ИНСТРУКЦИЯ ПО СОЗДАНИЮ ЗАЩИЩЁННОГО АДМИНИСТРАТИВНОГО КОНТУРА

от
Перед началом убедиться, что функциональный уровень домена не ниже Windows Server 2012 R2. На более старых уровнях группа Protected Users существует, но не работает.

Компрометация учётной записи администратора домена означает полный захват инфраструктуры: злоумышленник получает доступ ко всем серверам, данным и системам без ограничений. Цель инструкции — изолировать рабочие станции администраторов и выстроить модель учётных записей, которая не позволяет привилегиям утечь через кеш или боковое перемещение.

1. Настройка сетевых подключений

1.1. Подготовка рабочих станций

  • Маршрутизатор: определить маршрутизатор, управляющий сегментом рабочих станций администраторов. Все изменения ACL применяются на нём.
  • Ревизия учётных записей: провести ревизию всех учётных записей на рабочих станциях — локальных и доменных. Оставить только те, что закреплены за конкретным сотрудником. Все остальные отключить.
  • Локальный администратор: сменить пароль встроенной учётной записи Administrator или создать новую локальную учётную запись с известным паролем и отключить встроенную.

1.2. Выделенная подсеть

  • Размер подсети: создать подсеть с маской по количеству администраторов, без лишнего запаса адресов.
  • Статические адреса: назначить каждой рабочей станции статический IP внутри подсети. Динамическая выдача в этом сегменте не используется.

1.3. ACL на маршрутизаторе

Принцип: запретить весь входящий трафик в подсеть, затем добавлять только необходимые исключения. Каждое разрешение задаётся точно: IP-адрес или FQDN источника + порт назначения.

  • Правило по умолчанию: запретить весь входящий трафик в подсеть администраторов.
  • Обновления Windows: разрешить входящий трафик от WSUS-сервера организации. Если WSUS нет — организовать доставку обновлений через прокси. Прямой доступ рабочих станций в интернет не открывать.
  • Агент антивируса: разрешить входящий трафик от сервера управления антивирусом на порт, который использует агент. Уточнить в документации используемого решения.
  • Прочие сервисы: любые дополнительные разрешения — только при явном обосновании. Широкие диапазоны адресов не использовать.

1.4. Брандмауэр Windows

Поверх ACL переключить сетевое подключение на рабочих станциях в профиль «Общедоступная сеть». В этом профиле Windows блокирует большинство входящих подключений по умолчанию. Это второй эшелон защиты на случай, если правило на маршрутизаторе будет обойдено или изменено.

2. Настройка учётных записей

Учётные данные кешируются при авторизации на рабочих станциях и серверах. Если администратор домена заходит с привилегированной учётной записью на обычный хост — его credentials остаются в памяти этого хоста. Решение: разделить роли на две учётные записи и не смешивать их использование.

2.1. Ревизия существующих DA-учётных записей

  • Получить список всех членов группы «Domain Admins».
  • Заблокировать все учётные записи без закреплённого сотрудника. Учётная запись без владельца — потенциальная точка входа, о которой никто не узнает сразу. Блокировка предпочтительнее удаления: сохраняется история аудита.

2.2. Менеджер паролей

Установить и использовать персональный менеджер паролей. Требования к нему:

  • хранит учётные данные с подстановкой в браузеры — пароль не вводится вручную и не копируется через буфер обмена;
    • закрывается или блокируется при бездействии;
    • не позволяет сделать скриншот активного окна.

2.3. Новая административная учётная запись (DA)

  • Имя: создать в формате обычного пользователя, без суффиксов adm_, svc_, _admin. Желательно с вымышленной фамилией. Цель — не выделяться в списке учётных записей при беглом просмотре.
  • Пароль: не менее 20 символов, сгенерированный в менеджере паролей.
  • Protected Users: добавить учётную запись в группу Protected Users. Группа запрещает кеширование credentials в памяти lsass, использование NTLM и делегирование Kerberos. Даже при компрометации памяти сервера данные этой учётной записи там не окажутся.
  • Domain Admins: добавить в группу только после выполнения всех предыдущих пунктов этого раздела.

2.4. Старая DA-учётная запись

Старую учётную запись отключить. Не понижать до Domain Users, не переименовывать — отключить.

Старая учётная запись уже закешированна на серверах и рабочих станциях инфраструктуры. Смена группы членства не очищает эти кеши — они остаются в реестре хостов. Единственное безопасное действие — отключение.

2.5. Новая рабочая учётная запись (без привилегий)

  • Создать отдельную учётную запись в группе «Пользователи домена».
  • Добавить в группы удалённого доступа, необходимые для работы.
  • Использовать для: почты, браузера, RDP к рабочим станциям пользователей, работы в бизнес-приложениях.
  • DA-учётную запись для этих задач не использовать.

3. Терминальный сервер

Подготовить терминальный сервер для удалённых подключений из внешней сети и подключения к хостам компании. Требования к настройке — в отдельной инструкции.

Загрузка…

Оставьте комментарий