Зоны, уязвимые для компрометации
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Номер закона Семь: самая безопасная сеть является хорошо администрируемой. - 10 неизменяемых законов о безопасности Администратор istration
В организациях, которые испытали катастрофические события компрометации, оценки обычно показывают, что организации имеют ограниченную видимость фактического состояния ит-инфраструктуры, которые могут значительно отличаться от их "как документированные" состояния. Эти дисперсии представляют уязвимости, которые предоставляют среду для компрометации, часто с небольшим риском обнаружения до тех пор, пока компрометация не будет достигнута до точки, в которой злоумышленники фактически "владеет" средой.
Подробные оценки конфигурации AD DS этих организаций, инфраструктуры открытых ключей (PKIs), серверов, рабочих станций, приложений, списков управления доступом (ACL) и других технологий показывают неправильные конфигурации и уязвимости, которые, если исправлены, могли бы предотвратить первоначальный компромисс.
Анализ ИТ-документации, процессов и процедур идентифицирует уязвимости, вызванные пробелами в административных практиках, которые использовались злоумышленниками для получения привилегий, которые в конечном итоге использовались для полного компрометации леса Active Directory. Полностью скомпрометированный лес — это тот, в котором злоумышленники компрометируют не только отдельные системы, приложения или учетные записи пользователей, но и получают доступ к уровню привилегий, в которых они могут изменять или уничтожать все аспекты леса. Если установка Active Directory была скомпрометирована до этой степени, злоумышленники могут вносить изменения, позволяющие им поддерживать присутствие в среде или хуже, чтобы уничтожить каталог и системы и учетные записи, которыми он управляет.
Хотя ряд часто эксплуатируемых уязвимостей в описаниях, которые следуют, не являются атаками на Active Directory, они позволяют злоумышленникам установить колонтитул в среде, которая может использоваться для выполнения атак повышения привилегий (также называемых повышением привилегий) и в конечном итоге для целевого и компрометации AD DS.
В этом разделе этого документа описывается механизмы, которые злоумышленники обычно используют для получения доступа к инфраструктуре и в конечном итоге для запуска атак повышения привилегий. См. также следующие разделы:
Сокращение подробных рекомендаций по защите конфигурации Active Directory для атак Active Directory.
Мониторинг Active Directory для признаков компрометации Рекомендации для обнаружения компрометации
Планирование компрометации высокоуровневых подходов, помогающих подготовиться к атакам на инфраструктуру с ит-специалистов и бизнес-перспектив
Примечание.
Хотя в этом документе основное внимание уделяется системам Active Directory и Windows, которые являются частью домена AD DS, злоумышленники редко сосредоточены исключительно на Active Directory и Windows. В средах с сочетанием операционных систем, каталогов, приложений и репозиториев данных обычно обнаруживается, что системы, отличные от Windows, также были скомпрометированы. Это особенно верно, если системы предоставляют "мост" между средами Windows и не Windows, такими как файловые серверы, к которым обращаются клиенты Windows и UNIX или Linux, каталоги, которые предоставляют службы проверки подлинности нескольким операционным системам или метакаталогам, которые синхронизируют данные в разных каталогах.
AD DS предназначено из-за централизованных возможностей управления доступом и конфигурацией, которые он предоставляет не только системам Windows, но и другим клиентам. Любой другой каталог или приложение, предоставляющее службы проверки подлинности и управления конфигурацией, может быть нацелен на определенных злоумышленников. Хотя этот документ ориентирован на защиту, которая может снизить вероятность компрометации установок Active Directory, каждая организация, включающая компьютеры, каталоги, приложения или репозитории данных, также должна подготовиться к атакам на эти системы.
Начальные целевые объекты брейка
Никто намеренно не создает ИТ-инфраструктуру, которая предоставляет организации компрометацию. При первом построении леса Active Directory обычно нетронутое и текущее. По мере получения и получения новых операционных систем и приложений они добавляются в лес. Поскольку преимущества управления, предоставляемые Active Directory, распознаются, в каталог добавляется больше и больше содержимого, больше людей интегрируют свои компьютеры или приложения с AD DS, а домены обновляются для поддержки новых функций, предлагаемых наиболее актуальными версиями операционной системы Windows. Однако с течением времени происходит то, что даже при добавлении новой инфраструктуры другие части инфраструктуры могут не поддерживаться, а также изначально они были, системы и приложения работают должным образом и поэтому не получают внимания, и организации начинают забывать, что они не устранили свою устаревшую инфраструктуру. На основе того, что мы видим в оценке скомпрометированных инфраструктур, старых, больших и более сложных сред, тем более вероятно, что существует множество экземпляров часто используемых уязвимостей.
Независимо от мотивации злоумышленника, большинство нарушений информационной безопасности начинаются с компрометации одной или двух систем за раз. Эти начальные события или точки входа в сеть часто используют уязвимости, которые могли быть исправлены, но не были. Отчет о расследовании нарушений данных в 2012 году (DBIR), который является ежегодным исследованием, проведенном группой риска Verizon в сотрудничестве с рядом учреждений национальной безопасности и других компаний, заявляет, что 96 процентов атак были "не очень трудными", и что "97 процентов нарушений были избегаемы с помощью простых или промежуточных элементов управления". Эти выводы могут быть прямым следствием распространенных уязвимостей, которые следуют.
Пробелы в развертываниях антивирусной программы и защиты от вредоносных программ
Номер закона Восемь: устаревший сканер вредоносных программ только незначительно лучше, чем сканер вообще. - Десять неизменяемых законов безопасности (версия 2.0)
Анализ развертываний антивирусной программы и антивредоносных программ организаций часто показывает среду, в которой большинство рабочих станций настроены с помощью антивирусного и антивредоносного программного обеспечения, включенного и текущего. Исключения обычно являются рабочими станциями, которые редко подключаются к корпоративной среде или устройствам сотрудников, для которых антивирусная программа и антивредоносная программа могут быть трудно развертывать, настраивать и обновлять.
Однако популяция серверов, как правило, менее последовательно защищается во многих скомпрометированных средах. Как сообщается в расследовании нарушений данных в 2012 году, 94 процента всех компрометации данных с участием серверов, что представляет собой 18-процентное увеличение за предыдущий год, и 69 процентов атак включали вредоносные программы. В группах серверов не редко обнаруживается, что установки антивирусной программы и защиты от вредоносных программ несогласованны, устарели, неправильно настроены или даже отключены. В некоторых случаях антивирусное и антивредоносное программное обеспечение отключается администратором, но в других случаях злоумышленники отключают программное обеспечение после компрометации сервера с помощью других уязвимостей. Если антивирусная программа и антивредоносная программа отключены, злоумышленники затем посадили вредоносные программы на сервере и сосредоточиться на распространении компрометации по всей совокупности серверов.
Важно не только обеспечить защиту систем с помощью текущей, комплексной защиты от вредоносных программ, но и для мониторинга систем для отключения или удаления антивирусного и антивредоносного программного обеспечения, а также автоматического перезапуска защиты при отключении вручную. Хотя антивирусное и антивредоносное программное обеспечение не может гарантировать предотвращение и обнаружение всех инфекций, правильно настроенная и развернутая антивирусная и антивредоносная реализация могут снизить вероятность инфекции.
Неполное исправление
Номер 3. Если вы не следите за исправлениями безопасности, ваша сеть не будет вашей долгой. - 10 неизменяемых законов о безопасности Администратор istration
Корпорация Майкрософт выпускает бюллетени по безопасности во второй вторник каждого месяца, хотя в редких случаях обновления системы безопасности выпускаются между ежемесячными обновлениями системы безопасности (они также называются обновлениями вне диапазона), когда уязвимость определяется как срочный риск для клиентских систем. Независимо от того, настраивает ли малый бизнес свои компьютеры Windows на использование Обновл. Windows для управления исправлениями системы и приложений или большая организация использует программное обеспечение управления, например Microsoft Endpoint Configuration Manager для развертывания исправлений в соответствии с подробными иерархическими планами, многие клиенты исправят инфраструктуру Windows относительно своевременно.
Однако в некоторых инфраструктурах есть только компьютеры Windows и приложения Майкрософт, а в скомпрометированных средах обычно обнаруживается, что стратегия управления исправлениями организации содержит пробелы. Системы Windows в этих средах несогласованно исправлены. Операционные системы, отличные от Windows, исправляются периодически, если вообще. Коммерческие приложения вне полки (COTS) содержат уязвимости, для которых существуют исправления, но не были применены. Сетевые устройства часто настраиваются с использованием учетных данных по умолчанию по умолчанию и не обновляются через несколько лет после установки. Приложения и операционные системы, которые больше не поддерживаются их поставщиками, часто выполняются, несмотря на то, что они больше не могут быть исправлены против уязвимостей. Каждая из этих непатшированных систем представляет собой другую потенциальную точку входа для злоумышленников.
Потребитель ИТ-отдела создал дополнительные проблемы, связанные с тем, что устройства, принадлежащие сотрудникам, используются для доступа к корпоративным данным, и организация может не контролировать исправление и настройку личных устройств сотрудников. Оборудование корпоративного класса обычно поставляется с параметрами конфигурации корпоративной готовности и возможностями управления за счет меньшего выбора в отдельных настройках и выборе устройств. Оборудование, ориентированное на сотрудников, предлагает более широкий спектр производителей, поставщиков, аппаратных функций безопасности, функций безопасности программного обеспечения, возможностей управления и параметров конфигурации, а многие корпоративные функции могут вообще не существовать.
Программное обеспечение для управления исправлениями и уязвимостями
Если эффективная система управления исправлениями используется для систем Windows и приложений Майкрософт, часть области атаки, которая была устранена. Однако если не системы, отличные от Windows, приложения, не microsoft, сетевая инфраструктура и устройства сотрудников, также сохраняются в актуальном состоянии на исправлениях и других исправлениях, инфраструктура остается уязвимой. В некоторых случаях поставщик приложения может предлагать возможности автоматического обновления; в других, может потребоваться разработать подход для регулярного получения и применения исправлений и других исправлений.
Устаревшие приложения и операционные системы
"Вы не можете ожидать, что шестилетняя операционная система защищает вас от шестимесячной атаки". — Специалист по информационной безопасности с 10 лет опытом защиты корпоративных установок
Хотя "получить текущий, оставаться текущим" может звучать как маркетинговая фраза, устаревшие операционные системы и приложения создают риск в ИТ-инфраструктуре многих организаций. Операционная система, выпущенная в 2003 году, может поддерживаться поставщиком и предоставлять обновления для устранения уязвимостей, но эта операционная система может не содержать функции безопасности, добавленные в более новых версиях операционной системы. Устаревшие системы могут даже требовать ослабления определенной конфигурации безопасности AD DS для поддержки меньших возможностей этих компьютеров.
Приложения, написанные для использования устаревших протоколов проверки подлинности поставщиками, которые больше не поддерживают приложение, обычно не могут быть перенастроны для поддержки более строгих механизмов проверки подлинности. Однако домен Active Directory организации по-прежнему может быть настроен для хранения хэшей LAN Manager или обратимо зашифрованных паролей для поддержки таких приложений. Приложения, написанные до внедрения новых операционных систем, могут не работать хорошо или вообще на текущих операционных системах, требуя от организаций поддерживать старые и старые системы, а в некоторых случаях полностью неподдерживаемые оборудование и программное обеспечение.
Даже в случаях, когда организации обновили свои контроллеры домена до Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008, обычно для поиска значительных частей заполнения сервера-члена для работы Под управлением Windows Server 2003, Windows 2000 Server или Windows NT Server 4.0 (которые полностью неподдерживаются). Чем дольше организация поддерживает системы старения, тем больше неравенства между наборами компонентов растет, и тем более вероятно, что производственные системы будут неподдерживаемые. Кроме того, чем дольше поддерживается лес Active Directory, тем больше мы наблюдаем, что устаревшие системы и приложения отсутствуют в планах обновления. Это может означать, что один компьютер под управлением одного приложения может привести к уязвимостям на уровне домена или леса, так как Active Directory настроен для поддержки устаревших протоколов и механизмов проверки подлинности.
Чтобы исключить устаревшие системы и приложения, сначала следует сосредоточиться на определении и каталогизации этих систем, а затем определить, следует ли обновить или заменить приложение или узел. Хотя не удается найти замену для высоко специализированных приложений, для которых нет ни поддержки, ни пути обновления, вы можете использовать концепцию "творческое уничтожение" для замены устаревшего приложения новым приложением, предоставляющим необходимые функциональные возможности. Планирование компрометации подробно описано в разделе "Планирование компрометации " далее в этом документе.
Неправильные настройки
Номер закона четыре: это не делает много хорошего, чтобы установить исправления безопасности на компьютере, который никогда не был защищен, чтобы начать с. - 10 неизменяемых законов о безопасности Администратор istration
Даже в средах, где системы обычно хранятся в текущих и исправленных исправлениях, мы обычно выявляем пробелы или неправильно настроены в операционной системе, приложения, работающие на компьютерах и Active Directory. Некоторые неправильные конфигурации предоставляют только локальный компьютер для компрометации, но после того, как компьютер "принадлежит", злоумышленники обычно сосредоточены на дальнейшем распространении компрометации по другим системам и в конечном итоге в Active Directory. Ниже приведены некоторые распространенные области, в которых мы определяем конфигурации, которые представляют риск.
В Active Directory
Учетные записи в Active Directory, наиболее часто предназначенные злоумышленниками, являются членами наиболее привилегированных групп, таких как члены доменных Администратор (DA), Корпоративные Администратор (EA) или встроенные группы Администратор istrators (BA) в Active Directory. Членство в этих группах должно быть сокращено до наименьшего количества учетных записей, чтобы область атаки этих групп была ограничена. Даже можно исключить "постоянное" членство в этих привилегированных группах; То есть можно реализовать параметры, которые позволяют временно заполнять эти группы только в том случае, если требуются права на уровне домена и леса. Если используются учетные записи с высоким уровнем привилегий, они должны использоваться только в назначенных системах, таких как контроллеры домена или безопасные административные узлы. Подробные сведения, которые помогут реализовать все эти конфигурации, приведены в разделе "Сокращение области атак Active Directory".
При оценке членства в группах с наивысшими привилегиями в Active Directory мы обычно находим чрезмерное членство во всех трех наиболее привилегированных группах. В некоторых случаях организации имеют десятки, даже сотни учетных записей в группах DA. В других случаях организации размещают учетные записи непосредственно в встроенных группах Администратор istrators, думая, что группа "менее привилегированна", чем группа DAs. Нет. Мы часто находим несколько постоянных членов группы EA в корневом домене леса, несмотря на то, что привилегии EA редко и временно требуются. Поиск ежедневной административной учетной записи ИТ-пользователя во всех трех группах также распространен, хотя это эффективная избыточность конфигурации. Как описано в разделе "Сокращение области атак Active Directory", независимо от того, является ли учетная запись постоянным членом одной из этих групп или всех из них, учетная запись может использоваться для компрометации и даже уничтожения среды AD DS и систем и учетных записей, управляемых им. Рекомендации для безопасной конфигурации и использования привилегированных учетных записей в Active Directory предоставляются в Уменьшение области атаки Active Directory.
На контроллерах домена
При оценке контроллеров домена мы часто находим их настроенными и управляемыми не иначе, чем серверы-члены. Контроллеры домена иногда выполняют те же приложения и служебные программы, установленные на серверах-членах, а не потому, что они необходимы на контроллерах домена, а потому что приложения являются частью стандартной сборки. Эти приложения могут предоставлять минимальные функциональные возможности на контроллерах домена, но значительно добавить к своей области атак, требуя настройки, которые открывают порты, создают учетные записи служб с высоким уровнем привилегий или предоставляют доступ к системе пользователями, которые не должны подключаться к контроллеру домена для каких-либо целей, кроме проверки подлинности и приложения групповой политики. В некоторых нарушениях злоумышленники использовали средства, которые уже установлены на контроллерах домена, чтобы получить доступ к контроллерам домена, а также изменить или повредить базу данных AD DS.
При извлечении параметров конфигурации интернет-Обозреватель на контроллерах домена мы обнаружили, что пользователи вошли в систему с учетными записями с высоким уровнем привилегий в Active Directory и использовали учетные записи для доступа к Интернету и интрасети с контроллеров домена. В некоторых случаях учетные записи настроили параметры Интернет-Обозреватель на контроллерах домена, чтобы разрешить скачивание содержимого Из Интернета, а служебные программы бесплатного программного обеспечения скачаны с веб-сайтов и установлены на контроллерах домена. Конфигурация расширенной безопасности в Интернете Обозреватель включена для пользователей и Администратор istratorов по умолчанию, но мы часто наблюдаем, что она отключена для Администратор istratorов. Когда учетная запись с высоким уровнем привилегий обращается к Интернету и загружает содержимое на любой компьютер, этот компьютер подвержен серьезному риску. Если компьютер является контроллером домена, все установки AD DS подвергаются риску.
Защита контроллеров домена
Контроллеры домена должны рассматриваться как критически важные компоненты инфраструктуры, защищены более строго и настроены более жестко, чем файлы, печать и серверы приложений. Контроллеры домена не должны запускать программное обеспечение, которое не требуется для работы контроллера домена или не защищает контроллер домена от атак. Контроллеры домена не должны быть разрешены для доступа к Интернету, а параметры безопасности должны быть настроены и применены объектами групповой политики (ГОП). Подробные рекомендации по безопасной установке, настройке и управлению контроллерами домена предоставляются в разделе "Защита контроллеров домена от атаки".
В операционной системе
Номер 2. Если плохой парень может изменить операционную систему на компьютере, это больше не ваш компьютер. - Десять неизменяемых законов безопасности (версия 2.0)
Хотя некоторые организации создают базовые конфигурации для серверов разных типов и разрешают ограниченную настройку операционной системы после его установки, анализ скомпрометированных сред часто обнаруживает большое количество серверов, развернутых в нерегламентированном режиме, и настраивается вручную и независимо. Конфигурации между двумя серверами, выполняющими одну и ту же функцию, могут быть совершенно разными, где ни один сервер не настроен безопасно. И наоборот, базовые показатели конфигурации сервера могут быть последовательно применены, но и последовательно неправильно настроены; То есть серверы настраиваются таким образом, чтобы создать одинаковую уязвимость на всех серверах заданного типа. Неправильно настроение включает такие методики, как отключение функций безопасности, предоставление чрезмерных прав и разрешений учетным записям (особенно учетным записям служб), использование идентичных локальных учетных данных в системах и разрешение на установку несанкционированных приложений и служебных программ, которые создают уязвимости своих собственных.
Отключение функций безопасности
Иногда организации отключают брандмауэр Windows с расширенной безопасностью (WFAS) из-за того, что WFAS сложно настроить или требует рабочей конфигурации. Однако начиная с Windows Server 2008, если на сервере установлена любая роль или компонент, она настроена по умолчанию с минимальными привилегиями, необходимыми для работы роли или функции, и брандмауэр Windows автоматически настроен для поддержки роли или функции. Отключив WFAS (и не используя другой брандмауэр на основе узла), организации увеличивают область атаки всей среды Windows. Брандмауэры периметра обеспечивают некоторую защиту от атак, которые напрямую нацелены на среду из Интернета, но они не обеспечивают защиту от атак, которые используют другие векторы атак, такие как атаки загрузки на диске или атаки, исходящие из других скомпрометированных систем в интрасети.
Параметры контроля учетных записей пользователей (UAC) иногда отключаются на серверах, так как административный персонал находит навязчивые запросы. Хотя служба поддержки Майкрософт статья 2526083 описывает сценарии, в которых UAC может быть отключен в Windows Server, если только вы не выполняете установку ядра сервера (где UAC отключен по проектированию), вы не должны отключить UAC на серверах без тщательного рассмотрения и исследований.
В других случаях параметры сервера настроены для менее безопасных значений, так как организации применяют устаревшие параметры конфигурации сервера к новым операционным системам, например применение базовых показателей Windows Server 2003 к компьютерам под управлением Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008, не изменяя базовые показатели для отражения изменений в операционной системе. Вместо переноса старых базовых показателей сервера в новые операционные системы при развертывании новой операционной системы просмотрите изменения безопасности и параметры конфигурации, чтобы обеспечить применимость параметров для новой операционной системы.
Предоставление чрезмерных привилегий
Почти во всех средах, которые мы оценили, чрезмерные привилегии предоставляются локальным и доменным учетным записям в системах Windows. Пользователи получают права локального Администратор istrator на своих рабочих станциях, серверы-члены выполняют службы, настроенные с правами на работу, а локальные группы Администратор istrator по всему серверу содержат десятки или даже сотни локальных и доменных учетных записей. Компрометация только одной привилегированной учетной записи на компьютере позволяет злоумышленникам скомпрометировать учетные записи каждого пользователя и службы, которая входит в систему на компьютере, а также собирать и использовать учетные данные для распространения компрометации в другие системы.
Несмотря на то, что атака на кражу учетных данных и другие атаки на хэш-коды являются распространенными сегодня, это связано с тем, что доступно свободное средство, которое упрощает и упрощает извлечение учетных данных других привилегированных учетных записей, когда злоумышленник получил доступ к компьютеру Администратор istrator или SYSTEM-level. Даже без инструментов, позволяющих собирать учетные данные из сеансов входа, злоумышленник с привилегированным доступом к компьютеру может так же легко установить средства ведения журнала нажатия клавиш, которые записывают нажатия клавиш, снимки экрана и содержимое буфера обмена. Злоумышленник с привилегированным доступом к компьютеру может отключить программное обеспечение защиты от вредоносных программ, установить rootkits, изменить защищенные файлы или установить вредоносные программы на компьютере, который автоматизирует атаки или превращает сервер в узел загрузки на диске.
Тактика, используемая для расширения нарушения за пределами одного компьютера, зависит, но ключ к распространению компрометации является приобретение высоко привилегированного доступа к дополнительным системам. Уменьшая количество учетных записей с привилегированным доступом к любой системе, вы сокращаете область атаки не только этого компьютера, но и вероятность того, что злоумышленник собирает ценные учетные данные с компьютера.
Стандартизация учетных данных локального Администратор istrator
Между специалистами по безопасности уже давно обсуждается вопрос о том, имеется ли значение переименование локальных учетных записей Администратор istrator на компьютерах Windows. Что на самом деле важно для локальных учетных записей Администратор istrator, заключается в том, настроены ли они с одинаковым именем пользователя и паролем на нескольких компьютерах.
Если локальная учетная запись Администратор istrator называется одинаковым значением между серверами, а пароль, назначенный учетной записи, также настроен на то же значение, злоумышленники могут извлечь учетные данные учетной записи на одном компьютере, на котором был получен доступ Администратор istrator или SYSTEM-level. Злоумышленнику не нужно изначально компрометировать учетную запись Администратор istrator. Для этого требуется только компрометация учетной записи пользователя, являющегося членом локальной группы Администратор istrator, или учетной записи службы, настроенной для запуска как LocalSystem или с привилегиями Администратор istrator. Затем злоумышленник может извлечь учетные данные для учетной записи Администратор istrator и воспроизвести эти учетные данные в сетевых входах на другие компьютеры в сети.
Если у другого компьютера есть локальная учетная запись с тем же именем пользователя и паролем (или хэш паролем), что и предоставленные учетные данные учетной записи, попытка входа выполнена успешно, а злоумышленник получает привилегированный доступ к целевому компьютеру. В текущих версиях Windows встроенная учетная запись Администратор istrator отключена по умолчанию, но в устаревших операционных системах учетная запись включена по умолчанию.
Примечание.
Некоторые организации намеренно настроили локальные учетные записи Администратор istrator, чтобы включить их в том случае, если все остальные привилегированные учетные записи заблокированы из системы. Однако даже если локальная учетная запись Администратор istrator отключена и нет других доступных учетных записей, которые могут включить учетную запись или войти в систему с правами Администратор istrator, система может быть загружена в безопасный режим, а встроенная учетная запись Администратор istrator может быть повторно включена, как описано в описании.служба поддержки Майкрософт статья 814777. Кроме того, если система по-прежнему успешно применяет объекты групповой политики, объект групповой политики можно изменить на (временно) включить учетную запись Администратор istrator или ограниченные группы, чтобы добавить учетную запись на основе домена в локальную группу Администратор istrator. Восстановление можно выполнить, а учетная запись Администратор istrator может быть отключена. Чтобы эффективно предотвратить боковой компромисс, использующий встроенные учетные данные учетной записи Администратор istrator, для локальных учетных записей Администратор istrator необходимо настроить уникальные имена пользователей и пароли. Сведения о развертывании уникальных паролей для локальных учетных записей Администратор istrator через объект групповой политики см. в статье Решение для управления паролем встроенной учетной записи Администратор istrator через GPO в technet.
Разрешение на установку неавторизованных приложений
Law Number One: Если плохой парень может убедить вас запустить свою программу на своем компьютере, это не только ваш компьютер больше. - Десять неизменяемых законов безопасности (версия 2.0)
Независимо от того, развертывает ли организация согласованные базовые параметры на серверах, установка приложений, которые не являются частью определенной роли сервера, не должна быть разрешена. Позволяя устанавливать программное обеспечение, которое не является частью назначенной функциональности сервера, серверы подвергаются непреднамеренной или вредоносной установке программного обеспечения, увеличивающего область атаки сервера, внося уязвимости приложений или вызывает нестабильность системы.
Приложения
Как описано ранее, приложения часто устанавливаются и настраиваются для использования учетных записей, которым предоставляется больше привилегий, чем требуется приложению. В некоторых случаях документация приложения указывает, что учетные записи служб должны быть членами локальной группы Администратор istratorов сервера или должны быть настроены для запуска в контексте LocalSystem. Это часто не потому, что приложению требуются эти права, а поскольку определение прав и разрешений, необходимых учетным записям службы приложения, требуется дополнительное время и усилия. Если приложение не устанавливается с минимальными привилегиями, необходимыми для работы приложения и его настроенными функциями, система подвергается атакам, которые используют привилегии приложения без каких-либо атак на саму операционную систему.
Отсутствие методов разработки безопасных приложений
Инфраструктура существует для поддержки рабочих нагрузок бизнеса. При реализации этих рабочих нагрузок в пользовательских приложениях важно обеспечить разработку приложений с помощью безопасных рекомендаций. Анализ первопричин инцидентов на уровне предприятия часто показывает, что первоначальный компромисс влияет на пользовательские приложения, особенно те, с которыми сталкивается Интернет. Большинство этих компрометации выполняются путем компрометации известных атак, таких как внедрение SQL (SQLi) и межсайтовые атаки (XSS).
Внедрение SQL — это уязвимость приложения, которая позволяет определяемым пользователем входным данным изменять инструкцию SQL, передаваемую в базу данных для выполнения. Эти входные данные можно предоставить с помощью поля в приложении, параметра (например, строки запроса или файла cookie) или других методов. Результатом этого внедрения является то, что инструкция SQL, предоставляемая базе данных, принципиально отличается от того, что разработчик намеревался. Например, распространенный запрос, используемый при оценке сочетания имени пользователя и пароля:
SELECT userID FROM users WHERE username = 'sUserName' AND password = 'sPassword'
При получении сервером базы данных сервер указывает серверу просматривать таблицу пользователей и возвращать любую запись userID, в которой имя пользователя и пароль соответствуют указанным пользователем (предположительно через форму входа определенного типа). Естественно, намерение разработчика в этом случае — вернуть только допустимую запись, если правильное имя пользователя и пароль могут быть предоставлены пользователем. Если одно из этих ошибок неверно, сервер базы данных не сможет найти соответствующую запись и вернуть пустой результат.
Проблема возникает, когда злоумышленник делает что-то неожиданное, например предоставление собственного SQL вместо допустимых данных. Так как SQL интерпретируется на лету сервером базы данных, внедренный код будет обрабатываться так, как если бы разработчик положил его в себя. Например, если злоумышленник ввел администратора для идентификатора пользователя и xyz OR 1=1 в качестве пароля, результирующий оператор, обработанный базой данных, будет:
SELECT userID FROM users WHERE username = 'administrator' AND password = 'xyz' OR 1=1
При обработке этого запроса сервером базы данных все строки в таблице будут возвращены в запросе, так как значение 1=1 всегда будет оцениваться как True, поэтому не имеет значения, если правильное имя пользователя и пароль известны или указаны. Чистый результат в большинстве случаев заключается в том, что пользователь будет вошел в систему в качестве первого пользователя в базе данных пользователя; В большинстве случаев это будет административный пользователь.
Помимо простого входа в систему, неправильные инструкции SQL, такие как это можно использовать для добавления, удаления или изменения данных или даже удаления (удаления) всей таблицы из базы данных. В большинстве случаев, когда SQLi сочетается с чрезмерными привилегиями, команды операционной системы можно запускать, чтобы создать новых пользователей, скачать средства атаки или принять любые другие действия злоумышленников.
В межстраничном скрипте уязвимость представлена в выходных данных приложения. Атака начинается с злоумышленника, предоставляющего неправильные данные приложению, но в этом случае неправильные данные в виде кода скрипта (например, JavaScript), который будет выполняться браузером жертвы. Эксплойт уязвимости XSS может позволить злоумышленнику запускать любые функции целевого приложения в контексте пользователя, который запустил браузер. Атаки XSS обычно инициируются фишинговым письмом, поощряя пользователя выбрать ссылку, которая подключается к приложению и запускает код атаки.
XSS часто используется в сценариях онлайн-банковского обслуживания и электронной коммерции, где злоумышленник может совершать покупки или передавать деньги в контексте эксплойтированного пользователя. В случае целевой атаки на пользовательское веб-приложение управления удостоверениями злоумышленник может позволить злоумышленнику создавать собственные удостоверения, изменять разрешения и права, а также привести к системным компромиссам.
Хотя полное обсуждение межсайтовых сценариев и внедрения SQL выходит за рамки область этого документа, открытый проект безопасности веб-приложений (OWASP) публикует список лучших 10 с подробным обсуждением уязвимостей и контрмер.
Независимо от инвестиций в безопасность инфраструктуры, если плохо разработанные и письменные приложения развертываются в этой инфраструктуре, среда становится уязвимой для атак. Даже хорошо защищенные инфраструктуры часто не могут обеспечить эффективные контрмеры для этих атак приложений. Для решения проблемы может потребоваться, чтобы учетные записи служб предоставляли чрезмерные разрешения для работы приложения.
Жизненный цикл разработки безопасности Майкрософт (SDL) — это набор элементов управления структурными процессами, которые работают над улучшением безопасности, начиная с сбора требований и расширения жизненного цикла приложения до тех пор, пока он не будет выведен из эксплуатации. Эта интеграция эффективных средств управления безопасностью не только важна с точки зрения безопасности, но и крайне важна, чтобы безопасность приложений была затратами и расписанием. Оценка приложения для проблем с безопасностью, когда он эффективно завершает код, требует от организаций принимать решения о безопасности приложений только до или даже после развертывания приложения. Организация может решить проблемы приложения, прежде чем развертывать приложение в рабочей среде, нести затраты и задержки, или приложение можно развернуть в рабочей среде с известными недостатками безопасности, предоставляя организации компромисс.
Некоторые организации размещают полную стоимость устранения проблемы безопасности в рабочем коде выше $ 10 000 за проблему, и приложения, разработанные без эффективного SDL, могут в среднем более десяти проблем с высоким уровнем серьезности за 100 000 строк кода. В крупных приложениях затраты быстро возрастают. Напротив, многие компании устанавливают тест менее одной проблемы на 100 000 строк кода на последнем этапе проверки кода SDL и стремятся к нулю проблем в приложениях с высоким риском в рабочей среде.
Реализация SDL повышает безопасность, включив требования безопасности в начале сбора и проектирования приложения, обеспечивает моделирование угроз для приложений с высоким уровнем риска; требует эффективного обучения и мониторинга разработчиков; и требует четких, согласованных стандартов и практик кода. Чистый эффект SDL является значительным улучшением безопасности приложений при снижении затрат на разработку, развертывание, обслуживание и списание приложения. Хотя подробное обсуждение проектирования и реализации SDL выходит за рамки область этого документа, ознакомьтесь со жизненным циклом разработки безопасности Майкрософт для получения подробных рекомендаций и сведений.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по