Из моего опыта пентестов и общения с пентестерами: если атакующий проник во внутреннюю сеть, закрепился и получил локальные административные права, путь до полной компрометации Active Directory часто оказывается неожиданно коротким.
Причём ему необязательно узнать пароль администратора предприятия. Хеша пароля, Kerberos-билета, прав репликации или другой привилегированной учётной записи может быть вполне достаточно.
И вот здесь начинается главный вопрос: что произойдёт после компрометации домена?
Если все серверы находятся в одном домене, администраторы используют одни и те же учётные записи, а сервер резервного копирования доступен из общей сети, то компрометация AD быстро превращается в компрометацию всей организации.
Поэтому я бы придерживался нескольких простых принципов.
Серверы резервного копирования не должны входить в производственный домен. Для них нужны отдельные учётные записи, изолированный сетевой сегмент и минимально необходимая связность. Обязательно должны оставаться офлайн- или неизменяемые копии, до которых нельзя добраться из рабочей инфраструктуры. И копии нужно не только создавать, но и регулярно проверять восстановление.
Права на производственные системы — информационные системы, ИСПДн, АСУ и другие критичные контуры — должны делегироваться отдельно. Администратору приложения нужны права на приложение, администратору базы данных — на базу, администратору домена — на Active Directory. Универсальная учётная запись с доступом ко всему удобна до первого серьёзного инцидента.
Вход под Domain Admin или Enterprise Admin на обычные серверы и рабочие станции должен быть запрещён. Для повседневного администрирования нужны отдельные учётные записи и отдельные административные рабочие места.
И наконец, если серверу для работы не требуется домен, не стоит включать его туда просто для удобства. Каждый новый член домена увеличивает поверхность атаки и связывает судьбу сервера с безопасностью Active Directory.
Сам по себе взлом домена — уже серьёзный инцидент. Но архитектура должна быть построена так, чтобы он не становился автоматическим приговором резервным копиям, производственным системам и всей инфраструктуре организации.

Добавить комментарий