Планирование при компрометации
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Закон номер один: Никто не считает, что с ними ничего плохого может случиться, пока это не делает. - 10 неизменяемых законов о безопасности Администратор istration
Планы аварийного восстановления во многих организациях сосредоточены на восстановлении после региональных аварий или сбоев, которые приводят к потере вычислительных служб. Однако при работе с скомпрометированных клиентов мы часто находим, что восстановление от преднамеренного компрометации отсутствует в своих планах аварийного восстановления. Это особенно верно, если компрометация приводит к краже интеллектуальной собственности или преднамеренному уничтожению, которое использует логические границы (например, уничтожение всех доменов Active Directory или всех серверов), а не физических границ (таких как уничтожение центра обработки данных). Хотя организация может иметь планы реагирования на инциденты, определяющие начальные действия, которые необходимо предпринять при обнаружении компрометации, эти планы часто опустили шаги по восстановлению после компрометации, которая влияет на всю инфраструктуру вычислений.
Так как Active Directory предоставляет широкие возможности управления удостоверениями и доступом для пользователей, серверов, рабочих станций и приложений, они неизменно нацелены на злоумышленников. Если злоумышленник получает привилегированный доступ к домену или контроллеру домена Active Directory, доступ к которому можно использовать для доступа, контроля или даже уничтожения всего леса Active Directory.
В этом документе рассматриваются некоторые из наиболее распространенных атак на Windows и Active Directory и контрмеры, которые можно реализовать, чтобы уменьшить область атаки, но единственный способ восстановиться в случае полного компрометации Active Directory — подготовиться к компромиссу, прежде чем это произойдет. В этом разделе рассматриваются менее технические сведения о реализации, чем в предыдущих разделах этого документа, а также рекомендации высокого уровня, которые можно использовать для создания комплексного комплексного подхода к обеспечению безопасности критически важных бизнес-ресурсов и ИТ-ресурсов организации и управления ими.
Независимо от того, была ли ваша инфраструктура никогда не атакована, сопротивлялась попыткам нарушений или поддалась атакам и была полностью скомпрометирована, вы должны спланировать неизбежное реальность, которую вы будете атаковать снова и снова. Невозможно предотвратить атаки, но это может быть возможно, чтобы предотвратить значительные нарушения или оптовый компромисс. Каждая организация должна внимательно оценивать существующие программы управления рисками и вносить необходимые корректировки, чтобы снизить общий уровень уязвимости, сделав сбалансированные инвестиции в предотвращение, обнаружение, сдерживание и восстановление.
Чтобы создать эффективную защиту, предоставляя услуги пользователям и предприятиям, которые зависят от инфраструктуры и приложений, вам может потребоваться рассмотреть новые способы предотвращения, обнаружения и хранения компрометации в вашей среде, а затем восстановления от компромисса. Подходы и рекомендации в этом документе могут не помочь вам восстановить скомпрометированную установку Active Directory, но помочь вам защитить следующую.
Рекомендации для восстановления леса Active Directory представлены в Восстановление леса AD — шаги по восстановлению леса. Возможно, вы сможете предотвратить полностью скомпрометированную новую среду, но даже если вы не можете, у вас будут средства для восстановления и восстановления контроля над вашей средой.
Переосмысление подхода
Номер 8. Сложность защиты сети прямо пропорциональна ее сложности. - 10 неизменяемых законов о безопасности Администратор istration
Это хорошо признается, что если злоумышленник получил SYSTEM, Администратор istrator, корневой или эквивалентный доступ к компьютеру независимо от операционной системы, этот компьютер больше не может считаться надежным, независимо от того, сколько усилий предпринимается для "очистки" системы. Active Directory не отличается. Если злоумышленник получил привилегированный доступ к контроллеру домена или учетной записи с высоким уровнем привилегий в Active Directory, если у вас нет записи о каждом изменении злоумышленника или известной хорошей резервной копии, вы никогда не сможете восстановить каталог в полностью надежном состоянии.
Если сервер-член или рабочая станция скомпрометированы и изменяются злоумышленником, компьютер больше не является надежным, но соседние некомпрометированные серверы и рабочие станции по-прежнему могут быть доверенными. Компрометация одного компьютера не означает, что все компьютеры скомпрометируются.
Однако в домене Active Directory все контроллеры домена реплика одной базы данных AD DS. Если один контроллер домена скомпрометирован и злоумышленник изменяет базу данных AD DS, эти изменения реплика te ко всем другим контроллерам домена в домене и в зависимости от секции, в которой вносятся изменения, лес. Даже если переустановить каждый контроллер домена в лесу, вы просто переустановите узлы, на которых находится база данных AD DS. Вредоносные изменения в Active Directory будут реплика te для недавно установленных контроллеров домена, так как они будут реплика te к контроллерам домена, которые работают в течение многих лет.
При оценке скомпрометированных сред мы обычно обнаружили, что то, что, как полагают, является первым нарушением "события", на самом деле было активировано через несколько недель, месяцев или даже лет после того, как злоумышленники первоначально скомпрометировали среду. Злоумышленники обычно получают учетные данные для учетных записей с высоким уровнем привилегий до обнаружения нарушения, и они используют эти учетные записи для компрометации каталога, контроллеров домена, серверов-членов, рабочих станций и даже подключенных систем, отличных от Windows.
Эти выводы соответствуют нескольким результатам в отчете о расследовании нарушений данных Verizon в 2012 году, который утверждает, что:
98 процентов нарушений данных, полученных из внешних агентов
85 процентов нарушений данных заняли несколько недель или больше, чтобы обнаружить
92 процента инцидентов были обнаружены третьей стороной, и
97 процентов нарушений были избегаемы, хотя простые или промежуточные элементы управления.
Компромисс, описанный ранее, является фактически непоправимым, и стандартные советы по "плоскую и перестроению" каждой скомпрометируемой системы просто нецелесообразно или даже возможно, если Active Directory скомпрометирован или уничтожен. Даже восстановление известного хорошего состояния не устраняет недостатки, которые позволили скомпрометировать среду в первую очередь.
Хотя вы должны защитить каждый аспект вашей инфраструктуры, злоумышленник должен найти достаточно недостатков в обороне, чтобы добраться до их желаемой цели. Если ваша среда является относительно простой и нетронутой, и исторически хорошо управляемой, то реализация рекомендаций, предоставленных ранее в этом документе, может быть простым предложением.
Однако мы обнаружили, что более старые, крупные и более сложные среды, тем более вероятно, что рекомендации в этом документе будут недоступными или даже невозможными для реализации. Гораздо сложнее защитить инфраструктуру после того, как она начинается свежим и создавать среду, которая устойчива к атаке и компрометации. Но, как уже отмечалось ранее, это не небольшое обязательство перестроить весь лес Active Directory. По этим причинам рекомендуется более ориентированный подход к защите лесов Active Directory.
Вместо того, чтобы сосредоточиться на и попытаться исправить все вещи, которые "нарушены", рассмотрите подход, в котором вы определяете приоритеты на основе того, что самое важное для вашего бизнеса и в вашей инфраструктуре. Вместо того чтобы попытаться исправить среду, заполненную устаревшими, неправильно настроенными системами и приложениями, рассмотрите возможность создания небольшой, безопасной среды, в которую можно безопасно перенести пользователей, систем и информацию, наиболее важную для вашего бизнеса.
В этом разделе описан подход, с помощью которого можно создать нетронутый лес AD DS, который служит в качестве "жизненной лодки" или "безопасной ячейки" для основной бизнес-инфраструктуры. Нетронутый лес — это просто установленный лес Active Directory, который обычно ограничен размером и область, и который создается с помощью текущих операционных систем, приложений и принципов, описанных в статье "Сокращение области атак Active Directory".
Реализуя рекомендуемые параметры конфигурации в недавно созданном лесу, можно создать установку AD DS, созданную на основе безопасных параметров и методик, и снизить проблемы, которые сопровождают поддержку устаревших систем и приложений. Хотя подробные инструкции по проектированию и реализации нетронутой установки AD DS находятся вне область этого документа, следует следовать некоторым общим принципам и рекомендациям, чтобы создать "безопасную ячейку", в которую можно разместить наиболее важные ресурсы. Эти рекомендации приведены следующим образом:
Определите принципы разделения и защиты критически важных активов.
Определите ограниченный план миграции на основе рисков.
При необходимости используйте немиграционные миграции.
Реализуйте "творческое разрушение".
Изоляция устаревших систем и приложений.
Упрощение безопасности для конечных пользователей.
Определение принципов разделения и защиты критически важных активов
Характеристики нетронутой среды, создаваемой для размещения критически важных активов, могут значительно отличаться. Например, можно создать нетронутый лес, в который переносятся только виртуальные IP-пользователи и конфиденциальные данные, к которым могут обращаться только те пользователи. Вы можете создать нетронутый лес, в котором выполняется миграция не только виртуальных IP-адресов, но и который реализуется в качестве административного леса, реализуя принципы, описанные в разделе "Уменьшение поверхности атаки Active Directory" для создания безопасных административных учетных записей и узлов, которые можно использовать для управления устаревшими лесами из нетронутого леса. Вы можете реализовать лес , созданный с целью хранения виртуальных IP-адресов, привилегированных учетных записей и систем, требующих дополнительной безопасности, таких как серверы, на которых запущены службы сертификатов Active Directory (AD CS) с единственной целью разделения их от менее безопасных лесов. Наконец, вы можете реализовать нетронутый лес, который становится де-факто расположением для всех новых пользователей, систем, приложений и данных, что позволяет в конечном итоге вывести устаревший лес с помощью аттестации.
Независимо от того, содержит ли нетронутый лес несколько пользователей и систем или формирует основу для более агрессивной миграции, следует следовать этим принципам в планировании:
Предположим, что устаревшие леса были скомпрометированы.
Не настраивайте нетронутую среду для доверия к устаревшему лесу, хотя вы можете настроить устаревшую среду для доверия нетронутому лесу.
Не переносите учетные записи пользователей или группы из устаревшего леса в нетронутой среде, если есть вероятность того, что членства в группах учетных записей, журнал безопасности или другие атрибуты могут быть вредоносным образом изменены. Вместо этого используйте подходы "nonmigratory" для заполнения нетронутого леса. (Немиграционные подходы описаны далее в этом разделе.)
Не переносите компьютеры из устаревших лесов в нетронутые леса. Реализуйте недавно установленные серверы в нетронутом лесу, установите приложения на недавно установленных серверах и перенесите данные приложения в только что установленные системы. Для файлового сервера скопируйте данные на недавно установленные серверы, задайте списки управления доступом с помощью пользователей и групп в новом лесу, а затем создайте серверы печати аналогичным образом.
Не разрешайте установку устаревших операционных систем или приложений в нетронутом лесу. Если приложение не может быть обновлено и недавно установлено, оставьте его в устаревшем лесу и рассмотрите возможность творческого уничтожения, чтобы заменить функциональные возможности приложения.
Определение ограниченного плана миграции на основе рисков
Создание ограниченного плана миграции на основе рисков означает, что при выборе пользователей, приложений и данных для миграции в нетронутый лес необходимо определить целевые показатели миграции на основе степени риска, к которому предоставляется ваша организация, если один из пользователей или систем скомпрометирован. Виртуальные IP-адреса, учетные записи которых, скорее всего, будут направлены злоумышленниками, должны размещаться в нетронутом лесу. Приложения, обеспечивающие жизненно важные бизнес-функции, должны быть установлены на недавно созданных серверах в нетронутом лесу, а конфиденциальные данные должны быть перемещены на защищенные серверы в нетронутом лесу.
Если у вас еще нет четкой картины наиболее важных для бизнеса пользователей, систем, приложений и данных в среде Active Directory, обратитесь к бизнес-подразделениям, чтобы определить их. Все приложения, необходимые для работы бизнеса, должны быть определены, как и все серверы, на которых хранятся критически важные приложения или критически важные данные. Определив пользователей и ресурсы, необходимые для продолжения работы вашей организации, вы создаете естественно приоритетный набор ресурсов, на которые необходимо сосредоточить усилия.
Использование миграций "Nonmigratory"
Знаете ли вы, что ваша среда скомпрометирована, подозреваете, что она скомпрометирована или просто не предпочитаете переносить устаревшие данные и объекты из устаревшей установки Active Directory в новую, рассмотрите подходы к миграции, которые технически не переносятся.
Учетные записи пользователей
В традиционном переносе Active Directory из одного леса в другой атрибут SIDHistory (журнал SID) для объектов пользователей используется для хранения идентификаторов безопасности пользователей и идентификаторов идентификаторов групп, которые пользователи были членами устаревшего леса. Если учетные записи пользователей переносятся в новый лес и получают доступ к ресурсам в устаревшем лесу, идентификаторы безопасности в журнале безопасности используются для создания маркера доступа, позволяющего пользователям получать доступ к ресурсам, к которым они имели доступ до переноса учетных записей.
Однако сохранение журнала безопасности безопасности оказалось проблематичным в некоторых средах, так как заполнение маркеров доступа пользователей текущими и историческими идентификаторами БЕЗОПАСНОСТИ может привести к blat маркера. Маркер больших двоичных объектов — это проблема, при которой количество идентификаторов SID, которые должны храниться в маркере доступа пользователя, использует или превышает объем свободного места, доступного в маркере.
Хотя размеры маркеров могут быть увеличены в ограниченной степени, конечным решением для больших двоичных объектов является сокращение числа идентификаторов БЕЗОПАСНОСТИ, связанных с учетными записями пользователей, будь то рационализация членства в группах, устранение журнала безопасности или сочетание обоих. Дополнительные сведения о blat токена см. в разделе MaxTokenSize и Токен Kerberos Bloat.
Вместо миграции пользователей из устаревшей среды (особенно в том, в котором могут быть скомпрометированы членства в группах и журналов безопасности) с помощью журнала sid, рассмотрите возможность использования приложений метакаталогов для переноса пользователей, не выполняя журналы безопасности в новом лесу. При создании учетных записей пользователей в новом лесу можно использовать метакаталогное приложение для сопоставления учетных записей с соответствующими учетными записями в устаревшем лесу.
Чтобы предоставить новым учетным записям пользователей доступ к ресурсам в устаревшем лесу, можно использовать средство метакаталога для идентификации групп ресурсов, в которые были предоставлены доступ устаревшие учетные записи пользователей, а затем добавить новые учетные записи пользователей в эти группы. В зависимости от стратегии группы в устаревшем лесу может потребоваться создать локальные группы домена для доступа к ресурсам или преобразовать существующие группы в локальные группы домена, чтобы разрешить добавление новых учетных записей в группы ресурсов. Сначала сосредоточившись на наиболее важных приложениях и данных и перенося их в новую среду (с журналом безопасности или без нее), можно ограничить объем усилий, потраченных в устаревшей среде.
Серверы и рабочие станции
В традиционной миграции из одного леса Active Directory в другой перенос компьютеров часто довольно просто по сравнению с переносом пользователей, групп и приложений. В зависимости от роли компьютера миграция в новый лес может быть столь же простой, как разъединение старого домена и присоединение нового. Однако перенос учетных записей компьютеров, нетронутых в нетронутый лес, побеждает цель создания свежей среды. Вместо миграции (потенциально скомпрометированных, неправильно настроенных или устаревших) учетных записей компьютеров в новый лес необходимо установить серверы и рабочие станции в новой среде. Данные из систем в устаревшем лесу можно перенести в системы в нетронутом лесу, но не из систем, на которые размещаются данные.
Приложения
Приложения могут представлять самую важную проблему при миграции из одного леса в другой, но в случае миграции с "немигральными" одним из самых основных принципов, которые следует применить, заключается в том, что приложения в нетронутом лесу должны быть текущими, поддерживаемыми и недавно установленными. Данные можно перенести из экземпляров приложений в старом лесу, где это возможно. В ситуациях, когда приложение не может быть "воссоздано" в нетронутом лесу, следует рассмотреть такие подходы, как творческое уничтожение или изоляция устаревших приложений, как описано в следующем разделе.
Реализация творческого уничтожения
Творческое разрушение — это термин экономики, описывающий экономическое развитие, созданное путем уничтожения предыдущего порядка. В последние годы термин применяется к информационной технологии. Обычно он относится к механизмам, с помощью которых старая инфраструктура устранена, а не путем его обновления, а путем замены на что-то совершенно новое. 2011 Gartner Symposium ITXPO для CIOS и старших ИТ-руководителей представили творческое уничтожение в качестве одной из ее ключевых тем для снижения затрат и повышения эффективности. Улучшение безопасности возможно как естественное увеличение процесса.
Например, организация может состоять из нескольких бизнес-подразделений, использующих другое приложение, которое выполняет аналогичную функциональность, с различной степенью современности и поддержки поставщиков. Исторически ИТ-отдел может отвечать за обслуживание приложения каждого подразделения отдельно, а усилия по консолидации будут состоять в попытке выяснить, какое приложение предложило лучшие функциональные возможности, а затем перенести данные в это приложение из других.
В творческом уничтожении, а не в обслуживании устаревших или избыточных приложений, вы реализуете совершенно новые приложения для замены старых, переносить данные в новые приложения, а также выводить старые приложения и системы, на которых они работают. В некоторых случаях можно реализовать творческое уничтожение устаревших приложений, развернув новое приложение в собственной инфраструктуре, но по возможности следует перенести приложение в облачное решение.
При развертывании облачных приложений для замены устаревших внутренних приложений вы не только сокращаете усилия и затраты на обслуживание, но и сокращаете область атак организации, устраняя устаревшие системы и приложения, которые представляют уязвимости для злоумышленников. Этот подход обеспечивает более быстрый способ получения требуемой функциональности организации, одновременно устраняя устаревшие целевые объекты в инфраструктуре. Хотя принцип творческого уничтожения не применяется ко всем ИТ-ресурсам, он предоставляет часто жизнеспособный вариант для устранения устаревших систем и приложений, одновременно развертывая надежные, безопасные облачные приложения.
Изоляция устаревших систем и приложений
Естественное увеличение миграции критически важных для бизнеса пользователей и систем в нетронутой, безопасной среде заключается в том, что устаревший лес будет содержать менее ценную информацию и системы. Хотя устаревшие системы и приложения, оставшиеся в менее безопасной среде, могут представлять повышенный риск компрометации, они также представляют собой снижение серьезности компрометации. Перенастроив и модернизируя критически важные бизнес-ресурсы, вы можете сосредоточиться на развертывании эффективного управления и мониторинга, не требуя размещения устаревших параметров и протоколов.
Удалив эти системы из доменов, где они принудительно реализули устаревшие параметры, вы можете впоследствии увеличить безопасность доменов, настроив их для поддержки только текущих операционных систем и приложений. Хотя по возможности рекомендуется вывести устаревшие системы и приложения из эксплуатации. Если списание просто невозможно для небольшого сегмента устаревшего населения, разделение его на отдельный домен (или лес) позволяет выполнять добавочные улучшения в остальной части устаревшей установки.
Упрощение безопасности для конечных пользователей
В большинстве организаций пользователи, имеющие доступ к наиболее конфиденциальной информации из-за характера их ролей в организации, часто имеют наименьшее количество времени для обучения сложным ограничениям доступа и элементам управления. Несмотря на то, что у вас должна быть комплексная программа обучения безопасности для всех пользователей в организации, следует также сосредоточиться на том, чтобы обеспечить безопасность как можно проще, реализуя элементы управления, которые являются прозрачными и упрощающими принципы, которыми соответствуют пользователи.
Например, можно определить политику, в которой руководители и другие IP-адреса должны использовать безопасные рабочие станции для доступа к конфиденциальным данным и системам, позволяя им использовать другие устройства для доступа к менее конфиденциальным данным. Это простой принцип для пользователей, которые следует помнить, но вы можете реализовать ряд внутренних элементов управления, которые помогут применить подход.
С помощью механизма проверки подлинности можно разрешить пользователям получать доступ к конфиденциальным данным только в том случае, если они вошли в свои безопасные системы с помощью смарт-карта и могут использовать ограничения прав пользователей и IPsec для управления системами, из которых они могут подключаться к репозиториям конфиденциальных данных. Вы можете реализовать динамические контроль доступа, чтобы ограничить доступ к данным на основе характеристик попытки доступа, превратив бизнес-правила в технические элементы управления.
С точки зрения пользователя, доступ к конфиденциальным данным из защищенной системы "просто работает" и пытается сделать это из незащищенной системы "просто не работает". Однако с точки зрения мониторинга и управления средой вы помогаете создавать идентифицируемые шаблоны в том, как пользователи получают доступ к конфиденциальным данным и системам, что упрощает обнаружение аномальных попыток доступа.
В средах, в которых устойчивость пользователей к длинным сложным паролям привела к нехватке политик паролей, особенно для виртуальных IP-адресов, рассмотрите альтернативные подходы к проверке подлинности. Альтернативные подходы включают интеллектуальные карта (которые входят в ряд форм-факторов и с дополнительными функциями для укрепления проверки подлинности), биография метрические элементы управления, такие как средства чтения с пальцем, или даже данные проверки подлинности, защищенные микросхемами доверенного платформенного модуля (TPM) на компьютерах пользователей. Многофакторная проверка подлинности не предотвращает атаки кражи учетных данных, если компьютер уже скомпрометирован. Тем не менее, предоставляя пользователям удобные средства управления проверкой подлинности, вы можете назначить более надежные пароли учетным записям пользователей, для которых традиционные элементы управления именами пользователей и паролями являются незамеченными.