Реализация административных моделей с наименьшим количеством правImplementing Least-Privilege Administrative Models

Область применения: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Следующий фрагмент относится к руководству по планированию безопасности учетных записей администратора, которое было опубликовано 1 апреля 1999 г.The following excerpt is from The Administrator Accounts Security Planning Guide, first published on April 1, 1999:

"Большинство учебных курсов и документов, связанных с безопасностью, обсуждают реализацию принципа минимальных привилегий, но в некоторых организациях они редко следуют за ней."Most security-related training courses and documentation discuss the implementation of a principle of least privilege, yet organizations rarely follow it. Принцип прост, и последствия его применения правильно увеличивают безопасность и снижают риск.The principle is simple, and the impact of applying it correctly greatly increases your security and reduces your risk. Принцип утверждает, что все пользователи должны входить в систему с учетной записью пользователя, обладающей абсолютными минимальными разрешениями, необходимыми для выполнения текущей задачи, и ничего больше.The principle states that all users should log on with a user account that has the absolute minimum permissions necessary to complete the current task and nothing more. Это обеспечивает защиту от вредоносного кода, помимо других атак.Doing so provides protection against malicious code, among other attacks. Этот принцип применяется к компьютерам и пользователям этих компьютеров.This principle applies to computers and the users of those computers.
«Одна из причин этого принципа работает так, что она заставляет выполнять некоторые внутренние исследования."One reason this principle works so well is that it forces you to do some internal research. Например, необходимо определить права доступа, которые действительно требуются для компьютера или пользователя, а затем реализовать их.For example, you must determine the access privileges that a computer or user really needs, and then implement them. Во многих организациях эта задача, как и прежде, может показаться довольно эффективной. Однако это важный шаг для успешного обеспечения безопасности сетевой среды.For many organizations, this task might initially seem like a great deal of work; however, it is an essential step to successfully secure your network environment. "Необходимо предоставить всем администраторам домена права доступа к домену по принципу наименьших привилегий."You should grant all domain administrator users their domain privileges under the concept of least privilege. Например, если администратор входит в систему с привилегированной учетной записью и случайно запускает антивирусную программу, этот вирус имеет административный доступ к локальному компьютеру и ко всему домену.For example, if an administrator logs on with a privileged account and inadvertently runs a virus program, the virus has administrative access to the local computer and to the entire domain. Если администратор вошел в систему с непривилегированной (неадминистративной) учетной записью, то область повреждения вируса будет иметь только локальный компьютер, так как он выполняется от имени пользователя локального компьютера.If the administrator had instead logged on with a nonprivileged (nonadministrative) account, the virus's scope of damage would only be the local computer because it runs as a local computer user. "В другом примере учетные записи, которым вы предоставляете права администратора на уровне домена, не должны иметь повышенных прав в другом лесу, даже если между лесами есть доверительные отношения."In another example, accounts to which you grant domain-level administrator rights must not have elevated rights in another forest, even if there is a trust relationship between the forests. Это способов помогает предотвратить распространенный ущерб, если злоумышленник управляет нарушением одного управляемого леса.This tactic helps prevent widespread damage if an attacker manages to compromise one managed forest. Организации должны регулярно проводить аудит своей сети, чтобы защититься от несанкционированного укрупнения прав. "Organizations should regularly audit their network to protect against unauthorized escalation of privilege."

Следующий фрагмент взят из пакета Microsoft Windows Security Resource Kit, который сначала опубликован в 2005:The following excerpt is from the Microsoft Windows Security Resource Kit, first published in 2005:

«Всегда думайте о безопасности с точки зрения предоставления минимального количества привилегий, необходимых для выполнения задачи."Always think of security in terms of granting the least amount of privileges required to carry out the task. Если приложение, имеющее слишком много привилегий, должно быть скомпрометировано, злоумышленник может расширить возможности атаки, помимо того, что было бы, если бы приложение имело минимально допустимое количество привилегий.If an application that has too many privileges should be compromised, the attacker might be able to expand the attack beyond what it would if the application had been under the least amount of privileges possible. Например, изучите последствия сетевого администратора, непреднамеренно открыв вложение электронной почты, запускающее вирус.For example, examine the consequences of a network administrator unwittingly opening an email attachment that launches a virus. Если администратор вошел в систему с учетной записью администратора домена, он получит права администратора на всех компьютерах в домене и, таким же, неограниченный доступ практически ко всем данным в сети.If the administrator is logged on using the domain Administrator account, the virus will have Administrator privileges on all computers in the domain and thus unrestricted access to nearly all data on the network. Если администратор вошел в систему с учетной записью локального администратора, он будет обладать правами администратора на локальном компьютере и таким образом сможет получить доступ к любым данным на компьютере и установить вредоносные программы, такие как программное обеспечение ведения журнала с помощью ключевых штрихов. компьютер.If the administrator is logged on using a local Administrator account, the virus will have Administrator privileges on the local computer and thus would be able to access any data on the computer and install malicious software such as key-stroke logging software on the computer. Если администратор вошел в систему с обычной учетной записью пользователя, вирус будет иметь доступ только к данным администратора и не сможет устанавливать вредоносные программы.If the administrator is logged on using a normal user account, the virus will have access only to the administrator's data and will not be able to install malicious software. Используя минимальные привилегии, необходимые для чтения электронной почты, в этом примере потенциальная область нарушения безопасности значительно снизилась. "By using the least privileges necessary to read email, in this example, the potential scope of the compromise is greatly reduced."

Проблема с правами доступаThe Privilege Problem

Принципы, описанные в предыдущих фрагментах, не изменились, но при оценке Active Directory установок мы неизменно найти чрезмерное количество учетных записей, которым были предоставлены права и разрешения, превышающие те, которые необходимы для выполнения повседневных работ. рабочего.The principles described in the preceding excerpts have not changed, but in assessing Active Directory installations, we invariably find excessive numbers of accounts that have been granted rights and permissions far beyond those required to perform day-to-day work. Размер среды влияет на необработанные учетные записи с чрезмерным уровнем привилегий, но не в каталогах пропортионмидсизед могут быть десятки учетных записей в группах с высоким уровнем привилегий, тогда как крупные установки могут иметь сотни или даже тысячи.The size of the environment affects the raw numbers of overly privileged accounts, but not the proportionmidsized directories may have dozens of accounts in the most highly privileged groups, while large installations may have hundreds or even thousands. За некоторыми исключениями, независимо от сложности опыта и арсеналу злоумышленника, злоумышленники обычно следуют по пути наименее сопротивления.With few exceptions, regardless of the sophistication of an attacker's skills and arsenal, attackers typically follow the path of least resistance. Они увеличивают сложность своих инструментов и подходов только в том случае, если более простые механизмы завершаются сбоем или отменяются средствами защиты.They increase the complexity of their tooling and approach only if and when simpler mechanisms fail or are thwarted by defenders.

К сожалению, путь по крайней мере сопротивления во многих средах является чрезмерным числом учетных записей с широкими и глубокими привилегиями.Unfortunately, the path of least resistance in many environments has proven to be the overuse of accounts with broad and deep privilege. Широкие привилегии — права и разрешения, которые позволяют учетной записи выполнять определенные действия в большом кросс-разделе среды. Например, сотрудникам службы поддержки могут быть предоставлены разрешения, позволяющие сбрасывать пароли для многих учетных записей пользователей.Broad privileges are rights and permissions that allow an account to perform specific activities across a large cross-section of the environment- for example, Help Desk staff may be granted permissions that allow them to reset the passwords on many user accounts.

Глубокие привилегии — это мощные привилегии, применяемые к узким сегментам населения, такие как предоставление администратору прав администратора на сервере, чтобы они могли выполнять ремонт.Deep privileges are powerful privileges that are applied to a narrow segment of the population, such as giving an engineer Administrator rights on a server so that they can perform repairs. Ни широкая привилегия, ни глубокая привилегия не обязательно опасна, но если многие учетные записи в домене постоянно получают широкие и глубокие привилегии, то, если только одна из учетных записей скомпрометирована, ее можно быстро использовать для перенастройки среды на Злоумышленник или даже для уничтожения больших сегментов инфраструктуры.Neither broad privilege nor deep privilege is necessarily dangerous, but when many accounts in the domain are permanently granted broad and deep privilege, if only one of the accounts is compromised, it can quickly be used to reconfigure the environment to the attacker's purposes or even to destroy large segments of the infrastructure.

Атаки типа "успех-ответ", которые являются типом атаки кражи учетных данных, являются повсеместными, так как средства их выполнения доступны бесплатно и просты в использовании, так как многие среды уязвимы для атак.Pass-the-hash attacks, which are a type of credential theft attack, are ubiquitous because the tooling to perform them is freely available and easy-to-use, and because many environments are vulnerable to the attacks. Тем не менее, атаки Pass-The-hash не являются реальной проблемой.Pass-the-hash attacks, however, are not the real problem. Основополагающей проблемы — двойная:The crux of the problem is twofold:

  1. Как правило, злоумышленник может легко получить глубокую привилегию на одном компьютере, а затем распространить эту привилегию на другие компьютеры.It is usually easy for an attacker to obtain deep privilege on a single computer and then propagate that privilege broadly to other computers.
  2. Обычно существует слишком много постоянных учетных записей с высоким уровнем привилегий в масштабной компьютерной ориентации.There are usually too many permanent accounts with high levels of privilege across the computing landscape.

Даже при устранении атак типа "успех-ответ-хэш" злоумышленники просто используют разные тактики, а не другую стратегию.Even if pass-the-hash attacks are eliminated, attackers would simply use different tactics, not a different strategy. Вместо плантинг вредоносных программ, содержащих средства кражи учетных данных, они могут подавать вредоносные программы, которые регистрируют нажатия клавиш, или использовать любое количество других подходов для записи учетных данных, которые являются мощными в среде.Rather than planting malware that contains credential theft tooling, they might plant malware that logs keystrokes, or leverage any number of other approaches to capture credentials that are powerful across the environment. Независимо от тактики, целевые объекты остаются неизменными: учетные записи с широкими и глубокими привилегиями.Regardless of the tactics, the targets remain the same: accounts with broad and deep privilege.

Предоставление чрезмерных прав доступа не только в Active Directory в скомпрометированных средах.Granting of excessive privilege isn't only found in Active Directory in compromised environments. Если организация разработала привычку предоставления более прав доступа, чем требуется, она обычно обнаруживается в инфраструктуре, как описано в следующих разделах.When an organization has developed the habit of granting more privilege than is required, it is typically found throughout the infrastructure as discussed in the following sections.

В Active DirectoryIn Active Directory

В Active Directory обычно можно обнаружить, что группы EA, DA и BA содержат чрезмерное количество учетных записей.In Active Directory, it is common to find that the EA, DA and BA groups contain excessive numbers of accounts. Как правило, Группа EA в организации содержит наименьшее число участников, группы DA обычно содержат множитель числа пользователей в группе EA, а группы администраторов обычно содержат больше элементов, чем заполнение других групп.Most commonly, an organization's EA group contains the fewest members, DA groups usually contain a multiplier of the number of users in the EA group, and Administrators groups usually contain more members than the populations of the other groups combined. Часто это обусловлено тем, что администраторы по каким-то причинам не являются "менее привилегированными", чем DAs или EAs.This is often due to a belief that Administrators are somehow "less privileged" than DAs or EAs. Хотя права и разрешения, предоставляемые каждой из этих групп, различаются, они должны считаться одинаковыми мощными группами, так как член одной из них может быть членом двух других.While the rights and permissions granted to each of these groups differ, they should be effectively considered equally powerful groups because a member of one can make himself or herself a member of the other two.

На рядовых серверахOn Member Servers

Когда мы получаем членство локальных групп администраторов на рядовых серверах во многих средах, мы получаем членство в диапазоне от нескольких локальных и доменных учетных записей до десятков вложенных групп, которые, когда развернут, раскрывают сотни, даже тысячи, учетные записи с правами локального администратора на серверах.When we retrieve the membership of local Administrators groups on member servers in many environments, we find membership ranging from a handful of local and domain accounts, to dozens of nested groups that, when expanded, reveal hundreds, even thousands, of accounts with local Administrator privilege on the servers. Во многих случаях группы домена с большим членством вкладываются в группы локальных администраторов рядовых серверов, не учитывая, что любой пользователь, который может изменять членство в этих группах в домене, может получить административное управление всеми системами. , на котором группа была вложена в локальную группу администраторов.In many cases, domain groups with large memberships are nested in member servers' local Administrators groups, without consideration to the fact that any user who can modify the memberships of those groups in the domain can gain administrative control of all systems on which the group has been nested in a local Administrators group.

На рабочих станцияхOn Workstations

Несмотря на то что рабочие станции обычно имеют гораздо меньше членов локальных групп администраторов, чем рядовые серверы, во многих средах пользователям предоставляется членство в локальной группе администраторов на своих персональных компьютерах.Although workstations typically have significantly fewer members in their local Administrators groups than member servers do, in many environments, users are granted membership in the local Administrators group on their personal computers. В этом случае, даже если включен контроль учетных записей, эти пользователи предоставляют повышенный риск для целостности рабочих станций.When this occurs, even if UAC is enabled, those users present an elevated risk to the integrity of their workstations.

Важно!

Следует тщательно продумать, требуются ли пользователям права администратора на своих рабочих станциях. в противном случае лучше создать отдельную локальную учетную запись на компьютере, который является членом группы "Администраторы".You should consider carefully whether users require administrative rights on their workstations, and if they do, a better approach may be to create a separate local account on the computer that is a member of the Administrators group. Когда пользователям требуется повышение прав, они могут представлять учетные данные этой локальной учетной записи для повышения прав, но так как учетная запись является локальной, ее нельзя использовать для взлома других компьютеров или доступа к ресурсам домена.When users require elevation, they can present the credentials of that local account for elevation, but because the account is local, it cannot be used to compromise other computers or access domain resources. Однако, как и в случае с любыми локальными учетными записями, учетные данные локальной привилегированной учетной записи должны быть уникальными. Если вы создаете локальную учетную запись с теми же учетными данными на нескольких рабочих станциях, вы предоставляете этим компьютерам атаки типа "Pass-By-Hash".As with any local accounts, however, the credentials for the local privileged account should be unique; if you create a local account with the same credentials on multiple workstations, you expose the computers to pass-the-hash attacks.

В приложенияхIn Applications

В атаках, в которых целью является интеллектуальная собственность Организации, учетные записи, которым были предоставлены эффективные привилегии в приложениях, могут быть нацелены на предоставление утечка данных.In attacks in which the target is an organization's intellectual property, accounts that have been granted powerful privileges within applications can be targeted to allow exfiltration of data. Несмотря на то что учетным записям, имеющим доступ к конфиденциальным данным, могут быть предоставлены привилегированные права в домене или операционной системе, учетные записи, которые могут управлять конфигурацией приложения или получить доступ к информации, предоставляемой приложением. предоставление риска.Although the accounts that have access to sensitive data may have been granted no elevated privileges in the domain or the operating system, accounts that can manipulate the configuration of an application or access to the information the application provides present risk.

В репозиториях данныхIn Data Repositories

Как и в случае с другими целями, злоумышленники, которые обращаются к интеллектуальной собственности в виде документов и других файлов, могут ориентироваться на учетные записи, которые управляют доступом к хранилищам файлов, учетным записям, имеющим прямой доступ к файлам, или даже к группам или ролям, имеющим доступ к файлам.As is the case with other targets, attackers seeking access to intellectual property in the form of documents and other files can target the accounts that control access to the file stores, accounts that have direct access to the files, or even groups or roles that have access to the files. Например, если файловый сервер используется для хранения документов контрактов, а доступ к документам предоставляется с помощью группы Active Directory, злоумышленник, который может изменить членство в группе, может добавить скомпрометированные учетные записи в группу и получить доступ к контракту. документаци.For example, if a file server is used to store contract documents and access is granted to the documents by the use of an Active Directory group, an attacker who can modify the membership of the group can add compromised accounts to the group and access the contract documents. В случаях, когда доступ к документам осуществляется такими приложениями, как SharePoint, злоумышленники могут ориентироваться на приложения, как описано выше.In cases in which access to documents is provided by applications such as SharePoint, attackers can target the applications as described earlier.

Сокращение прав доступаReducing Privilege

Чем больше и сложнее среда, тем сложнее управлять и обеспечивать безопасность.The larger and more complex an environment, the more difficult it is to manage and secure. В небольших организациях проверка и уменьшение привилегий может быть относительно простым предложением, но каждый дополнительный сервер, Рабочая станция, учетная запись пользователя и приложение, используемые в Организации, добавляют другой объект, который должен быть защищен.In small organizations, reviewing and reducing privilege may be a relatively simple proposition, but each additional server, workstation, user account, and application in use in an organization adds another object that must be secured. Поскольку может быть трудно или даже невозможно надлежащим образом защитить все аспекты ИТ-инфраструктуры Организации, необходимо сначала сосредоточиться на учетных записях, привилегии которых создают наибольший риск, что обычно являются встроенными привилегированными учетными записями и группы в Active Directory и привилегированные локальные учетные записи на рабочих станциях и рядовых серверах.Because it can be difficult or even impossible to properly secure every aspect of an organization's IT infrastructure, you should focus efforts first on the accounts whose privilege create the greatest risk, which are typically the built-in privileged accounts and groups in Active Directory, and privileged local accounts on workstations and member servers.

Защита учетных записей локального администратора на рабочих станциях и рядовых серверахSecuring Local Administrator Accounts on Workstations and Member Servers

Несмотря на то, что в этом документе основное внимание уделяется обеспечению безопасности Active Directory, как было сказано выше, большинство атак на каталог начинается как атаки на отдельные узлы.Although this document focuses on securing Active Directory, as has been previously discussed, most attacks against the directory begin as attacks against individual hosts. Полные рекомендации по защите локальных групп в системах участников не могут быть предоставлены, но для защиты учетных записей локального администратора на рабочих станциях и рядовых серверах можно использовать следующие рекомендации.Full guidelines for securing local groups on member systems cannot be provided, but the following recommendations can be used to help you secure the local Administrator accounts on workstations and member servers.

Защита учетных записей локального администратораSecuring Local Administrator Accounts

Во всех версиях Windows, в настоящее время включенной в основную поддержку, учетная запись локального администратора по умолчанию отключена, что делает учетную запись непригодной для атак Pass-The-hash и других злоумышленников по краже учетных данных.On all versions of Windows currently in mainstream support, the local Administrator account is disabled by default, which makes the account unusable for pass-the-hash and other credential theft attacks. Однако в доменах, содержащих устаревшие операционные системы или в которых включены учетные записи локального администратора, эти учетные записи можно использовать, как описано выше, для распространения компромисса между рядовыми серверами и рабочими станциями.However, in domains containing legacy operating systems or in which local Administrator accounts have been enabled, these accounts can be used as previously described to propagate compromise across member servers and workstations. По этой причине рекомендуется использовать следующие элементы управления для всех учетных записей локального администратора в системах, присоединенных к домену.For this reason, the following controls are recommended for all local Administrator accounts on domain-joined systems.

Подробные инструкции по реализации этих элементов управления приведены в приложении H: защита учетных записей и групп локального администратора.Detailed instructions for implementing these controls are provided in Appendix H: Securing Local Administrator Accounts and Groups. Однако перед реализацией этих параметров убедитесь, что учетные записи локального администратора в настоящее время не используются в среде для запуска служб на компьютерах или выполнения других действий, для которых эти учетные записи не должны использоваться.Before implementing these settings, however, ensure that local Administrator accounts are not currently used in the environment to run services on computers or perform other activities for which these accounts should not be used. Тщательно проверяйте эти параметры перед их реализацией в рабочей среде.Test these settings thoroughly before implementing them in a production environment.

Элементы управления для учетных записей локального администратораControls for Local Administrator Accounts

Встроенные учетные записи администратора никогда не следует использовать в качестве учетных записей служб на рядовых серверах, а также для входа на локальные компьютеры (за исключением безопасного режима, который разрешен даже в том случае, если учетная запись отключена).Built-in Administrator accounts should never be used as service accounts on member servers, nor should they be used to log on to local computers (except in Safe Mode, which is permitted even if the account is disabled). Цель реализации описанных здесь параметров заключается в предотвращении использования учетной записи локального администратора каждого компьютера, если только защитные элементы управления не будут отменены.The goal of implementing the settings described here is to prevent each computer's local Administrator account from being usable unless protective controls are first reversed. Реализуя эти элементы управления и отслеживая изменения в учетных записях администратора, можно значительно снизить вероятность успеха атаки, которая нацелена на учетные записи локального администратора.By implementing these controls and monitoring Administrator accounts for changes, you can significantly reduce the likelihood of success of an attack that targets local Administrator accounts.

Настройка объектов групповой политики для ограничения учетных записей администраторов в системах, присоединенных к доменуConfiguring GPOs to Restrict Administrator Accounts on Domain-Joined Systems

В одном или нескольких объектах групповой политики, которые вы создаете и связываете с подразделениями рабочей станции и рядового сервера в каждом домене, добавьте учетную запись администратора к следующим правам пользователя в Computer \ политики \ параметры безопасности \ локальные политики Policies\User назначения прав:In one or more GPOs that you create and link to workstation and member server OUs in each domain, add the Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

  • Отказ в доступе к компьютеру из сетиDeny access to this computer from the network
  • Отказ во входе в качестве пакетного заданияDeny log on as a batch job
  • Отказать во входе в качестве службыDeny log on as a service
  • Запретить вход в систему через службу удаленных рабочих столовDeny log on through Remote Desktop Services

При добавлении учетных записей администратора к этим правам пользователя укажите, следует ли добавить учетную запись локального администратора или учетную запись администратора домена способом, которым вы помечаем учетную запись.When you add Administrator accounts to these user rights, specify whether you are adding the local Administrator account or the domain's Administrator account by the way that you label the account. Например, чтобы добавить учетную запись администратора домена НВТРАДЕРС к этим запрещенным правам, введите учетную запись как нвтрадерс\администраторили перейдите к учетной записи администратора для домена нвтрадерс.For example, to add the NWTRADERS domain's Administrator account to these deny rights, you would type the account as NWTRADERS\Administrator, or browse to the Administrator account for the NWTRADERS domain. Чтобы ограничить учетную запись локального администратора, введите " Administrator " в этих параметрах прав пользователя в редактор объектов групповой политики.To ensure that you restrict the local Administrator account, type Administrator in these user rights settings in the Group Policy Object Editor.

Примечание

Даже при переименовании учетных записей локального администратора политики по-прежнему будут применяться.Even if local Administrator accounts are renamed, the policies will still apply.

Эти параметры гарантируют, что учетная запись администратора компьютера не может быть использована для подключения к другим компьютерам, даже если она была случайно или злонамеренно включена.These settings will ensure that a computer's Administrator account cannot be used to connect to the other computers, even if it is inadvertently or maliciously enabled. Локальные входы с учетной записью локального администратора не могут быть полностью отключены, и не следует пытаться сделать это, так как учетная запись локального администратора компьютера предназначена для использования в сценариях аварийного восстановления.Local logons using the local Administrator account cannot be completely disabled, nor should you attempt to do so, because a computer's local Administrator account is designed to be used in disaster recovery scenarios.

Если сервер или рабочая станция будут отключены от домена, а другие локальные учетные записи не имеют прав администратора, компьютер может быть загружен в безопасный режим, учетная запись администратора может быть включена, а учетная запись может быть использована для вступления в силу. восстановление на компьютере.Should a member server or workstation become disjoined from the domain with no other local accounts granted administrative privileges, the computer can be booted into safe mode, the Administrator account can be enabled, and the account can then be used to effect repairs on the computer. После завершения восстановления учетная запись администратора снова будет отключена.When repairs are completed, the Administrator account should again be disabled.

Защита локальных привилегированных учетных записей и групп в Active DirectorySecuring Local Privileged Accounts and Groups in Active Directory

Закон номер 6. компьютер защищен так же, как и администратор заслуживает доверия.Law Number Six: A computer is only as secure as the administrator is trustworthy. - десять неизменяемых законов безопасности (версия 2,0) - Ten Immutable Laws of Security (Version 2.0)

Приведенные здесь сведения предназначены для предоставления общих рекомендаций по обеспечению безопасности встроенных учетных записей и групп с наивысшими правами в Active Directory.The information provided here is intended to give general guidelines for securing the highest privilege built-in accounts and groups in Active Directory. Подробные пошаговые инструкции также приведены в приложении г: защита встроенных учетных записей администраторов в Active Directory, Приложение E. Защита групп администраторов предприятия в Active Directory, приложение е. защита групп администраторов домена в Active Directoryи в приложении G: защита групп администраторов в Active Directory.Detailed step-by-step instructions are also provided in Appendix D: Securing Built-In Administrator Accounts in Active Directory, Appendix E: Securing Enterprise Admins Groups in Active Directory, Appendix F: Securing Domain Admins Groups in Active Directory, and in Appendix G: Securing Administrators Groups in Active Directory.

Перед реализацией любого из этих параметров следует тщательно протестировать все параметры, чтобы определить, подходит ли они для вашей среды.Before you implement any of these settings, you should also test all settings thoroughly to determine if they are appropriate for your environment. Не все организации смогут реализовать эти параметры.Not all organizations will be able to implement these settings.

Защита встроенных учетных записей администраторов в Active DirectorySecuring Built-in Administrator Accounts in Active Directory

В каждом домене Active Directory учетная запись администратора создается как часть создания домена.In each domain in Active Directory, an Administrator account is created as part of the creation of the domain. Эта учетная запись по умолчанию является членом групп администраторов домена и администраторов в домене. Если домен является корневым доменом леса, учетная запись также является членом группы "Администраторы предприятия".This account is by default a member of the Domain Admins and Administrator groups in the domain, and if the domain is the forest root domain, the account is also a member of the Enterprise Admins group. Использование учетной записи локального администратора домена должно быть зарезервировано только для начальных действий сборки и, возможно, сценариев аварийного восстановления.Use of a domain's local Administrator account should be reserved only for initial build activities and, possibly, disaster-recovery scenarios. Чтобы гарантировать, что встроенная учетная запись администратора может быть использована для восстановления в случае, если другие учетные записи не могут использоваться, не следует изменять членство в учетной записи администратора по умолчанию в любом домене леса.To ensure that a built-in Administrator account can be used to effect repairs in the event that no other accounts can be used, you should not change the default membership of the Administrator account in any domain in the forest. Вместо этого следует следовать указаниям по защите учетной записи администратора в каждом домене леса.Instead, you should following guidelines to help secure the Administrator account in each domain in the forest. Подробные инструкции по реализации этих элементов управления приведены в приложении г: защита встроенных учетных записей администраторов в Active Directory.Detailed instructions for implementing these controls are provided in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Элементы управления для встроенных учетных записей администраторовControls for Built-in Administrator Accounts

Цель реализации описанных здесь параметров заключается в предотвращении использования учетной записи администратора каждого домена (не группы), если не будет отменено несколько элементов управления.The goal of implementing the settings described here is to prevent each domain's Administrator account (not a group) from being usable unless a number of controls are reversed. Реализуя эти элементы управления и отслеживая изменения в учетных записях администратора, можно значительно снизить вероятность успешной атаки, используя учетную запись администратора домена.By implementing these controls and monitoring the Administrator accounts for changes, you can significantly reduce the likelihood of a successful attack by leveraging a domain's Administrator account. Для учетной записи администратора в каждом домене леса необходимо настроить следующие параметры.For the Administrator account in each domain in your forest, you should configure the following settings.

Включить в учетной записи флаг "учетная запись является конфиденциальным и не может быть делегирован"Enable the "Account is sensitive and cannot be delegated" flag on the account

По умолчанию все учетные записи в Active Directory могут быть делегированы.By default, all accounts in Active Directory can be delegated. Делегирование позволяет компьютеру или службе представлять учетные данные для учетной записи, которая проходила проверку подлинности на компьютере или в службе, на другие компьютеры для получения служб от имени учетной записи.Delegation allows a computer or service to present the credentials for an account that has authenticated to the computer or service to other computers to obtain services on behalf of the account. Если учетная запись включена и не может быть делегирован атрибут для учетной записи на основе домена, учетные данные учетной записи не могут быть представлены другим компьютерам или службам в сети, что ограничивает атаки, использующие делегирование для использования учетных данных учетной записи в других системах.When you enable the Account is sensitive and cannot be delegated attribute on a domain-based account, the account's credentials cannot be presented to other computers or services on the network, which limits attacks that leverage delegation to use the account's credentials on other systems.

Включите для учетной записи флаг "смарт-карта необходима для интерактивного входа".Enable the "Smart card is required for interactive logon" flag on the account

Если для атрибута интерактивного входа в учетной записи требуется включить смарт-карту , Windows сбрасывает пароль учетной записи на 120-символьное случайное значение.When you enable the Smart card is required for interactive logon attribute on an account, Windows resets the account's password to a 120-character random value. Устанавливая этот флаг для встроенных учетных записей администратора, вы гарантируете, что пароль учетной записи не только длинный и сложный, но неизвестен пользователю.By setting this flag on built-in Administrator accounts, you ensure that the password for the account is not only long and complex, but is not known to any user. Не рекомендуется создавать смарт-карты для учетных записей перед включением этого атрибута, но если это возможно, для каждой учетной записи администратора следует создать смарт-карты, прежде чем настраивать ограничения учетной записи, и смарт-карты должны храниться в безопасные расположения.It is not technically necessary to create smart cards for the accounts before enabling this attribute, but if possible, smart cards should be created for each Administrator account prior to configuring the account restrictions and the smart cards should be stored in secure locations.

Несмотря на то, что настройка смарт-карты необходима для интерактивного флага входа в систему, она не запрещает пользователю с правами сбрасывать пароль учетной записи на известное значение и использует имя учетной записи и новый пароль для доступа к ресурсам в сети.Although setting the Smart card is required for interactive logon flag resets the account's password, it does not prevent a user with rights to reset the account's password from setting the account to a known value and using the account's name and new password to access resources on the network. Поэтому в учетной записи следует реализовать следующие дополнительные элементы управления.Because of this, you should implement the following additional controls on the account.

Настройка объектов групповой политики для ограничения учетных записей администраторов доменов в системах, присоединенных к доменуConfiguring GPOs to Restrict Domains' Administrator Accounts on Domain-Joined Systems

Несмотря на то, что отключение учетной записи администратора в домене приводит к эффективному использованию учетной записи, следует реализовать дополнительные ограничения на учетную запись в случае случайной или злонамеренной активации учетной записи.Although disabling the Administrator account in a domain makes the account effectively unusable, you should implement additional restrictions on the account in case the account is inadvertently or maliciously enabled. Хотя эти элементы управления в конечном итоге могут быть обращены к учетной записи администратора, целью является создание элементов управления, которые замедляют выполнение злоумышленника и ограничивают ущерб, который может наноситься учетной записи.Although these controls can ultimately be reversed by the Administrator account, the goal is to create controls that slow an attacker's progress and limit the damage the account can inflict.

В одном или нескольких объектах групповой политики, которые вы создаете и связываете с подразделениями рабочей станции и рядового сервера в каждом домене, добавьте учетную запись администратора каждого домена в следующие права пользователя в Computer \ политики \ параметры безопасности \ локальные политики Policies\User назначения прав:In one or more GPOs that you create and link to workstation and member server OUs in each domain, add each domain's Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

  • Отказ в доступе к компьютеру из сетиDeny access to this computer from the network
  • Отказ во входе в качестве пакетного заданияDeny log on as a batch job
  • Отказать во входе в качестве службыDeny log on as a service
  • Запретить вход в систему через службу удаленных рабочих столовDeny log on through Remote Desktop Services

Примечание

При добавлении учетных записей локального администратора в этот параметр необходимо указать, следует ли настраивать учетные записи локального администратора или администратора домена.When you add local Administrator accounts to this setting, you must specify whether you are configuring local Administrator accounts or domain Administrator accounts. Например, чтобы добавить учетную запись локального администратора домена НВТРАДЕРС к этим запрещенным правам, необходимо либо ввести учетную запись как нвтрадерс\администратор, либо перейти к учетной записи локального администратора для домена нвтрадерс.For example, to add the NWTRADERS domain's local Administrator account to these deny rights, you must either type the account as NWTRADERS\Administrator, or browse to the local Administrator account for the NWTRADERS domain. Если ввести « Administrator » в этих параметрах прав пользователя в редактор объектов групповой политики, учетная запись локального администратора будет ограничена на каждом компьютере, к которому применяется объект групповой политики.If you type Administrator in these user rights settings in the Group Policy Object Editor, you will restrict the local Administrator account on each computer to which the GPO is applied.

Рекомендуется ограничивать учетные записи локального администратора на рядовых серверах и рабочих станциях так же, как учетные записи администратора на основе домена.We recommend restricting local Administrator accounts on member servers and workstations in the same manner as domain-based Administrator accounts. Поэтому, как правило, необходимо добавить учетную запись администратора для каждого домена в лесу и учетную запись администратора для локальных компьютеров на эти параметры прав пользователя.Therefore, you should generally add the Administrator account for each domain in the forest and the Administrator account for the local computers to these user rights settings.

Настройка объектов групповой политики для ограничения учетных записей администраторов на контроллерах доменаConfiguring GPOs to Restrict Administrator Accounts on Domain Controllers

В каждом домене леса политика контроллеров домена по умолчанию или политика, связанная с подразделением контроллеров домена, должны быть изменены, чтобы добавить учетную запись администратора каждого домена в следующие права пользователя в Computer \ политики \ параметры безопасности \ локальные политики Policies\User назначения прав:In each domain in the forest, the Default Domain Controllers policy or a policy linked to the Domain Controllers OU should be modified to add each domain's Administrator account to the following user rights in Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments:

  • Отказ в доступе к компьютеру из сетиDeny access to this computer from the network
  • Отказ во входе в качестве пакетного заданияDeny log on as a batch job
  • Отказать во входе в качестве службыDeny log on as a service
  • Запретить вход в систему через службу удаленных рабочих столовDeny log on through Remote Desktop Services

Примечание

Эти параметры гарантируют, что учетную запись локального администратора нельзя использовать для подключения к контроллеру домена, хотя учетная запись, если она включена, может локально войти в систему на контроллерах домена.These settings will ensure that the local Administrator account cannot be used to connect to a domain controller, although the account, if enabled, can log on locally to domain controllers. Поскольку эта учетная запись должна быть включена и использоваться только в сценариях аварийного восстановления, предполагается, что будет доступен физический доступ по крайней мере к одному контроллеру домена или другие учетные записи с разрешениями на удаленный доступ к контроллерам домена могут быть используется.Because this account should only be enabled and used in disaster-recovery scenarios, it is anticipated that physical access to at least one domain controller will be available, or that other accounts with permissions to access domain controllers remotely can be used.

Настройка аудита встроенных учетных записей администраторовConfigure Auditing of Built-in Administrator Accounts

Если учетная запись администратора домена защищена и отключена, следует настроить аудит для отслеживания изменений в учетной записи.When you have secured each domain's Administrator account and disabled it, you should configure auditing to monitor for changes to the account. Если учетная запись включена, ее пароль сбрасывается или вносятся любые другие изменения в учетную запись. оповещения должны отправляться пользователям или группам, ответственным за администрирование AD DS, в дополнение к командам реагирования на инциденты в Организации.If the account is enabled, its password is reset, or any other modifications are made to the account, alerts should be sent to the users or teams responsible for administration of AD DS, in addition to incident response teams in your organization.

Защита администраторов, администраторов домена и групп администраторов предприятияSecuring Administrators, Domain Admins and Enterprise Admins Groups

Защита групп администраторов предприятияSecuring Enterprise Admin Groups

Группа "Администраторы предприятия", размещенная в корневом домене леса, не должна содержать пользователей ежедневно, за исключением учетной записи локального администратора домена, при условии, что она защищена, как описано выше, и в приложении г: защита встроенных учетных записей администраторов в Active Directory.The Enterprise Admins group, which is housed in the forest root domain, should contain no users on a day-to-day basis, with the possible exception of the domain's local Administrator account, provided it is secured as described earlier and in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Если требуется доступ EA, пользователи, чьи учетные записи требуют права и разрешения EA, должны временно помещаться в группу "Администраторы предприятия".When EA access is required, the users whose accounts require EA rights and permissions should be temporarily placed into the Enterprise Admins group. Хотя пользователи используют учетные записи с высоким уровнем привилегий, их действия должны проводить аудит и, желательно, выполняться с одним пользователем, выполняющим изменения, и другим пользователем, которые отслеживают изменения, чтобы максимально ограничить вероятность случайного непреднамеренного использования или неправильной настройки. .Although users are using the highly privileged accounts, their activities should be audited and preferably performed with one user performing the changes and another user observing the changes to minimize the likelihood of inadvertent misuse or misconfiguration. После завершения действий учетные записи должны быть удалены из группы EA.When the activities have been completed, the accounts should be removed from the EA group. Это можно сделать с помощью ручных процедур и документированных процессов, программного обеспечения сторонних поставщиков удостоверений и управления доступом (PIM/PAM) или их комбинации.This can be achieved via manual procedures and documented processes, third-party privileged identity/access management (PIM/PAM) software, or a combination of both. Рекомендации по созданию учетных записей, которые можно использовать для управления членством в привилегированных группах в Active Directory, предоставляются в привлекательных учетных записях для кражи учетных данных и подробные инструкции приведены в приложении I. Создание учетных записей управления для защищенных учетных записей и групп в Active Directory.Guidelines for creating accounts that can be used to control the membership of privileged groups in Active Directory are provided in Attractive Accounts for Credential Theft and detailed instructions are provided in Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

Администраторы предприятия по умолчанию являются членами встроенной группы администраторов в каждом домене леса.Enterprise Admins are, by default, members of the built-in Administrators group in each domain in the forest. Удаление группы "Администраторы предприятия" из групп администраторов в каждом домене является недопустимым изменением, так как в случае аварийного восстановления леса права EA, скорее всего, будут требоваться.Removing the Enterprise Admins group from the Administrators groups in each domain is an inappropriate modification because in the event of a forest disaster-recovery scenario, EA rights will likely be required. Если группа "Администраторы предприятия" была удалена из групп администраторов в лесу, она должна быть добавлена в группу администраторов в каждом домене, а также должны быть реализованы следующие дополнительные элементы управления:If the Enterprise Admins group has been removed from Administrators groups in a forest, it should be added to the Administrators group in each domain and the following additional controls should be implemented:

  • Как было сказано ранее, Группа "Администраторы предприятия" не должна содержать пользователей ежедневно, за исключением учетной записи администратора корневого домена леса, которая должна быть защищена, как описано в приложении г: защита встроенных учетных записей администраторов в Active Directory.As described earlier, the Enterprise Admins group should contain no users on a day-to-day basis, with the possible exception of the forest root domain's Administrator account, which should be secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.
  • В объектах групповой политики, связанных с подразделениями, содержащими рядовые серверы и рабочие станции в каждом домене, Группа EA должна быть добавлена к следующим правам пользователя:In GPOs linked to OUs containing member servers and workstations in each domain, the EA group should be added to the following user rights:
    • Отказ в доступе к компьютеру из сетиDeny access to this computer from the network
    • Отказ во входе в качестве пакетного заданияDeny log on as a batch job
    • Отказать во входе в качестве службыDeny log on as a service
    • Запретить локальный входDeny log on locally
    • Запретите вход в систему через службы удаленных рабочих столов.Deny log on through Remote Desktop Services.

Это предотвратит вход членов группы EA на рядовые серверы и рабочие станции.This will prevent members of the EA group from logging on to member servers and workstations. Если для администрирования контроллеров домена и Active Directory используются серверы переходов, убедитесь, что серверы переходов расположены в подразделении, к которому не привязаны объекты групповой политики.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which the restrictive GPOs are not linked.

  • Аудит следует настроить для отправки предупреждений при внесении любых изменений в свойства или членство в группе EA.Auditing should be configured to send alerts if any modifications are made to the properties or membership of the EA group. Эти оповещения должны отправляться как минимум пользователям или командам, ответственным за Active Directory администрирование и реагирование на инциденты.These alerts should be sent, at a minimum, to users or teams responsible for Active Directory administration and incident response. Необходимо также определить процессы и процедуры для временного заполнения группы EA, включая процедуры уведомления при допустимом заполнении группы.You should also define processes and procedures for temporarily populating the EA group, including notification procedures when legitimate population of the group is performed.

Защита групп администраторов доменаSecuring Domain Admins Groups

Как и в случае с группой "Администраторы предприятия", членство в группах "Администраторы домена" должно быть обязательным только в сценариях сборки или аварийного восстановления.As is the case with the Enterprise Admins group, membership in Domain Admins groups should be required only in build or disaster-recovery scenarios. В группе DA не должно быть повседневных учетных записей пользователей, за исключением учетной записи локального администратора домена, если она защищена, как описано в приложении г: защита встроенных учетных записей администраторов в Active Directory.There should be no day-to-day user accounts in the DA group with the exception of the local Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Если требуется доступ к DA, учетные записи, которым необходим этот уровень доступа, должны временно помещаться в группу DA для рассматриваемого домена.When DA access is required, the accounts needing this level of access should be temporarily placed in the DA group for the domain in question. Несмотря на то, что пользователи используют привилегированные учетные записи, действия должны проводить аудит и, желательно, выполняться с одним пользователем, выполняющим изменения, и другим пользователем, которые отслеживают изменения, чтобы максимально ограничить вероятность случайного непреднамеренного использования или неправильной настройки.Although the users are using the highly privileged accounts, activities should be audited and preferably performed with one user performing the changes and another user observing the changes to minimize the likelihood of inadvertent misuse or misconfiguration. После завершения действий учетные записи должны быть удалены из группы "Администраторы домена".When the activities have been completed, the accounts should be removed from the Domain Admins group. Это можно сделать с помощью ручных процедур и документированных процессов с помощью программного обеспечения для управления привилегированными пользователями (PIM и PAM) сторонних разработчиков или сочетанием обоих.This can be achieved via manual procedures and documented processes, via third-party privileged identity/access management (PIM/PAM) software, or a combination of both. Рекомендации по созданию учетных записей, которые можно использовать для управления членством в привилегированных группах в Active Directory предоставлены в приложении I: создание учетных записей управления для защищенных учетных записей и групп в Active Directory.Guidelines for creating accounts that can be used to control the membership of privileged groups in Active Directory are provided in Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

Администраторы домена по умолчанию являются членами локальных групп администраторов на всех рядовых серверах и рабочих станциях в соответствующих доменах.Domain Admins are, by default, members of the local Administrators groups on all member servers and workstations in their respective domains. Это вложение по умолчанию не следует изменять, так как оно влияет на возможности поддержки и аварийного восстановления.This default nesting should not be modified because it affects supportability and disaster recovery options. Если группы администраторов домена были удалены из групп локальных администраторов на рядовых серверах, они должны быть добавлены в группу администраторов на каждом рядовом сервере и рабочей станции в домене с помощью параметров ограниченной группы в связанных объектах GPO.If Domain Admins groups have been removed from the local Administrators groups on the member servers, they should be added to the Administrators group on each member server and workstation in the domain via restricted group settings in linked GPOs. Следующие общие элементы управления, которые подробно описаны в приложении F: защита групп администраторов домена в Active Directory , также должны быть реализованы.The following general controls, which are described in depth in Appendix F: Securing Domain Admins Groups in Active Directory should also be implemented.

Для группы Администраторы домена в каждом домене леса:For the Domain Admins group in each domain in the forest:

  1. Удалите всех членов группы DA с возможным исключением встроенной учетной записи администратора для домена, если оно защищено, как описано в приложении г. Защита встроенных учетных записей администраторов в Active Directory.Remove all members from the DA group, with the possible exception of the built-in Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. В объектах групповой политики, связанных с подразделениями, содержащими рядовые серверы и рабочие станции в каждом домене, Группа DA должна быть добавлена к следующим правам пользователя:In GPOs linked to OUs containing member servers and workstations in each domain, the DA group should be added to the following user rights:

    • Отказ в доступе к компьютеру из сетиDeny access to this computer from the network
    • Отказ во входе в качестве пакетного заданияDeny log on as a batch job
    • Отказать во входе в качестве службыDeny log on as a service
    • Запретить локальный входDeny log on locally
    • Запретить вход в систему через службу удаленных рабочих столовDeny log on through Remote Desktop Services

    Это предотвратит вход членов группы DA на рядовые серверы и рабочие станции.This will prevent members of the DA group from logging on to member servers and workstations. Если для администрирования контроллеров домена и Active Directory используются серверы переходов, убедитесь, что серверы переходов расположены в подразделении, к которому не привязаны объекты групповой политики.If jump servers are used to administer domain controllers and Active Directory, ensure that jump servers are located in an OU to which the restrictive GPOs are not linked.

  3. Аудит следует настроить для отправки оповещений при внесении любых изменений в свойства или членство в группе DA.Auditing should be configured to send alerts if any modifications are made to the properties or membership of the DA group. Эти оповещения должны отправляться как минимум пользователям или командам, ответственным за AD DS администрирование и реагирование на инциденты.These alerts should be sent, at a minimum, to users or teams responsible for AD DS administration and incident response. Необходимо также определить процессы и процедуры для временного заполнения группы DA, включая процедуры уведомления при допустимом заполнении группы.You should also define processes and procedures for temporarily populating the DA group, including notification procedures when legitimate population of the group is performed.

Защита групп администраторов в Active DirectorySecuring Administrators Groups in Active Directory

Как и в случае с группами EA и DA, членство в группе Администраторы (BA) должно быть обязательным только в сценариях сборки или аварийного восстановления.As is the case with the EA and DA groups, membership in the Administrators (BA) group should be required only in build or disaster-recovery scenarios. В группе администраторов не должно быть повседневных учетных записей пользователей, за исключением учетной записи локального администратора домена, если она защищена, как описано в приложении г: защита встроенных учетных записей администраторов в Active Directory.There should be no day-to-day user accounts in the Administrators group with the exception of the local Administrator account for the domain, if it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Если требуется доступ к администраторам, учетные записи, которым необходим этот уровень доступа, должны временно помещаться в группу администраторов для рассматриваемого домена.When Administrators access is required, the accounts needing this level of access should be temporarily placed in the Administrators group for the domain in question. Несмотря на то, что пользователи используют привилегированные учетные записи, действия должны быть проверены и, желательно, выполняться с пользователем, выполняющим изменения, и другим пользователем, которые отслеживают изменения, чтобы максимально ограничить вероятность случайного непреднамеренного использования или неправильной настройки.Although the users are using the highly privileged accounts, activities should be audited and, preferably, performed with a user performing the changes and another user observing the changes to minimize the likelihood of inadvertent misuse or misconfiguration. После завершения действий учетные записи должны быть немедленно удалены из группы администраторов.When the activities have been completed, the accounts should immediately be removed from the Administrators group. Это можно сделать с помощью ручных процедур и документированных процессов с помощью программного обеспечения для управления привилегированными пользователями (PIM и PAM) сторонних разработчиков или сочетанием обоих.This can be achieved via manual procedures and documented processes, via third-party privileged identity/access management (PIM/PAM) software, or a combination of both.

Администраторы по умолчанию являются владельцами большинства объектов AD DS в соответствующих доменах.Administrators are, by default, the owners of most of the AD DS objects in their respective domains. Членство в этой группе может потребоваться в сценариях сборки и аварийного восстановления, в которых требуется владение или возможность стать владельцем объектов.Membership in this group may be required in build and disaster recovery scenarios in which ownership or the ability to take ownership of objects is required. Кроме того, DAs и EAs наследуют ряд прав и разрешений, используя членство по умолчанию в группе администраторов.Additionally, DAs and EAs inherit a number of their rights and permissions by virtue of their default membership in the Administrators group. Вложенность групп по умолчанию для привилегированных групп в Active Directory не должна изменяться, и группа администраторов каждого домена должна быть защищена, как описано в приложении ж: защита групп администраторов в Active Directoryи в общих инструкциях ниже.Default group nesting for privileged groups in Active Directory should not be modified, and each domain's Administrators group should be secured as described in Appendix G: Securing Administrators Groups in Active Directory, and in the general instructions below.

  1. Удалите всех членов группы "Администраторы" с возможным исключением учетной записи локального администратора для домена, если оно защищено, как описано в приложении г. Защита встроенных учетных записей администраторов в Active Directory.Remove all members from the Administrators group, with the possible exception of the local Administrator account for the domain, provided it has been secured as described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

  2. Членам группы администраторов домена никогда не нужно выполнять вход на рядовые серверы или рабочие станции.Members of the domain's Administrators group should never need to log on to member servers or workstations. В одном или нескольких объектах групповой политики, связанных с рабочими станциями и рядовыми серверами в каждом домене, Группа администраторов должна быть добавлена к следующим правам пользователя:In one or more GPOs linked to workstation and member server OUs in each domain, the Administrators group should be added to the following user rights:

    • Отказ в доступе к компьютеру из сетиDeny access to this computer from the network
    • Запретить вход в систему в качестве пакетного задания,Deny log on as a batch job,
    • Отказать во входе в качестве службыDeny log on as a service
    • Это предотвратит использование членов группы "Администраторы" для входа или подключения к рядовым серверам или рабочим станциям (если только несколько элементов управления не были изначально нарушены), где их учетные данные могут кэшироваться и, соответственно, скомпрометированы.This will prevent members of the Administrators group from being used to log on or connect to member servers or workstations (unless multiple controls are first breached), where their credentials could be cached and thereby compromised. Привилегированную учетную запись никогда не следует использовать для входа в систему с меньшими правами, и применение этих элементов управления обеспечивает защиту от нескольких атак.A privileged account should never be used to log on to a less-privileged system, and enforcing these controls affords protection against a number of attacks.
  3. В подразделении контроллеров домена в каждом домене леса группе Администраторы должны быть предоставлены следующие права пользователя (если они еще не имеют этих прав), что позволит членам группы "Администраторы" выполнять функции, необходимые для сценарий аварийного восстановления на уровне леса:At the domain controllers OU in each domain in the forest, the Administrators group should be granted the following user rights (if they do not already have these rights), which will allow the members of the Administrators group to perform functions necessary for a forest-wide disaster recovery scenario:

    • Доступ к этому компьютеру из сетиAccess this computer from the network
    • Локальный вход в системуAllow log on locally
    • Разрешить вход в систему через службу удаленных рабочих столовAllow log on through Remote Desktop Services
  4. Аудит следует настроить для отправки оповещений при внесении любых изменений в свойства или членство в группе "Администраторы".Auditing should be configured to send alerts if any modifications are made to the properties or membership of the Administrators group. Эти оповещения должны отправляться как минимум членам группы, ответственным за AD DS администрирование.These alerts should be sent, at a minimum, to members of the team responsible for AD DS administration. Оповещения также должны отправляться членам группы безопасности, а процедуры должны быть определены для изменения членства в группе администраторов.Alerts should also be sent to members of the security team, and procedures should be defined for modifying the membership of the Administrators group. В частности, эти процессы должны включать процедуру, с помощью которой группа безопасности получает уведомление о том, что Группа администраторов будет изменяться, чтобы при отправке предупреждений они были ожидаемыми, а оповещение не порождается.Specifically, these processes should include a procedure by which the security team is notified when the Administrators group is going to be modified so that when alerts are sent, they are expected and an alarm is not raised. Кроме того, процессы для уведомления группы безопасности о завершении использования группы «Администраторы» и удалении учетных записей, удаленных из группы, должны быть реализованы.Additionally, processes to notify the security team when the use of the Administrators group has been completed and the accounts used have been removed from the group should be implemented.

Примечание

При реализации ограничений группы администраторов в объектах групповой политики Windows применяет параметры к членам локальной группы администраторов компьютера в дополнение к группе администраторов домена.When you implement restrictions on the Administrators group in GPOs, Windows applies the settings to members of a computer's local Administrators group in addition to the domain's Administrators group. Поэтому следует соблюдать осторожность при реализации ограничений для группы администраторов.Therefore, you should use caution when implementing restrictions on the Administrators group. Несмотря на то, что запрещено выполнять вход в сеть, пакет и службу для членов группы «Администраторы», не следует ограничивать локальные входы и входы с помощью службы удаленных рабочих столов.Although prohibiting network, batch and service logons for members of the Administrators group is advised wherever it is feasible to implement, do not restrict local logons or logons through Remote Desktop Services. Блокирование этих типов входа в систему может заблокировать законное администрирование компьютера членами локальной группы "Администраторы".Blocking these logon types can block legitimate administration of a computer by members of the local Administrators group. На следующем снимке экрана показаны параметры конфигурации, которые блокируют неправильное использование встроенных локальных учетных записей и администраторов домена, а также неправильное использование встроенных локальных групп или группы «Администраторы домена».The following screenshot shows configuration settings that block misuse of built-in local and domain Administrator accounts, in addition to misuse of built-in local or domain Administrators groups. Обратите внимание, что право " запретить вход в службы удаленных рабочих столов пользователя" не включает в себя группу "Администраторы", так как она включает в себя этот параметр, а также запрещает эти входы для учетных записей, являющихся членами группы "Администраторы" локального компьютера.Note that the Deny log on through Remote Desktop Services user right does not include the Administrators group, because including it in this setting would also block these logons for accounts that are members of the local computer's Administrators group. Если службы на компьютерах настроены для работы в контексте любой из привилегированных групп, описанных в этом разделе, реализация этих параметров может привести к сбою служб и приложений.If services on computers are configured to run in the context of any of the privileged groups described in this section, implementing these settings can cause services and applications to fail. Поэтому, как и в случае со всеми рекомендациями в этом разделе, необходимо тщательно проверить параметры для применения в вашей среде.Therefore, as with all of the recommendations in this section, you should thoroughly test settings for applicability in your environment.

наименее права модели администрирования

Управление доступом на основе ролей (RBAC) для Active DirectoryRole-Based Access Controls (RBAC) for Active Directory

В целом, управление доступом на основе ролей (RBAC) — это механизм группирования пользователей и предоставления доступа к ресурсам на основе бизнес-правил.Generally speaking, role-based access controls (RBAC) are a mechanism for grouping users and providing access to resources based on business rules. В случае Active Directory реализация RBAC для AD DS — это процесс создания ролей, которым делегируются права и разрешения, позволяющие членам роли выполнять повседневные административные задачи без предоставления им чрезмерных прав.In the case of Active Directory, implementing RBAC for AD DS is the process of creating roles to which rights and permissions are delegated to allow members of the role to perform day-to-day administrative tasks without granting them excessive privilege. RBAC для Active Directory можно разрабатывать и реализовывать с помощью собственных средств и интерфейсов, используя программное обеспечение, которое вы уже можете приобретать, приобретяя сторонние продукты или любое сочетание этих подходов.RBAC for Active Directory can be designed and implemented via native tooling and interfaces, by leveraging software you may already own, by purchasing third-party products, or any combination of these approaches. В этом разделе не приводятся пошаговые инструкции по реализации RBAC для Active Directory, а также обсуждаются факторы, которые следует учитывать при выборе подхода к реализации RBAC в установках AD DS.This section does not provide step-by-step instructions to implement RBAC for Active Directory, but instead discusses factors you should consider in choosing an approach to implementing RBAC in your AD DS installations.

Собственные подходы к RBAC для Active DirectoryNative Approaches to RBAC for Active Directory

В простейшей реализации RBAC роли можно реализовать как группы AD DS и делегировать права и разрешения группам, которые позволяют выполнять ежедневное администрирование в рамках определенной области действия роли.In the simplest RBAC implementation, you can implement roles as AD DS groups and delegate rights and permissions to the groups that allow them to perform daily administration within the designated scope of the role.

В некоторых случаях существующие группы безопасности в Active Directory можно использовать для предоставления прав и разрешений, подходящих для функции задания.In some cases, existing security groups in Active Directory can be used to grant rights and permissions appropriate to a job function. Например, если определенные сотрудники ИТ-организации несут ответственность за управление и обслуживание зон и записей DNS, то делегирование этих обязанностей может быть так же простым, как создание учетной записи для каждого администратора DNS и добавление их в DNS. Группа "Администраторы" в Active Directory.For example, if specific employees in your IT organization are responsible for the management and maintenance of DNS zones and records, delegating those responsibilities can be as simple as creating an account for each DNS administrator and adding it to the DNS Admins group in Active Directory. Группа "Администраторы DNS", в отличие от более привилегированных групп, имеет несколько мощных прав в Active Directory, хотя члены этой группы были делегированы разрешения, которые позволяют им администрировать DNS и по-прежнему подвержены атакам и нарушениям повышение привилегий.The DNS Admins group, unlike more highly privileged groups, has few powerful rights across Active Directory, although members of this group have been delegated permissions that allow them to administer DNS and is still subject to compromise and abuse could result in elevation of privilege.

В других случаях может потребоваться создать группы безопасности и делегировать права и разрешения для Active Directory объектов, объектов файловой системы и объектов реестра, чтобы члены групп могли выполнять назначенные задачи администрирования.In other cases, you may need to create security groups and delegate rights and permissions to Active Directory objects, file system objects, and registry objects to allow members of the groups to perform designated administrative tasks. Например, если операторы службы поддержки отвечают за сброс забытых паролей, помощь пользователям с проблемами подключения и устранение неполадок с параметрами приложения, может потребоваться объединить параметры делегирования для объектов пользователя в Active Directory с привилегиями, которые позволяют пользователям службы поддержки удаленно подключаться к компьютерам пользователей для просмотра или изменения параметров конфигурации пользователей.For example, if your Help Desk operators are responsible for resetting forgotten passwords, assisting users with connectivity problems, and troubleshooting application settings, you may need to combine delegation settings on user objects in Active Directory with privileges that allow Help Desk users to connect remotely to users' computers to view or modify the users' configuration settings. Для каждой определяемой роли следует определить:For each role you define, you should identify:

  1. Задачи, выполняемые участниками роли в повседневной работе, и задачи, которые выполняются реже.Which tasks members of the role perform on a day-to-day basis and which tasks are less frequently performed.
  2. На каких системах и в каких приложениях членам роли должны быть предоставлены права и разрешения.On which systems and in which applications members of a role should be granted rights and permissions.
  3. Пользователей, которым следует предоставить членство в роли.Which users should be granted membership in a role.
  4. Как будут выполняться управление членством в ролях.How management of role memberships will be performed.

Во многих средах управление доступом на основе ролей вручную для администрирования среды Active Directory может быть трудно реализовать и поддерживать.In many environments, manually creating role-based access controls for administration of an Active Directory environment can be challenging to implement and maintain. Если вы четко определили роли и обязанности по администрированию ИТ-инфраструктуры, вам может потребоваться использовать дополнительные средства, которые помогут вам создать управляемое собственное развертывание RBAC.If you have clearly defined roles and responsibilities for administration of your IT infrastructure, you may want to leverage additional tooling to assist you in creating a manageable native RBAC deployment. Например, если в вашей среде используется Forefront Identity Manager (FIM), вы можете использовать FIM для автоматизации создания и заполнения административных ролей, что упрощает непрерывное администрирование.For example, if Forefront Identity Manager (FIM) is in use in your environment, you can use FIM to automate the creation and population of administrative roles, which can ease ongoing administration. При использовании System Center Configuration Manager (SCCM) и System Center Operations Manager (SCOM) можно использовать роли конкретных приложений для делегирования функций управления и мониторинга, а также обеспечить согласованную настройку и аудит для всех систем в домен.If you use System Center Configuration Manager (SCCM) and System Center Operations Manager (SCOM), you can use application-specific roles to delegate management and monitoring functions, and also enforce consistent configuration and auditing across systems in the domain. Если вы реализовали инфраструктуру открытых ключей (PKI), вы можете выдавать и требовать смарт-карты для специалистов по ИТ, ответственных за администрирование среды.If you have implemented a public key infrastructure (PKI), you can issue and require smart cards for IT staff responsible for administering the environment. С помощью управления учетными данными FIM (FIM CM) можно даже сочетать управление ролями и учетными данными для административного персонала.With FIM Credential Management (FIM CM), you can even combine management of roles and credentials for your administrative staff.

В других случаях может быть предпочтительнее организация раслагаться на развертывание стороннего программного обеспечения RBAC, предоставляющего возможности "встроенных" функций.In other cases, it may be preferable for an organization to consider deploying third-party RBAC software that provides "out-of-box" functionality. Коммерческие, готовые решения (Котс) для RBAC для Active Directory, Windows, а также каталогов и операционных систем, отличных от Windows, предлагаются несколькими поставщиками.Commercial, off-the-shelf (COTS) solutions for RBAC for Active Directory, Windows, and non-Windows directories and operating systems are offered by a number of vendors. При выборе между собственными решениями и продуктами сторонних производителей следует учитывать следующие факторы.When choosing between native solutions and third-party products, you should consider the following factors:

  1. Бюджет. благодаря инвестиционной разработке RBAC с помощью программного обеспечения и средств, которые вы уже можете присвоить, вы можете уменьшить затраты на программное обеспечение, связанное с развертыванием решения.Budget: By investing in development of RBAC using software and tools you may already own, you can reduce the software costs involved in deploying a solution. Тем не менее, если у вас нет сотрудников, создающих и развернутых в собственных решениях RBAC, вам может потребоваться привлечь консультационные материалы для разработки решения.However, unless you have staff who are experienced in creating and deploying native RBAC solutions, you may need to engage consulting resources to develop your solution. Следует тщательно взвесить ожидаемые затраты на специально разработанное решение с учетом затрат на развертывание встроенного решения, особенно в том случае, если бюджет ограничен.You should carefully weigh the anticipated costs for a custom-developed solution with the costs to deploy an "out-of-box" solution, particularly if your budget is limited.
  2. Композиция ИТ-среды. Если ваша среда состоит в основном из систем Windows или если вы уже используете Active Directory для управления системами и учетными записями, отличными от Windows, пользовательские решения могут предоставить оптимальное решение для Ваши потребности.Composition of the IT environment: If your environment is comprised primarily of Windows systems, or if you are already leveraging Active Directory for management of non-Windows systems and accounts, custom native solutions may provide the optimal solution for your needs. Если ваша инфраструктура содержит множество систем, которые не работают под управлением Windows и не управляются с помощью Active Directory, может потребоваться рассмотреть возможность управления системами, отличными от Windows, отдельно от среды Active Directory.If your infrastructure contains many systems that are not running Windows and are not managed by Active Directory, you may need to consider options for management of non-Windows systems separately from the Active Directory environment.
  3. Модель привилегий в решении. Если продукт полагается на размещение учетных записей служб в группах с высоким уровнем привилегий в Active Directory и не предлагает параметры, не требующие чрезмерных прав, предоставленных программному обеспечению RBAC, вы не сократили Ваша Active Directoryная контактная зона изменила только структуру наиболее привилегированных групп в каталоге.Privilege model in the solution: If a product relies on placement of its service accounts into highly privileged groups in Active Directory and does not offer options that do not require excessive privilege be granted to the RBAC software, you have not really reduced your Active Directory attack surface you've only changed the composition of the most privileged groups in the directory. Если поставщик приложения не может предоставлять элементы управления для учетных записей служб, которые снижают вероятность компрометации и злонамеренного использования учетных записей, вы можете рассмотреть другие варианты.Unless an application vendor can provide controls for service accounts that minimize the probability of the accounts being compromised and maliciously used, you may want to consider other options.

Управление привилегированными пользователямиPrivileged Identity Management

Управление привилегированными пользователями (PIM), иногда называемое управлением привилегированными учетными записями (PAM) или управлением привилегированными учетными данными (PCM), — это проектирование, создание и реализация подходов к управлению привилегированными учетными записями в Infrastructure.Privileged identity management (PIM), sometimes referred to as privileged account management (PAM) or privileged credential management (PCM) is the design, construction, and implementation of approaches to managing privileged accounts in your infrastructure. В общем случае PIM предоставляет механизмы, с помощью которых учетным записям предоставляются временные права и разрешения, необходимые для выполнения функций исправления сборки или прерывания, а не для постоянного подключения к учетным записям.Generally speaking, PIM provides mechanisms by which accounts are granted temporary rights and permissions required to perform build-or-break fix functions, rather than leaving privileges permanently attached to accounts. Могут ли быть доступны функции PIM, созданные вручную или реализованные с помощью развертывания стороннего программного обеспечения, возможны следующие функции:Whether PIM functionality is manually created or is implemented via the deployment of third-party software one or more of the following features may be available:

  • Учетные данные "хранилища", где "пароли для привилегированных учетных записей" извлечены "и получают исходный пароль, а затем" возвращен "после завершения действий, в течение которых пароли снова сбрасываются в учетных записях.Credential "vaults," where passwords for privileged accounts are "checked out" and assigned an initial password, then "checked in" when activities have been completed, at which time passwords are again reset on the accounts.
  • Ограничения ограниченного времени при использовании привилегированных учетных данныхTime-bound restrictions on the use of privileged credentials
  • Учетные данные одноразового использованияOne-time-use credentials
  • Созданное рабочим процессом предоставление привилегий с мониторингом и созданием отчетов о действиях, выполненных и автоматических при завершении действий, или выделенном времени истекло.Workflow-generated granting of privilege with monitoring and reporting of activities performed and automatic removal of privilege when activities are completed or allotted time has expired
  • Замена жестко запрограммированных учетных данных, таких как имена пользователей и пароли, в скриптах с помощью прикладных программных интерфейсов (API), которые позволяют получать учетные данные из хранилищ по мере необходимостиReplacement of hard-coded credentials such as user names and passwords in scripts with application programming interfaces (APIs) that allow credentials to be retrieved from vaults as needed
  • Автоматическое управление учетными данными учетной записи службыAutomatic management of service account credentials

Создание непривилегированных учетных записей для управления привилегированными учетными записямиCreating Unprivileged Accounts to Manage Privileged Accounts

Одной из задач управления привилегированными учетными записями является то, что по умолчанию учетные записи, которые могут управлять привилегированными и защищенными учетными записями и группами, являются привилегированными и защищенными.One of the challenges in managing privileged accounts is that, by default, the accounts that can manage privileged and protected accounts and groups are privileged and protected accounts. Если вы реализуете соответствующие решения RBAC и PIM для установки Active Directory, решения могут включать в себя подходы, позволяющие эффективно располнять членство в группах с наибольшим количеством привилегированных пользователей в каталоге, заполняя только группы временно и при необходимости.If you implement appropriate RBAC and PIM solutions for your Active Directory installation, the solutions may include approaches that allow you to effectively depopulate the membership of the most privileged groups in the directory, populating the groups only temporarily and when needed.

Однако при реализации собственных RBAC и PIM следует рассмотреть возможность создания учетных записей, не имеющих привилегий, и с помощью единственной функции заполнения и дезаполнения привилегированных групп в Active Directory при необходимости.If you implement native RBAC and PIM, however, you should consider creating accounts that have no privilege and with the only function of populating and depopulating privileged groups in Active Directory when needed. Приложение I. Создание учетных записей управления для защищенных учетных записей и групп в Active Directory содержит пошаговые инструкции, которые можно использовать для создания учетных записей для этой цели.Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory provides step-by-step instructions that you can use to create accounts for this purpose.

Реализация надежных элементов управления аутентификациейImplementing Robust Authentication Controls

Номер шестого закона. на самом деле, кто-то пытается угадать пароли.Law Number Six: There really is someone out there trying to guess your passwords. - 10 непреложных законов по администрированию безопасности - 10 Immutable Laws of Security Administration

Атаки Pass-a-hash и других атак с кражой учетных данных не относятся к операционным системам Windows и не являются новыми.Pass-the-hash and other credential theft attacks are not specific to Windows operating systems, nor are they new. Первая атака Pass-a-hash была создана в 1997.The first pass-the-hash attack was created in 1997. Однако исторически эти атаки требовали специальных средств, были пройдены или пропускают их успешно, а необходимые злоумышленники имеют относительно высокий уровень квалификации.Historically, however, these attacks required customized tools, were hit-or-miss in their success, and required attackers to have a relatively high degree of skill. Введение в бесплатное, простое в использовании средство, которое изначально извлекает учетные данные, привело к экспоненциальному увеличению числа и успешности атак с хищением учетных данных за последние годы.The introduction of freely available, easy-to-use tooling that natively extracts credentials has resulted in an exponential increase in the number and success of credential theft attacks in recent years. Однако атаки методом кражи учетных данных не являются единственными механизмами, в которых учетные данные нацелены и скомпрометированы.However, credential theft attacks are by no means the only mechanisms by which credentials are targeted and compromised.

Хотя необходимо реализовать элементы управления для защиты от атак с хищением учетных данных, следует также определить учетные записи в среде, которые, скорее всего, будут использоваться злоумышленниками, и реализовать надежные элементы управления аутентификацией для этих организаций.Although you should implement controls to help protect you against credential theft attacks, you should also identify the accounts in your environment that are most likely to be targeted by attackers, and implement robust authentication controls for those accounts. Если наиболее привилегированные учетные записи используют однофакторную проверку подлинности, например имена пользователей и пароли (то есть что-то известное, то есть один фактор проверки подлинности), эти учетные записи будут слабее защищены.If your most privileged accounts are using single factor authentication such as user names and passwords (both are "something you know," which is one authentication factor), those accounts are weakly protected. Все, что необходимо злоумышленнику, — знание имени пользователя и знаний о пароле, связанном с учетной записью, а атаки типа Pass-The-hash не требуются, чтобы злоумышленник мог пройти проверку подлинности в качестве пользователя для любых систем, принимающих учетные данные одного фактора.All that an attacker needs is knowledge of the user name and knowledge of the password associated with the account, and pass-the-hash attacks are not required the attacker can authenticate as the user to any systems that accept single factor credentials.

Несмотря на то, что реализация многофакторной проверки подлинности не защищает вас от атак Pass-of-Hash, реализация многофакторной проверки подлинности в сочетании с защищенными системами может быть реализована.Although implementing multi-factor authentication does not protect you against pass-the-hash attacks, implementing multi-factor authentication in combination with protected systems can. Дополнительные сведения о реализации защищенных систем приведены в разделе Реализация безопасных административных узлов, а параметры проверки подлинности обсуждаются в следующих разделах.More information about implementing protected systems is provided in Implementing Secure Administrative Hosts, and authentication options are discussed in the following sections.

Общие элементы управления аутентификациейGeneral Authentication Controls

Если вы еще не реализовали многофакторную проверку подлинности, например смарт-карты, попробуйте сделать это.If you have not already implemented multi-factor authentication such as smart cards, consider doing so. Смарт-карты реализуют аппаратную защиту закрытых ключей в паре открытого и закрытого ключей, предотвращая доступ к закрытому ключу пользователя или его использование, если только пользователь не представит правильный ПИН-код, секретный код или биометрический идентификатор для смарт-карты.Smart cards implement hardware-enforced protection of private keys in a public-private key pair, preventing a user's private key from being accessed or used unless the user presents the proper PIN, passcode, or biometric identifier to the smart card. Даже если ПИН-код пользователя или секретный код перехватывается средством ведения журнала нажатия клавиш на скомпрометированном компьютере, для повторного использования ПИН-кода или секретного кода карта должна быть также физически представлена.Even if a user's PIN or passcode is intercepted by a keystroke logger on a compromised computer, for an attacker to reuse the PIN or passcode, the card must also be physically present.

В случаях, когда длительные сложные пароли были сложно реализовать из-за сопротивления пользователя, Интеллектуальные карты предоставляют механизм, с помощью которого пользователи могут реализовывать относительно простые ПИН или секретные коды без уязвимых учетных данных для принудительного подбора или атаки на таблицу Радуга.In cases in which long, complex passwords have proven difficult to implement because of user resistance, smart cards provide a mechanism by which users may implement relatively simple PINs or passcodes without the credentials being susceptible to brute force or rainbow table attacks. Крепления смарт-карт не хранятся в Active Directory или в локальных базах данных SAM, хотя хэши учетных данных по-прежнему могут храниться в защищенной памяти LSASS на компьютерах, на которых смарт-карты использовались для проверки подлинности.Smart card PINs are not stored in Active Directory or in local SAM databases, although credential hashes may still be stored in LSASS protected memory on computers on which smart cards have been used for authentication.

Дополнительные элементы управления для учетных записей виртуального IP-адресаAdditional Controls for VIP Accounts

Еще одним преимуществом реализации смарт-карт или других механизмов проверки подлинности на основе сертификатов является возможность использования гарантии механизма проверки подлинности для защиты конфиденциальных данных, доступных пользователям виртуальных IP-адресов.Another benefit of implementing smart cards or other certificate-based authentication mechanisms is the ability to leverage Authentication Mechanism Assurance to protect sensitive data that is accessible to VIP users. Механизм проверки подлинности доступен в доменах, в которых установлен функциональный уровень Windows Server 2012 или Windows Server 2008 R2.Authentication Mechanism Assurance is available in domains in which the functional level is set to Windows Server 2012 or Windows Server 2008 R2. Если включено, механизм проверки подлинности добавляет административное членство в маркер Kerberos пользователя при проверке подлинности учетных данных пользователя во время входа с помощью метода входа на основе сертификата.When it is enabled, Authentication Mechanism Assurance adds an administrator-designated global group membership to a user's Kerberos token when the user's credentials are authenticated during logon using a certificate-based logon method.

Это позволяет администраторам ресурсов управлять доступом к ресурсам, таким как файлы, папки и принтеры, в зависимости от того, входит ли пользователь в систему с помощью метода входа на основе сертификата, а также от типа используемого сертификата.This makes it possible for resource administrators to control access to resources, such as files, folders, and printers, based on whether the user logs on using a certificate-based logon method, in addition to the type of certificate used. Например, когда пользователь входит в систему с помощью смарт-карты, доступ пользователя к ресурсам в сети можно указать так, как если бы пользователь не использовал смарт-карту (то есть когда пользователь входит в систему, вводя имя пользователя и пароль).For example, when a user logs on by using a smart card, the user's access to resources on the network can be specified as different from what the access is when the user does not use a smart card (that is, when the user logs on by entering a user name and password). Дополнительные сведения о механизме проверки подлинности см. в пошаговом пошаговом руководству по механизму проверки подлинности для AD DS в Windows Server 2008 R2.For more information about Authentication Mechanism Assurance, see the Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide.

Настройка проверки подлинности привилегированной учетной записиConfiguring Privileged Account Authentication

В Active Directory для всех учетных записей администратора включите атрибут требовать смарт-карту для интерактивного входа в систему и аудит изменений (как минимум) для всех атрибутов на вкладке учетной записи учетной записи (например, CN, имя, SamAccountName, userPrincipalName и userAccountControl) объекты пользователя с правами администратора.In Active Directory for all administrative accounts, enable the Require smart card for interactive logon attribute, and audit for changes to (at a minimum), any of the attributes on the Account tab for the account (for example, cn, name, sAMAccountName, userPrincipalName, and userAccountControl) administrative user objects.

Несмотря на то, что при настройке параметра требовать смарт-карту для интерактивного входа в систему для учетных записей выполняется сброс пароля учетной записи на 120-символьное случайное значение, а для интерактивного входа в систему требуются смарт-карты, этот атрибут по-прежнему может быть перезаписан пользователями с разрешениями, которые позволяют им изменять пароли учетных записей.Although setting the Require smart card for interactive logon on accounts resets the account's password to a 120-character random value and requires smart cards for interactive logons, the attribute can still be overwritten by users with permissions that allow them to change passwords on the accounts, and the accounts can then be used to establish non-interactive logons with only user name and password.

В других случаях, в зависимости от конфигурации учетных записей в Active Directory и параметров сертификатов в Active Directory служб сертификации (AD CS) или сторонней PKI, можно ориентироваться на атрибуты имени участника-пользователя (UPN) для учетных записей администратора или виртуального IP-адреса. для атаки определенного типа, как описано здесь.In other cases, depending on the configuration of accounts in Active Directory and certificate settings in Active Directory Certificate Services (AD CS) or a third-party PKI, User Principal Name (UPN) attributes for administrative or VIP accounts can be targeted for a specific kind of attack, as described here.

Захват имени участника-пользователя для подмены сертификатовUPN Hijacking for Certificate Spoofing

Хотя подробное обсуждение атак на инфраструктуру открытых ключей (PKI) выходит за рамки этого документа, атаки с общедоступного и частного PKI увеличиваются в экспоненциальном масштабе с 2008.Although a thorough discussion of attacks against public key infrastructures (PKIs) is outside the scope of this document, attacks against public and private PKIs have increased exponentially since 2008. Нарушения общедоступного PKI были широко общедоступными, но атаки на внутреннюю PKI Организации, возможно, еще больше плодотворным.Breaches of public PKIs have been broadly publicized, but attacks against an organization's internal PKI are perhaps even more prolific. Одна из таких атак использует Active Directory и сертификаты, чтобы позволить злоумышленнику подменить учетные данные других учетных записей способом, который может быть трудно обнаружить.One such attack leverages Active Directory and certificates to allow an attacker to spoof the credentials of other accounts in a manner that can be difficult to detect.

Если сертификат предоставляется для проверки подлинности в системе, присоединенной к домену, то содержимое субъекта или атрибут альтернативного имени субъекта (SAN) в сертификате используется для того, чтобы сопоставлять сертификат с объектом пользователя в Active Directory.When a certificate is presented for authentication to a domain-joined system, the contents of the Subject or the Subject Alternative Name (SAN) attribute in the certificate are used to map the certificate to a user object in Active Directory. В зависимости от типа сертификата и способа его создания атрибут subject в сертификате обычно содержит общее имя пользователя (CN), как показано на следующем снимке экрана.Depending on the type of certificate and how it is constructed, the Subject attribute in a certificate typically contains a user's common name (CN), as shown in the following screenshot.

наименее права модели администрирования

По умолчанию Active Directory конструирует CN пользователя, объединяя имя и фамилию учетной записи.By default, Active Directory constructs a user's CN by concatenating the account's first name + " "+ last name. Однако компоненты CN объектов-пользователей в Active Directory не обязательно должны быть уникальными, и перемещение учетной записи пользователя в другое расположение в каталоге изменяет различающееся имя учетной записи (DN), то есть полный путь к объекту в Каталог, как показано в нижней области предыдущего снимка экрана.However, CN components of user objects in Active Directory are not required or guaranteed to be unique, and moving a user account to a different location in the directory changes the account's distinguished name (DN), which is the full path to the object in the directory, as shown in the bottom pane of the previous screenshot.

Так как имена субъектов сертификатов не обязательно должны быть статическими или уникальными, содержимое альтернативного имени субъекта часто используется для нахождение объекта пользователя в Active Directory.Because certificate subject names are not guaranteed to be static or unique, the contents of the Subject Alternative Name are often used to locate the user object in Active Directory. Атрибут SAN для сертификатов, выдаваемых пользователям из центров сертификации предприятия (Active Directory интегрированных ЦС), обычно содержит имя участника-пользователя или адрес электронной почты.The SAN attribute for certificates issued to users from enterprise certification authorities (Active Directory integrated CAs) typically contains the user's UPN or email address. Так как имена участников-пользователей гарантированно уникальны в лесу AD DS, Поиск объекта пользователя по имени участника обычно выполняется как часть проверки подлинности с сертификатами, вовлеченными в процесс проверки подлинности или без них.Because UPNs are guaranteed to be unique in an AD DS forest, locating a user object by UPN is commonly performed as part of authentication, with or without certificates involved in the authentication process.

Использование UPN в атрибутах SAN в сертификатах проверки подлинности может быть использовано злоумышленниками для получения мошеннических сертификатов.The use of UPNs in SAN attributes in authentication certificates can be leveraged by attackers to obtain fraudulent certificates. Если злоумышленник выскомпрометирован учетную запись, имеющую право на чтение и запись имен участников-пользователей для объектов пользователя, то атака реализуется следующим образом:If an attacker has compromised an account that has the ability to read and write UPNs on user objects, the attack is implemented as follows:

Атрибут UPN для объекта пользователя (например, пользователя виртуального IP-адреса) временно изменен на другое значение.The UPN attribute on a user object (such as a VIP user) is temporarily changed to a different value. Кроме того, в настоящее время можно изменить атрибут имени учетной записи SAM и CN, хотя это необязательно по причинам, описанным выше.The SAM account name attribute and CN can also be changed at this time, although this is usually not necessary for the reasons described earlier.

При изменении атрибута UPN в целевой учетной записи устаревшая, включенная учетная запись пользователя или атрибут UPN новой учетной записи пользователя изменяется на значение, первоначально назначенное целевой учетной записи.When the UPN attribute on the target account has been changed, a stale, enabled user account or a freshly created user account's UPN attribute is changed to the value that was originally assigned to the target account. Устаревшие, включенные учетные записи пользователей — это учетные записи, которые не входили в систему в течение длительного времени, но не были отключены.Stale, enabled user accounts are accounts that have not logged on for long periods of time, but have not been disabled. Они предназначены для злоумышленников, которые предписывают «скрыть в простой информации» по следующим причинам.They are targeted by attackers who intend to "hide in plain sight" for the following reasons:

  1. Так как учетная запись включена, но не использовалась недавно, использование учетной записи вряд ли вызовет предупреждения способом включения отключенной учетной записи пользователя.Because the account is enabled, but hasn't been used recently, using the account is unlikely to trigger alerts the way that enabling a disabled user account might.
  2. Использование существующей учетной записи не требует создания новой учетной записи пользователя, которая может быть замечена административным персоналом.Use of an existing account doesn't require the creation of a new user account that might be noticed by administrative staff.
  3. Устаревшие учетные записи пользователей, которые по-прежнему включены, обычно являются членами различных групп безопасности и получают доступ к ресурсам в сети, упрощая доступ и "смешивание" с существующим пользователем заполнением.Stale user accounts that are still enabled are usually members of various security groups and are granted access to resources on the network, simplifying access and "blending in" to an existing user population.

Учетная запись пользователя, на которой настроен целевой UPN-сервер, используется для запроса одного или нескольких сертификатов от служб сертификатов Active Directory.The user account on which the target UPN has now been configured is used to request one or more certificates from Active Directory Certificate Services.

Если для учетной записи злоумышленника были получены сертификаты, имена участников в учетной записи "Новая" и целевой учетной записи возвращаются к их исходным значениям.When certificates have been obtained for the attacker's account, the UPNs on the "new" account and the target account are returned to their original values.

Теперь у злоумышленника есть один или несколько сертификатов, которые можно представить для проверки подлинности в ресурсах и приложениях, как если бы пользователь был пользователем виртуальной ЛС, учетная запись которого была временно изменена.The attacker now has one or more certificates that can be presented for authentication to resources and applications as if the user is the VIP user whose account was temporarily modified. Несмотря на полное обсуждение всех способов, с помощью которых сертификаты и PKI могут быть нацелены злоумышленниками вне области этого документа, этот механизм атаки позволяет продемонстрировать, почему необходимо отслеживать привилегированные и виртуальные IP-адреса в AD DS для внесения изменений, особенно для внесения изменений в какие-либо атрибуты на вкладке учетной записи (например, CN, Name, SamAccountName, userPrincipalName и userAccountControl).Although a full discussion of all of the ways in which certificates and PKI can be targeted by attackers is outside the scope of this document, this attack mechanism is provided to illustrate why you should monitor privileged and VIP accounts in AD DS for changes, particularly for changes to any of the attributes on the Account tab for the account (for example, cn, name, sAMAccountName, userPrincipalName, and userAccountControl). В дополнение к наблюдению за учетными записями следует ограничить круг пользователей, которые могут изменять учетные записи, как можно меньшему набору административных прав.In addition to monitoring the accounts, you should restrict who can modify the accounts to as small a set of administrative users as possible. Аналогичным образом учетные записи пользователей с правами администратора должны быть защищены и отслеживаться на наличие несанкционированных изменений.Likewise, the accounts of administrative users should be protected and monitored for unauthorized changes.