерактивный вход авторизованным пользователям и удалять или даже блокировать другие типы входа, которые не требуются для доступа к серверу.
Управление исправлениями и конфигурациями
Небольшие организации могут полагаться на такие предложения, как Обновл. Windows или службы обновления Windows Server (WSUS) для управления развертыванием обновлений в системах Windows, в то время как крупные организации могут реализовать корпоративное программное обеспечение управления исправлениями и конфигурацией, например Microsoft Endpoint Configuration Manager. Независимо от механизмов развертывания обновлений на общем сервере и рабочей станции, следует рассмотреть отдельные развертывания для высокозащищенных систем, таких как контроллеры домена, центры сертификации и административные узлы. Сегрегируя эти системы от общей инфраструктуры управления, если ваши учетные записи управления или программного обеспечения или службы скомпрометируются, компрометация не может быть легко расширена до самых безопасных систем в вашей инфраструктуре.
Хотя не следует реализовывать процессы обновления вручную для безопасных систем, следует настроить отдельную инфраструктуру для обновления безопасных систем. Даже в очень крупных организациях эта инфраструктура обычно может быть реализована через выделенные серверы WSUS и объекты групповой политики для защищенных систем.
Блокировка доступа к Интернету
Административные узлы не должны быть разрешены для доступа к Интернету, а также не должны иметь возможность просматривать интрасеть организации. Веб-браузеры и аналогичные приложения не должны быть разрешены на административных узлах. Вы можете заблокировать доступ к Интернету для безопасных узлов с помощью сочетания параметров брандмауэра периметра, конфигурации WFAS и конфигурации прокси-сервера "черная дыра" на безопасных узлах. Вы также можете использовать приложение с помощью списка разрешений, чтобы предотвратить использование веб-браузеров на административных узлах.
Виртуализация
По возможности рассмотрите возможность реализации виртуальных машин в качестве административных узлов. С помощью виртуализации можно создавать административные системы для каждого пользователя, которые централизованно хранятся и управляются и которые можно легко завершить, если они не используются, гарантируя, что учетные данные не остаются активными в административных системах. Кроме того, можно требовать, чтобы виртуальные административные узлы сбрасывались на начальный моментальный снимок после каждого использования, гарантируя, что виртуальные машины остаются нетронутыми. Дополнительные сведения о параметрах виртуализации административных узлов приведены в следующем разделе.
Примеры подходов к реализации безопасных административных узлов
Независимо от того, как вы разрабатываете и развертываете инфраструктуру административных узлов, следует учитывать рекомендации, приведенные в разделе "Принципы создания безопасных административных узлов" ранее в этом разделе. Каждый из описанных здесь подходов содержит общие сведения о том, как можно разделить "административные" и "рабочие" системы, используемые ИТ-персоналом. Системы повышения производительности — это компьютеры, которые ИТ-администраторы используют для проверки электронной почты, просмотра Интернета и использования общего программного обеспечения для повышения производительности, например Microsoft Office. Административные системы — это компьютеры, защищенные и предназначенные для повседневного администрирования ИТ-среды.
Самый простой способ реализации защищенных административных узлов — предоставить ИТ-сотрудникам защищенные рабочие станции, из которых они могут выполнять административные задачи. В реализации только для рабочих станций каждая административная рабочая станция используется для запуска средств управления и подключений RDP для управления серверами и другой инфраструктурой. Реализации только для рабочих станций могут быть эффективными в небольших организациях, хотя более сложные инфраструктуры могут воспользоваться распределенной структурой для административных узлов, в которых используются выделенные административные серверы и рабочие станции, как описано в разделе "Реализация безопасных административных рабочих станций и серверов переходов" далее в этом разделе.
Реализация отдельных физических рабочих станций
Одним из способов реализации административных узлов является выдача каждого ИТ-пользователя двух рабочих станций. Одна рабочая станция используется с "обычной" учетной записью пользователя для выполнения таких действий, как проверка электронной почты и использование приложений для повышения производительности, а вторая рабочая станция предназначена строго для административных функций.
Для рабочей станции производительности ИТ-специалисты могут получать обычные учетные записи пользователей, а не использовать привилегированные учетные записи для входа на незащищенные компьютеры. Административная рабочая станция должна быть настроена строго контролируемой конфигурацией, а ИТ-сотрудники должны использовать другую учетную запись для входа на административную рабочую станцию.
Если вы реализовали смарт-карты, административные рабочие станции должны быть настроены для необходимости входа в систему смарт-карт, а ИТ-сотрудники должны иметь отдельные учетные записи для административного использования, а также настроить использование смарт-карт для интерактивного входа. Административный узел должен быть затверден, как описано ранее, и только назначенные ИТ-пользователи должны быть разрешены локально входить на административную рабочую станцию.
Плюсы
Реализуя отдельные физические системы, вы можете убедиться, что каждый компьютер настроен соответствующим образом для своей роли и что ИТ-пользователи не могут непреднамеренно предоставлять административные системы риску.
Минусы
Реализация отдельных физических компьютеров повышает затраты на оборудование.
Вход на физический компьютер с учетными данными, используемыми для администрирования удаленных систем, кэширует учетные данные в памяти.
Если административные рабочие станции не хранятся безопасно, они могут быть уязвимы для компрометации с помощью таких механизмов, как средства ведения журнала физических ключей оборудования или другие физические атаки.
Реализация безопасной физической рабочей станции с виртуальной рабочей станцией производительности
В этом подходе ИТ-пользователи получают защищенную административную рабочую станцию, из которой они могут выполнять повседневные административные функции, используя средства удаленного администрирования сервера (RSAT) или подключения RDP к серверам в пределах их ответственности. Когда ИТ-пользователи должны выполнять задачи повышения производительности, они могут подключаться через RDP к удаленной рабочей станции производительности, работающей в качестве виртуальной машины. Для каждой рабочей станции должны использоваться отдельные учетные данные, а такие элементы управления, как смарт-карты, должны быть реализованы.
Плюсы
Административные рабочие станции и рабочие станции производительности разделены.
ИТ-специалисты, использующие безопасные рабочие станции для подключения к рабочим станциям производительности, могут использовать отдельные учетные данные и смарт-карты, а привилегированные учетные данные не помещаются на менее безопасный компьютер.
Минусы
Для реализации решения требуются возможности проектирования и реализации и надежных параметров виртуализации.
Если физические рабочие станции не хранятся безопасно, они могут быть уязвимы для физических атак, которые компрометируют оборудование или операционную систему и делают их уязвимыми к перехвату связи.
Реализация одной безопасной рабочей станции с подключениями к отдельным Виртуальные машины "Производительность" и "Административный"
В этом подходе ИТ-пользователи могут выдавать одну физическую рабочую станцию, которая заблокирована, как описано ранее, и на которой ИТ-пользователи не имеют привилегированного доступа. Службы удаленных рабочих столов можно предоставлять подключения к виртуальным машинам, размещенным на выделенных серверах, предоставляя ИТ-сотрудникам одну виртуальную машину, которая выполняет электронную почту и другие приложения для повышения производительности, а также вторую виртуальную машину, настроенную как выделенный административный узел пользователя.
Для виртуальных машин требуется смарт-карта или другой многофакторный вход, используя отдельные учетные записи, отличные от учетной записи, которая используется для входа на физический компьютер. После входа ИТ-пользователя на физический компьютер он может использовать смарт-карту для повышения производительности для подключения к удаленному компьютеру производительности и отдельной учетной записи и смарт-карте для подключения к удаленному административному компьютеру.
Плюсы
ИТ-пользователи могут использовать одну физическую рабочую станцию.
Если требуется отдельные учетные записи для виртуальных узлов и использование подключений служб удаленных рабочих столов к виртуальным машинам, учетные данные ИТ-пользователей не кэшируются в памяти на локальном компьютере.
Физический узел можно защитить до той же степени, что и административные узлы, что снижает вероятность компрометации локального компьютера.
В случаях, когда скомпрометирована виртуальная машина ИТ-пользователя или ее административная виртуальная машина, виртуальная машина может быть легко сброшена в состояние "известного хорошего".
Если физический компьютер скомпрометирован, привилегированные учетные данные не будут кэшироваться в памяти, а использование смарт-карт может предотвратить компрометацию учетных данных с помощью средств ведения журнала нажатия клавиш.
Минусы
Для реализации решения требуются возможности проектирования и реализации и надежных параметров виртуализации.
Если физические рабочие станции не хранятся безопасно, они могут быть уязвимы для физических атак, которые компрометируют оборудование или операционную систему и делают их уязвимыми к перехвату связи.
Реализация безопасных административных рабочих станций и серверов переходов
В качестве альтернативы безопасности административных рабочих станций или в сочетании с ними можно реализовать серверы безопасного перехода, а администраторы могут подключаться к серверам переходов с помощью RDP и смарт-карт для выполнения административных задач.
Серверы переходов должны быть настроены для запуска роли шлюза удаленных рабочих столов, чтобы разрешить реализовать ограничения на подключения к серверу переходов и конечным серверам, которые будут управляться из него. Если это возможно, необходимо также установить роль Hyper-V и создать личные виртуальные рабочие столы или другие виртуальные машины для пользователей с правами администратора, которые будут использоваться для выполнения задач на серверах переходов.
Предоставляя администраторам виртуальные машины на сервере перехода, вы предоставляете физическую безопасность для административных рабочих станций, а администраторы могут сбрасывать или завершать работу виртуальных машин, если они не используются. Если вы предпочитаете не устанавливать роль Hyper-V и роль шлюза удаленных рабочих столов на одном административном узле, их можно установить на отдельных компьютерах.
По возможности средства удаленного администрирования должны использоваться для управления серверами. Компонент средств удаленного администрирования сервера (RSAT) должен быть установлен на виртуальных машинах пользователей (или на сервере перехода, если вы не реализуете виртуальные машины для администрирования на пользователя), а административные сотрудники должны подключаться через RDP к виртуальным машинам для выполнения административных задач.
В случаях, когда администратор должен подключаться через RDP к целевому серверу напрямую, шлюз удаленных рабочих столов должен быть настроен, чтобы разрешить подключение только в том случае, если для установления подключения к целевому серверу используется соответствующий пользователь и компьютер. Выполнение средств RSAT (или аналогичных) должно быть запрещено в системах, не назначенных системам управления, таким как общие рабочие станции и серверы-члены, которые не являются серверами перехода.
Плюсы
Создание серверов переходов позволяет сопоставить определенные серверы с "зонами" (коллекции систем с аналогичными требованиями к конфигурации, подключению и безопасности) в сети и требовать, чтобы администрация каждой зоны была достигнута администратором, подключающимся с защищенных административных узлов к указанному "зонам".
Сопоставляя серверы переходов к зонам, вы можете реализовать детализированные элементы управления для свойств подключения и требований к конфигурации и легко определять попытки подключения из несанкционированных систем.
Реализуя виртуальные машины для каждого администратора на серверах переходов, необходимо принудительно завершить работу и сбросить виртуальные машины в известное состояние очистки при завершении административных задач. При принудительном завершении работы виртуальных машин (или перезапуске) виртуальных машин при выполнении административных задач виртуальные машины не могут быть нацелены на злоумышленников, а также не являются атаками кражи учетных данных, так как учетные данные, кэшированные в памяти, не сохраняются после перезагрузки.
Минусы
Выделенные серверы требуются для серверов перехода, будь то физические или виртуальные.
Реализация назначенных серверов переходов и административных рабочих станций требует тщательного планирования и настройки, которые сопоставляются с любыми зонами безопасности, настроенными в среде.