Первичный аудит не требует специализированных инструментов. Достаточно доступа к коммутаторам, рабочей станции и базовых утилит. Цель — получить реальную картину, а не ту, что нарисована на схеме. Схемы редко соответствуют действительности. Администраторы добавляют оборудование, прокладывают временные маршруты и забывают обновить документацию.
Первый шаг — инвентаризация VLAN. На управляемых коммутаторах выполните команду show vlan brief в интерфейсе CLI. Результат покажет, сколько сегментов реально существует и какие порты в них включены. Типичная ситуация: VLAN один, все устройства в одной плоскости. Иногда VLAN несколько, но маршрутизация между ними открыта полностью. Оба варианта означают отсутствие сегментации по факту.
Второй шаг — проверка достижимости узлов. С рабочей станции рядового сотрудника выполните сканирование внутренней подсети:
nmap -sn 192.168.0.0/16
Если ответы приходят от серверов всех уровней — контроллера домена, гипервизора, системы резервного копирования — сегментация отсутствует. Нормальная картина: рабочая станция видит только узлы своего сегмента и шлюз. Серверная зона должна быть недостижима напрямую.
Третий шаг — анализ открытых портов на критических узлах. Проверьте контроллер домена:
nmap -p 445,3389,5985,5986 <IP контроллера домена>
Порт 445 (SMB) открытый с пользовательских станций — риск атаки Pass-the-Hash. Порт 3389 (RDP) без ограничения по источнику — путь к брутфорсу или эксплуатации BlueKeep-подобных уязвимостей. Порты 5985 и 5986 (WinRM) открытые для всей сети — возможность удаленного выполнения через PowerShell Remoting.
Четвертый шаг — проверка правил файрвола. Запросите правила у администратора или выгрузите конфигурацию. Найдите правила вида any → any, permit ip any any или аналоги. Такие записи означают, что файрвол стоит, но трафик через него проходит без ограничений. Реальная защита предполагает белые списки: только нужные порты между конкретными источниками и назначениями.
Пятый шаг — проверка журналов аутентификации. Откройте Event Viewer на контроллере домена, перейдите в Security → события с ID 4624 (успешный вход) и 4625 (неудачный вход). Если вы видите тысячи попыток входа с неизвестных IP или из нестандартных сегментов — периметр уже давно под давлением. Отдельно проверьте события ID 4720 (создание учетной записи) и 4728 (добавление в привилегированную группу) за последние 90 дней.
Как настроить VLAN-сегментацию на практике
Переход от плоской сети к сегментированной требует планирования. Резкое изменение конфигурации коммутаторов в рабочее время ломает сервисы. Работа проводится поэтапно, с тестированием на каждом шаге.
Определите минимальный набор зон. Для большинства инфраструктур достаточно пяти сегментов: пользовательский (VLAN 10), серверный (VLAN 20), DMZ (VLAN 30), управление сетевым оборудованием (VLAN 40) и резервное копирование (VLAN 50). Более детальное деление имеет смысл после внедрения базового.
Настройте транки между коммутаторами с явным указанием разрешенных VLAN. Запрет native VLAN и ограничение разрешенных сетей снижает риск VLAN Hopping:
interface GigabitEthernet0/1
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,50
switchport trunk native vlan 999
На маршрутизаторе или межсетевом экране настройте интерфейсы для каждого VLAN и пропишите политики доступа между зонами. Исходная политика — запретить всё, затем добавлять исключения по необходимости. Такой подход вынуждает явно документировать каждое разрешенное соединение.
Проверьте результат после применения правил. С узла в VLAN 10 попробуйте достучаться до сервера в VLAN 20 по портам, которых нет в белом списке. Попытка должна завершиться отказом. Далее убедитесь, что разрешенные соединения работают: браузер открывает сайт, почтовый клиент получает письма, сетевые диски монтируются. Если все работает и лишние маршруты закрыты — первый этап завершен.
Как правильно построить защиту Active Directory по уровням
Модель Tier 0 / Tier 1 / Tier 2 описывает иерархию привилегий в среде Microsoft. Её практическое применение существенно снижает риск компрометации всего домена при взломе рядового сотрудника.
Tier 0 включает объекты, контроль над которыми означает контроль над всей инфраструктурой. Контроллеры домена, сервисы Active Directory Certificate Services, серверы управления идентификацией — все они относятся к нулевому уровню. Учетные записи, которые могут взаимодействовать с Tier 0, не должны использоваться для работы с объектами нижних уровней. Администратор домена не заходит под своей привилегированной учетной записью на рабочую станцию пользователя. Это фундаментальное правило нарушается в большинстве организаций.
Tier 1 охватывает серверную инфраструктуру. Файловые серверы, серверы приложений, гипервизоры, системы мониторинга — всё, что обрабатывает данные, но не управляет всем доменом. Учетные записи Tier 1 не должны входить на рабочие станции пользователей и не должны иметь доступ к объектам Tier 0.
Tier 2 — это пользовательские рабочие станции и мобильные устройства. Здесь работают сотрудники. Компрометация Tier 2 дает злоумышленнику доступ к файлам и браузеру конкретного пользователя, но не к серверной инфраструктуре — при условии, что модель уровней соблюдается.
Технически разграничение обеспечивается через Authentication Policy Silos и Protected Users. Группа Protected Users запрещает кэширование паролей, использование NTLM и делегирование Kerberos для входящих в неё аккаунтов. Добавьте все привилегированные аккаунты Tier 0 в эту группу:
Add-ADGroupMember -Identity "Protected Users" -Members "admin_dc01","admin_pki"
Дополнительно настройте Credential Guard на серверах Tier 0. Технология изолирует хэши паролей в защищённом контейнере на базе виртуализации, делая атаки Pass-the-Hash и Pass-the-Ticket значительно сложнее. Включение через групповую политику: Computer Configuration → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security.
Проверьте через PowerShell, какие учетные записи входят в привилегированные группы:
Get-ADGroupMember "Domain Admins" | Select-Object Name, SamAccountName, Enabled
Get-ADGroupMember "Enterprise Admins" | Select-Object Name, SamAccountName
Обратите внимание на сервисные аккаунты в этих группах. Почтовый сервер не должен работать под учетной записью администратора домена. Система резервного копирования не требует членства в Enterprise Admins. Права выдаются точечно: только то, что необходимо для конкретной функции.
Какие отечественные средства защиты применяются в корпоративной среде
Рынок средств защиты информации предлагает решения с сертификатами регуляторов. Такая сертификация обязательна для инфраструктур, обрабатывающих персональные данные или относящихся к значимым объектам критической информационной инфраструктуры.
Межсетевые экраны нового поколения (NGFW) российской разработки представлены несколькими продуктами. UserGate NGFW обеспечивает фильтрацию на уровне приложений, SSL-инспекцию и контроль пользователей через интеграцию с AD. «Континент» от «Кода Безопасности» сочетает функции NGFW и криптошлюза. ViPNet Coordinator от «ИнфоТеКС» ориентирован на создание защищенных туннелей между сегментами. Выбор определяется наличием нужных сертификатов под конкретный класс информационной системы.
Системы обнаружения вторжений и анализа трафика позволяют видеть east-west движение внутри сети. PT NAD (Positive Technologies Network Attack Discovery) анализирует сетевые потоки и выявляет аномалии: сканирование портов изнутри, нетипичные DNS-запросы, попытки эксплуатации SMB. Система работает пассивно — зеркалирование трафика со span-порта коммутатора позволяет не изменять топологию. Для внедрения достаточно выделить span-порт и направить зеркалированный трафик на сенсор:
monitor session 1 source vlan 10,20 both
monitor session 1 destination interface GigabitEthernet0/24
MaxPatrol SIEM собирает и коррелирует события со всей инфраструктуры. Встроенные правила выявляют golden ticket-атаки, аномальное использование сервисных аккаунтов и попытки горизонтального перемещения. Критически важна настройка базовых алертов: вход привилегированного аккаунта вне рабочего времени, массовый опрос хостов из одного источника, изменение членства в привилегированных группах AD.
КриптоПро CSP обеспечивает криптографическую защиту каналов связи с использованием алгоритмов ГОСТ. Применяется для защиты VPN-туннелей между офисами, подписания документов и обеспечения доверенной загрузки на рабочих станциях.
При выборе средств защиты ориентируйтесь на реестр сертифицированных продуктов ФСТЭК. Для обработки персональных данных по 152-ФЗ требуется применение сертифицированных средств защиты информации соответствующего класса. Игнорирование этого требования создает регуляторные риски помимо технических.
Как оценить защиту резервных копий и убедиться в их пригодности
Резервные копии проверяются редко. Организации создают бэкапы годами, не проверяя, можно ли из них восстановиться. Инцидент с шифровальщиком обнаруживает эту проблему в самый неподходящий момент.
Первая проверка — целостность архивов. Большинство систем резервного копирования ведут логи завершения заданий. Откройте журнал за последние 30 дней. Найдите задания с ошибками или предупреждениями. Ошибка записи — признак проблемы с носителем или сетью. Предупреждение об изменившихся файлах — нормально для баз данных в горячем режиме, но требует проверки конфигурации агента.
Вторая проверка — тестовое восстановление. Выберите случайный бэкап двухнедельной давности. Поднимите тестовую виртуальную машину из этого архива. Убедитесь, что операционная система запускается, сервисы стартуют и данные читаются. Документируйте время восстановления — оно определяет RTO (Recovery Time Objective). Если восстановление занимает 8 часов, а бизнес может позволить себе простой только 2 часа, архитектура резервного копирования требует пересмотра.
Третья проверка — изоляция хранилища. Убедитесь, что сервер резервного копирования недостижим с рабочих станций. Проверьте командой с пользовательского ПК:
ping <IP сервера бэкапов>
Test-NetConnection -ComputerName <IP> -Port 445
Успешное соединение означает, что шифровальщик, запущенный сотрудником, имеет доступ к архивам. Правило минимума: порты резервного копирования открыты только с агентов на защищаемых серверах, причём в одну сторону — агент пушит данные на сервер, а не сервер тянет их к себе. Это предотвращает атаки, где злоумышленник компрометирует сервер бэкапов и через него получает доступ ко всей инфраструктуре.
Четвертая проверка — неизменяемость (immutability). Современные системы резервного копирования поддерживают политику запрета удаления архивов в течение заданного срока. Veritas NetBackup, Veeam Backup & Replication, Commvault — все предоставляют эту функцию. Включите защиту от удаления хотя бы на 14 дней. За этот срок инцидент должен быть обнаружен. Проверьте настройки в консоли управления: ищите параметры типа «Immutability», «WORM», «Retention Lock».
Пятая проверка — оффлайн-копия. Ни одна технология immutability не защищает от злоумышленника с правами администратора системы резервного копирования. Физически изолированная копия на съёмном носителе или в системе без сетевого подключения остается единственной гарантией. Ленточные накопители возвращаются в корпоративный сегмент именно поэтому: физическое отключение картриджа создает воздушный зазор, непреодолимый для сетевой атаки.
Как настроить мониторинг lateral movement в реальном времени
Горизонтальное перемещение злоумышленника внутри сети — самая сложная для обнаружения фаза атаки. Используются легитимные протоколы: SMB, WMI, PowerShell Remoting, RDP. Антивирус не реагирует на администратора, выполняющего команды на удаленных хостах. SIEM с правильно настроенными правилами замечает аномалии.
Включите расширенный аудит в групповых политиках. Минимальный набор для обнаружения lateral movement:
Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration:
- Account Logon → Audit Credential Validation: Success, Failure
- Logon/Logoff → Audit Logon: Success, Failure
- Logon/Logoff → Audit Special Logon: Success
- Object Access → Audit File Share: Success, Failure
- Detailed Tracking → Audit Process Creation: Success
- DS Access → Audit Directory Service Access: Failure
Ключевые события для корреляции в SIEM:
Event ID 4648 — явное использование учетных данных при сетевом подключении. Сотрудник, чья рабочая станция обращается к 20 серверам с Event ID 4648 за один час — аномалия, требующая проверки.
Event ID 4769 — запрос Kerberos-тикета для сервиса. Резкий рост числа таких запросов с одного хоста в ночное время — признак Kerberoasting: злоумышленник запрашивает тикеты сервисных аккаунтов для оффлайн-подбора паролей.
Event ID 7045 — установка нового сервиса. Легитимные сервисы устанавливаются редко и по расписанию. Установка в нерабочее время или с нестандартными именами — немедленный алерт.
Event ID 4776 в сочетании с NTLM-трафиком за пределы ожидаемых зон — признак попытки pass-the-hash.
Настройте базовое правило в SIEM: если одна учетная запись успешно аутентифицировалась более чем на 10 различных хостах за 30 минут — создать инцидент. Нормальный администратор работает с конкретными серверами, а не сканирует всё подряд.
Для анализа трафика без SIEM используйте Zeek (ранее Bro) — он парсит сетевые потоки и сохраняет структурированные логи. Анализ логов smb_files.log покажет, какие файлы были открыты с каких хостов. Аномальное чтение большого количества файлов с сервера — признак разведки или подготовки к утечке данных.
Практический чеклист оценки защищённости инфраструктуры
Следующий набор проверок дает объективную картину состояния защиты. Каждый пункт проверяется командой или анализом конфигурации, а не со слов администратора.
Сеть и сегментация
Проверьте количество VLAN на коммутаторах и убедитесь, что между ними есть явный контроль. Запустите трассировку маршрута от рабочей станции до сервера резервного копирования — количество хопов и промежуточные узлы покажут, существует ли фильтрация. Выполните сканирование с рабочей станции на диапазон серверного сегмента — доступных хостов не должно быть.
Active Directory
Запросите список членов группы Domain Admins. Более 5 учетных записей — избыточная привилегированность. Наличие сервисных аккаунтов в группе — критическая проблема. Проверьте, есть ли учетные записи с неограниченным сроком действия пароля: Search-ADAccount -PasswordNeverExpires. Каждая такая запись — потенциальная точка входа.
Управление паролями
Проверьте политику паролей: Get-ADDefaultDomainPasswordPolicy. Минимальная длина — не менее 12 символов. История паролей — не менее 10 предыдущих. Сложность включена. Блокировка при попытках подбора настроена — порог 5–10 неудачных попыток. Если блокировка отсутствует, брутфорс доменных аккаунтов ограничен только скоростью сети.
Обновления и патчи
Запросите дату последней установки обновлений безопасности на контроллере домена: Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5. Если последнее обновление старше 60 дней — инфраструктура содержит известные уязвимости с публичными эксплойтами. Системы, которые «нельзя обновлять», должны быть изолированы в отдельный сегмент с жесткими правилами фильтрации.
Конечные точки
Проверьте, на всех ли хостах работает агент защиты: это видно в консоли управления антивирусом. Узлы без агента создают мертвые зоны. Проверьте дату последнего обновления сигнатур — база устаревшая более чем на 7 дней означает, что последние угрозы не детектируются.
Резервное копирование
Откройте журнал за последние 30 дней и найдите хотя бы три успешно выполненных задания для каждого критического сервера. Проверьте, можно ли удалить архив вручную — нажмите кнопку удаления, не подтверждайте, убедитесь, что система либо запрещает действие, либо требует отдельной авторизации.
Логирование
Проверьте, куда отправляются логи с контроллера домена. Если только в локальный журнал — они будут уничтожены злоумышленником первыми. Централизованный syslog или SIEM обязателен. Убедитесь, что журнал безопасности на DC имеет достаточный размер: wevtutil gl Security | findstr maxSize. Значение по умолчанию 20 МБ переполняется за несколько часов на активном контроллере, затирая историю.
Как выстроить процесс реагирования до того как произошёл инцидент
Playbook — документ, описывающий конкретные действия при конкретном типе инцидента. Его ценность проявляется не во время спокойной работы, а в момент, когда SIEM выдает алерт в 3 часа ночи и необходимо принять решение за минуты.
Минимальный набор включает три playbook: реагирование на шифровальщика, реагирование на компрометацию доменного аккаунта и реагирование на обнаруженный бэкдор. Каждый документ содержит: признаки инцидента, немедленные действия (что сделать в первые 15 минут), контакты ответственных лиц с личными телефонами, команды для сбора доказательств и критерии эскалации.
Тренировки по реагированию проводятся раз в квартал. Формат — tabletop exercise: собираются ключевые сотрудники, ведущий описывает развивающийся сценарий, команда принимает решения вслух. Выявляются пробелы в понимании, противоречия в плане реагирования и зависимости, которые не были учтены. Это занимает два часа и стоит несоизмеримо меньше, чем реальный инцидент без подготовки.
Отдельно проверьте, хранятся ли playbook в системе, доступной без корпоративных учетных данных. Если злоумышленник скомпрометировал AD и заблокировал доступ к внутренним ресурсам, инструкции должны быть доступны с личного телефона или ноутбука. Печатная копия в сейфе — не анахронизм, а надёжный резервный вариант.
Проверьте, есть ли у команды инструменты для изоляции хоста из сети без физического доступа к нему. Большинство EDR-решений позволяют заблокировать сетевой интерфейс удаленно одной командой. Если такой возможности нет, включение хоста в VLAN с нулевым доступом через командную строку коммутатора должно быть отработано заранее — не во время инцидента.
#информационнаябезопасность #кибербезопасность #защитаданных #администрирование #сетеваябезопасность #инфобез #киберугрозы