Сложно ли взломать вашу инфраструктуру? Во время аудита у меня на это уходит от 15 минут до 8 часов.

И это не потому, что у клиентов нет SOC, NGFW, WAF, MFA и других атрибутов безопасности — тот же SOC весьма успешно рапортует о взломе… когда всё уже сделано.

И не потому, что я супер-хакер — используются стандартные инструменты и инструкции, доступные любому «скрипт-кидди».

Чаще всего причина в том, что не настроена БАЗА — та самая рутина, про которую не принято и не модно вещать со сцены. И через которую всех обычно и ломают.

Ниже — список требований для оценки уровня вашей защиты:

• Если у вас реализовано меньше половины из списка — скорее всего, мне хватит часа с момента подключения к сети, чтобы захватить ваш домен;

• Если выполнено больше половины — мне придётся повозиться, но шансы всё ещё есть;

• Если сделано практически всё ��з списка ниже — инфраструктура защищена… по крайней мере от меня.

Поехали!

Пароли

• Длина: для пользователей — не меньше 10 символов; для администраторов — от 15 символов; для сервисных учётных записей — от 20 символов

• Пароли пользователей меняются не реже одного раза в полгода

• PNE (Password Never Expires) отключён у всех пользователей, вообще у всех

• Учётная запись блокируется после нескольких неудачных попыток ввода пароля

• Настроены оповещения о блокировке учетной записи 

Учётные записи

• У пользователей нет прав локальных администраторов на компьютерах

• Системные администраторы работают на компьютерах под обычными учётными записями 

• Привилегированные учётные записи на МФУ отсутствуют

• Права администраторов подрядчикам выдаются только на время настройки и в ситуациях, когда они действительно необходимы

• Учётные записи администраторов разделены на три уровня (AD Tiering) — рабочие станции/RDS серверы (T2), серверы приложений (T1), домен (T0)

• Администраторы домена (T0) могут входить только на контроллеры домена, не могут — на серверы и рабочие станции и не имеют там привилегий 

• Администраторы серверов приложений (T1) не могут входить контроллеры домена, на рабочие станции и не имеют там привилегий

• Администраторы рабочих станций (T2) не могут входить на контроллеры домена, серверы приложений и не имеют там привилегий

Защита аутентификационных данных

• Учётные записи администраторов находятся в группе Protected Users

• LAPS развернут на компьютерах и серверах

• Доступ для локальных учётных записей с административными правами по сети запрещён везде (и в домене, и на недоменных устройствах)

• Никаких SPN на учётных записях администраторов

• На серверах T0 и T1 не включен SSO

• Сервисные учётные записи — gMSA|MSA

• Вспомогательным учётным записям запрещён интерактивный вход и RDP

• На компьютерах включён Bitlocker 

• Пароли на интерфейсах МФУ — не дефолтные

• МФУ находятся в изолированном от пользователей VLAN

• CachedCredentials: серверы = 0, компьютеры и ноутбуки = 1 

• RunAsPPL включён везде

• Антивирус защищает оперативную память от дампа LSASS на серверах и компьютерах 

• Общие пароли хранятся только в менеджере паролей

• Никаких скриптов с паролями внутри

Протоколы аутентификации

• LM и NTLMv1 отключены

• NTLMv2 — отключён любой исходящий с DC и Exchange

• NTLMv2 — отключён исходящий c исключениями на серверах и рабочих станциях

• Входящий NTLM отключён как минимум на центре сертификации

• SMB Signing (серверный и клиентский) включён везде

• LDAP Signing и Channel Binding включены на контроллерах домена

• Extended Protection (EP) включён для Exchange и центра сертификации

Сетевые протоколы

• SMBv1 отключён

• LLMNR, mDNS, NetBios, WPAD отключены

• PPTP отключён

• IPv6 отключён на клиентских компьютерах 

• IPv6: DHCPv6 и RA отключены на серверах 

Сеть

• Интерфейсы управления серверами недоступны из клиентских сетей

• Все сервисы, опубликованные наружу, находятся в закрытом VLAN

• SMB наружу заблокирован

• Из VPN для пользователей доступны только нужные для работы ресурсы

• Wi-Fi с доступом к корпоративным ресурсам работает только по EAP

• На коммутаторах включены IPv6: ND inspection, RA Guard, DHCP Guard, First Hop Security, Source Guard

• На коммутаторах включены DHCP Snooping и Dynamic ARP Inspection

Active Directory

• Пользователи не могут добавлять устройства в домен

• Группа Pre-Windows 2000 Compatible Access пуста

• Microsoft Exchange не входит в группу Administrators

• Exchange развернут в режиме Split Permissions

• Центр сертификации одобряет сертификаты только вручную (или вы в курсе, что такое ESC6, ESC8, ESC11 и настроили права на шаблоны)

• Домен проверен PingCastle на базовые ошибки

• Домен проверен BloodHound на наличие путей эскалации привилегий до администратора домена

• Оповещения о создании новых учётных записей настроены

1С и базы данных

• Пароль на кластер 1С установлен

• Даже тестовые и временные базы требуют пароль

• 1С запущен не под локальным администратором

• Сервер баз данных недоступен из клиентской сети

• Подключение SQL-баз выполняются под выделенной учётной записью с ролью db_owner, не под sa

Резервное копирование и виртуализация

• Система виртуализации не входит в домен

• Система резервного копирования не входит в домен

• Система хранения резервных копий не входит в домен

• Все три системы (виртуализация, резервное копирование, хранилище) изолированы от серверов и пользователей в отдельном VLAN

• SMB signing включён

• Доступ для локальных учётных записей с административными правами по сети запрещён

• Вход в систему резервного копирования — через 2FA (если поддерживается)

• Неиспользуемые службы отключены (Remote Registry, WinRM, Windows Script Host, Print Spooler)

Мониторинг

• Система мониторинга обновляется регулярно

• Вход в консоль мониторинга возможен только по двухфакторной аутентификации

• Выполнение произвольных скриптов на агентах запрещено

• Оповещения об отключении агентов на серверах настроены

Обновления и исправления безопасности

• Серверы обновляются минимум раз в квартал

• IPMI/iLO/iDRAC обновляются минимум раз в год

• Программное обеспечение на маршрутизаторах и коммутаторах обновляется минимум раз в год

• Клиентские ПК обновляются раз в квартал

• Прикладное ПО (Adobe Reader, 7zip и прочее) обновляется хотя бы раз в год

• WSUS работает по https

• Контроллеры домена обновляются не через WSUS

Антивирус

• Антивирус установлен на всех компьютерах и серверах T1|T2

• SRP/Applocker запрещают запуск скриптов из профиля пользователя

• Powershell в профиле пользователя ограничен

• VBA в Microsoft Office отключён

• JavaScript в Adobe Reader отключён

• Настроены оповещения при обнаружении вируса

Защита антивируса 

• Пароль на отключение антивируса установлен

• Пароль на отключение агента антивируса установлен

• Центр управления антивирусом находится не в домене

• Вход на сервер управления по сети выполняется только под пользователем (доступ для локальных учётных записей с административными правами по сети запрещён)

• Доступ к консоли управления антивирусом защищён двухфакторной аутентификацией (2FA)

• Неиспользуемые службы отключены (Remote Registry, WinRM, Windows Script Host, Print Spooler)

• Антивирус установлен на все серверы, публикующие ресурсы в интернет (включая недоменные и Linux-машины)

• Настроены оповещения мониторинга об отключении антивируса на Linux-серверах

Если вдруг у вас пропущена большая часть из пунктов выше — начните хотя бы с регулярного копирования данных на отчуждаемые носители. Мы не можем защититься от всего, но в наших силах ограничить ущерб. И это тоже база.

Эту базу, её смысл и практическое применение я регулярно разбираю в своём Telegram-канале: t.me/depit_ru. Если хотите понимать эти вещи глубже или просто обмениваться опытом — присоединяйтесь.