Компрометация домена не должна означать компрометацию всей организации

Из моего опыта пентестов и общения с пентестерами: если атакующий проник во внутреннюю сеть, закрепился и получил локальные административные права, путь до полной компрометации Active Directory часто оказывается неожиданно коротким.

Причём ему необязательно узнать пароль администратора предприятия. Хеша пароля, Kerberos-билета, прав репликации или другой привилегированной учётной записи может быть вполне достаточно.

И вот здесь начинается главный вопрос: что произойдёт после компрометации домена?

Если все серверы находятся в одном домене, администраторы используют одни и те же учётные записи, а сервер резервного копирования доступен из общей сети, то компрометация AD быстро превращается в компрометацию всей организации.

Поэтому я бы придерживался нескольких простых принципов.

Серверы резервного копирования не должны входить в производственный домен. Для них нужны отдельные учётные записи, изолированный сетевой сегмент и минимально необходимая связность. Обязательно должны оставаться офлайн- или неизменяемые копии, до которых нельзя добраться из рабочей инфраструктуры. И копии нужно не только создавать, но и регулярно проверять восстановление.

Права на производственные системы — информационные системы, ИСПДн, АСУ и другие критичные контуры — должны делегироваться отдельно. Администратору приложения нужны права на приложение, администратору базы данных — на базу, администратору домена — на Active Directory. Универсальная учётная запись с доступом ко всему удобна до первого серьёзного инцидента.

Вход под Domain Admin или Enterprise Admin на обычные серверы и рабочие станции должен быть запрещён. Для повседневного администрирования нужны отдельные учётные записи и отдельные административные рабочие места.

И наконец, если серверу для работы не требуется домен, не стоит включать его туда просто для удобства. Каждый новый член домена увеличивает поверхность атаки и связывает судьбу сервера с безопасностью Active Directory.

Сам по себе взлом домена — уже серьёзный инцидент. Но архитектура должна быть построена так, чтобы он не становился автоматическим приговором резервным копиям, производственным системам и всей инфраструктуре организации.

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.