Сложно ли взломать вашу инфраструктуру? Во время аудита у меня на это уходит от 15 минут до 8 часов.
И это не потому, что у клиентов нет SOC, NGFW, WAF, MFA и других атрибутов безопасности — тот же SOC весьма успешно рапортует о взломе… когда всё уже сделано.
И не потому, что я супер-хакер — используются стандартные инструменты и инструкции, доступные любому «скрипт-кидди».
Чаще всего причина в том, что не настроена БАЗА — та самая рутина, про которую не принято и не модно вещать со сцены. И через которую всех обычно и ломают.
Ниже — список требований для оценки уровня вашей защиты:
Если у вас реализовано меньше половины из списка — скорее всего, мне хватит часа с момента подключения к сети, чтобы захватить ваш домен;
Если выполнено больше половины — мне придётся повозиться, но шансы всё ещё есть;
Если сделано практически всё из списка ниже — инфраструктура защищена… по крайней мере от меня.
Поехали!
Пароли
Длина: для пользователей — не меньше 10 символов; для администраторов — от 15 символов; для сервисных учётных записей — от 20 символов
Пароли пользователей меняются не реже одного раза в полгода
PNE (Password Never Expires) отключён у всех пользователей, вообще у всех
Учётная запись блокируется после нескольких неудачных попыток ввода пароля
Настроены оповещения о блокировке учетной записи
Учётные записи
У пользователей нет прав локальных администраторов на компьютерах
Системные администраторы работают на компьютерах под обычными учётными записями
Привилегированные учётные записи на МФУ отсутствуют
Права администраторов подрядчикам выдаются только на время настройки и в ситуациях, когда они действительно необходимы
Учётные записи администраторов разделены на три уровня (AD Tiering) — рабочие станции/RDS серверы (T2), серверы приложений (T1), домен (T0)
Администраторы домена (T0) могут входить только на контроллеры домена, не могут — на серверы и рабочие станции и не имеют там привилегий
Администраторы серверов приложений (T1) не могут входить контроллеры домена, на рабочие станции и не имеют там привилегий
Администраторы рабочих станций (T2) не могут входить на контроллеры домена, серверы приложений и не имеют там привилегий
Защита аутентификационных данных
Учётные записи администраторов находятся в группе Protected Users
LAPS развернут на компьютерах и серверах
Доступ для локальных учётных записей с административными правами по сети запрещён везде (и в домене, и на недоменных устройствах)
Никаких SPN на учётных записях администраторов
На серверах T0 и T1 не включен SSO
Сервисные учётные записи — gMSA|MSA
Вспомогательным учётным записям запрещён интерактивный вход и RDP
На компьютерах включён Bitlocker
Пароли на интерфейсах МФУ — не дефолтные
МФУ находятся в изолированном от пользователей VLAN
CachedCredentials: серверы = 0, компьютеры и ноутбуки = 1
RunAsPPL включён везде
Антивирус защищает оперативную память от дампа LSASS на серверах и компьютерах
Общие пароли хранятся только в менеджере паролей
Никаких скриптов с паролями внутри
Протоколы аутентификации
LM и NTLMv1 отключены
NTLMv2 — отключён любой исходящий с DC и Exchange
NTLMv2 — отключён исходящий c исключениями на серверах и рабочих станциях
Входящий NTLM отключён как минимум на центре сертификации
SMB Signing (серверный и клиентский) включён везде
LDAP Signing и Channel Binding включены на контроллерах домена
Extended Protection (EP) включён для Exchange и центра сертификации
Сетевые протоколы
SMBv1 отключён
LLMNR, mDNS, NetBios, WPAD отключены
PPTP отключён
IPv6 отключён на клиентских компьютерах
IPv6: DHCPv6 и RA отключены на серверах
Сеть
Интерфейсы управления серверами недоступны из клиентских сетей
Все сервисы, опубликованные наружу, находятся в закрытом VLAN
SMB наружу заблокирован
Из VPN для пользователей доступны только нужные для работы ресурсы
Wi-Fi с доступом к корпоративным ресурсам работает только по EAP
На коммутаторах включены IPv6: ND inspection, RA Guard, DHCP Guard, First Hop Security, Source Guard
На коммутаторах включены DHCP Snooping и Dynamic ARP Inspection
Active Directory
Пользователи не могут добавлять устройства в домен
Группа Pre-Windows 2000 Compatible Access пуста
Microsoft Exchange не входит в группу Administrators
Exchange развернут в режиме Split Permissions
Центр сертификации одобряет сертификаты только вручную (или вы в курсе, что такое ESC6, ESC8, ESC11 и настроили права на шаблоны)
Домен проверен PingCastle на базовые ошибки
Домен проверен BloodHound на наличие путей эскалации привилегий до администратора домена
Оповещения о создании новых учётных записей настроены
1С и базы данных
Пароль на кластер 1С установлен
Даже тестовые и временные базы требуют пароль
1С запущен не под локальным администратором
Сервер баз данных недоступен из клиентской сети
Подключение SQL-баз выполняются под выделенной учётной записью с ролью db_owner, не под sa
Резервное копирование и виртуализация
Система виртуализации не входит в домен
Система резервного копирования не входит в домен
Система хранения резервных копий не входит в домен
Все три системы (виртуализация, резервное копирование, хранилище) изолированы от серверов и пользователей в отдельном VLAN
SMB signing включён
Доступ для локальных учётных записей с административными правами по сети запрещён
Вход в систему резервного копирования — через 2FA (если поддерживается)
Неиспользуемые службы отключены (Remote Registry, WinRM, Windows Script Host, Print Spooler)
Мониторинг
Система мониторинга обновляется регулярно
Вход в консоль мониторинга возможен только по двухфакторной аутентификации
Выполнение произвольных скриптов на агентах запрещено
Оповещения об отключении агентов на серверах настроены
Обновления и исправления безопасности
Серверы обновляются минимум раз в квартал
IPMI/iLO/iDRAC обновляются минимум раз в год
Программное обеспечение на маршрутизаторах и коммутаторах обновляется минимум раз в год
Клиентские ПК обновляются раз в квартал
Прикладное ПО (Adobe Reader, 7zip и прочее) обновляется хотя бы раз в год
WSUS работает по https
Контроллеры домена обновляются не через WSUS
Антивирус
Антивирус установлен на всех компьютерах и серверах T1|T2
SRP/Applocker запрещают запуск скриптов из профиля пользователя
Powershell в профиле пользователя ограничен
VBA в Microsoft Office отключён
JavaScript в Adobe Reader отключён
Настроены оповещения при обнаружении вируса
Защита антивируса
Пароль на отключение антивируса установлен
Пароль на отключение агента антивируса установлен
Центр управления антивирусом находится не в домене
Вход на сервер управления по сети выполняется только под пользователем (доступ для локальных учётных записей с административными правами по сети запрещён)
Доступ к консоли управления антивирусом защищён двухфакторной аутентификацией (2FA)
Неиспользуемые службы отключены (Remote Registry, WinRM, Windows Script Host, Print Spooler)
Антивирус установлен на все серверы, публикующие ресурсы в интернет (включая недоменные и Linux-машины)
Настроены оповещения мониторинга об отключении антивируса на Linux-серверах
Если вдруг у вас пропущена большая часть из пунктов выше — начните хотя бы с регулярного копирования данных на отчуждаемые носители. Мы не можем защититься от всего, но в наших силах ограничить ущерб. И это тоже база.
Эту базу, её смысл и практическое применение я регулярно разбираю в своём Telegram-канале: t.me/depit_ru. Если хотите понимать эти вещи глубже или просто обмениваться опытом — присоединяйтесь.
Комментарии (61)
capt_Rimmer
10.12.2025 09:39Капец захоливарили вы :) штат IT и штат ИБ интересно глянуть у такой компании, где такая база :)
electedfx
10.12.2025 09:39У нас очень много из этого выполняется. Администрирование систем - боль в таких условиях
ikormachev Автор
10.12.2025 09:39Согласен что куда проще сидеть под учетной записью администратора домена и дотягиваться со своего компьютера до всего. Только это проще как для вас, так и для злодеев. Так что да, безопасность требует в том числе и некоторых самоограничений.
electedfx
10.12.2025 09:39У меня в основном вопросы входа в систему, неприлично много времени тратится на ввод отдельных уз и отп по несколько десятков раз в день, а также саму работу удаленных систем управления при использовании всяких СХИ, особенно отечественных. Как например kesl - тот ещё фрукт, на моей памяти из-за него несколько крупных аварий произошло, уложил всю инфру
ikormachev Автор
10.12.2025 09:39Я однажды смотрел, сколько времени на подстанциях занимает выключить один-единственный рубильник:
Надеть спецодежду
Провести инструктаж и заполнить журнал
Дойти до шкафа вдвоём
Повторить команды
Только потом - выключить рубильник
Безопасность - она такая, да.
igrblkv
10.12.2025 09:39Пароли пользователей меняются не реже одного раза в полгода
Что-бы что?
Пароль утёк на второй день как его сменили и налепили на монитор или клавиатуру.
Администраторы домена (T0) могут входить только на контроллеры домена, не могут — на серверы и рабочие станции и не имеют там привилегий
Создать нужную учётку они то же не могут?
МФУ находятся в изолированном от пользователей VLAN
А печатать и сканировать как?
SMBv1 отключён
Зачем тогда МФУ покупали, если ими не пользоваться?
Настроены оповещения о блокировке учетной записи
Оповещения о создании новых учётных записей настроены
И пофиг, что их прочитают только в понедельник или 10 января.
Доступ для локальных учётных записей с административными правами по сети запрещён
Как тогда реализовать хранение копии в удалённой локации, кататься туда? Или я тупой совсем?
Как на NAS'ы попадать, когда надо поменять настройки?Клиентские ПК обновляются раз в квартал
Вот тут я совсем не понимаю. А как-же ежемесячные обновы от Майкрософта? Или чаще если найдена совсем дыра-дыра?
WSUS работает по https
Его-же нет уже?
Настроены оповещения при обнаружении вируса
Запрет, на карантин и оповещение или только оповещение?
Центр управления антивирусом находится не в домене
Раскатывать на клиентов как? Обновы?
И это тоже база.
База не полная, забыли написать про всякие банковские приложения, закупки и прочие госуслуги.
Видимо, их надо в отдельное подразделение выносить.
А ещё есть приложения, которые без админских прав - никак. Пусть и локальных. С ними что делать?
ikormachev Автор
10.12.2025 09:39Не все злодеи мира имеют возможность посмотреть на монитор. А вот загрузить расчет хэша пароля на одну видеокарту на год - это недорого, особенно если приз - это пароль генерального директора. Пароли у пользователей меняем раз в полгода, чтобы ограничить окно для брута пароля по хэшу и чтобы пользователи в конечном итоге установили уникальный пароль на свою учетную запись, а не тот, который используется в десяти внешних сервисах.
По МФУ - сканировать в папку на файловом сервере или в почту. Печатать - через сервер печати.
IvanovSV
10.12.2025 09:39Ви таки предлагаете: дойти до сетевого МФУ. Настроить на нужные параметры сканирования. Отсканировать десяток документов. В личную папку. В списке из пары десятков и более папок. Вернуться. Зайти на файлопомойку. Открыть каждый из десятка документов. Переименовать. Загрузить в нужную программу по именам.
Цикл повторить, ибо в определенный момент нужны иные параметры сканирования.
Ах да. Ограничитель времени на все - у вас 15 минут. (Там понятно, не только сканирование)
Pumber
10.12.2025 09:39Вроде бы файл-серверы обычно настраивают так, что ты заходишь сразу в свою папку, так что не очень понятно о какой паре десятков и более папок речь. Нужные параметры сканирования тоже настраиваются один раз, дальше только соответствующую кнопку нажать. Остальные манипуляции - обычная рабочая рутина независимо от вариантов подключения МФУ.
ikormachev Автор
10.12.2025 09:39Все так и есть - Access Based Enumeration и пользователь видит только свои папки.
IvanovSV
10.12.2025 09:39Зайдите в обычный МФЦ. Самый обычный кейс - все МФУ сетевые. Ибо если какой-то сдох, долго не думают, а печатают на соседний. И сканируют с него. Сотрудник сидит сегодня на окне 1, а завтра на окне 30. Привязать к месту его не получится.
(да кстати, почему сотрудник сегодня сидит на окне 1, а потом на окне 30? Количество сотрудников ограничено. Количество окон - ограничено. Только сотрудник работает упрощенно 40 (36) часов в неделю. А окно упрощенно 66 часов в неделю. И задача руководства МФЦ обеспечить максимальное заполнение окон на максимальное время. При этом не допуская переработку и недоработку сотрудника. И бюджет нерезиновый, чтобы прибавить сотрудников, дабы точно закрывать все время работы окна)
shutkarmannbii
10.12.2025 09:39А сервер печати где? Вместе с МФУ? Тогда он изолирован, а если вместе с пользователями значит МФУ изолированы... Что-то тут плохо сходится теория с практикой... Если у сервера есть доступ до МФУ, не важно откуда, значит МФУ уже не изолированы... Вот мы и пришли к сингулярности...
igrblkv
10.12.2025 09:39Не все злодеи мира имеют возможность посмотреть на монитор.
Но 80% злодеев находятся не за периметром, а внутри него.
А вот загрузить расчет хэша пароля на одну видеокарту на год - это недорого,
Почему на картинке с xkcd пишут про три дня для 11 символов, а не год?
особенно если приз - это пароль генерального директора.
Ну да, приз, конечно, такой себе: сможете на котиков посмотреть и несколько черновиков новых документов почитать (возможно, даже секретных!), которые ещё не успели на оформление и согласование отдать в делопроизводство. Хотя, нет, можно в
МаксеТелеге попросить у всех в долг или организовать ВКС с подчинёнными.
ikormachev Автор
10.12.2025 09:39Отвечая на ваш обновленный комментарий: если вы не понимаете почему SMB1 нужно отключать в инфраструктуре, уверены что WSUS уже не существует, не представляете как установить антивирус и как он раздает обновления, то для начала я бы рекомендовал вам курсы по основам системного администрирования.
capt_Rimmer
10.12.2025 09:39Ну. Вы прикидываетесь человеком, который не видел японские рикоши с куасерами и хероками, которые нас с вами переживут и будут по SMB1 файлы класть на сервер. Просто сервер надо укрепить и сделать передаточным звеном к более безопасному.
ikormachev Автор
10.12.2025 09:39Чтобы отключить SMB1 на Киосерах (точнее, включить на них поддержку SMB2.0) достаточно обновить на них прошивки.
Ну и в целом на Kyocera следует обновить прошивки хотя бы по этой причине: https://t.me/depit_ru/57
SMBv1 никак не укрепить: https://t.me/depit_ru/36capt_Rimmer
10.12.2025 09:39=) это лишь вопрос вашего опыта)) у меня есть 2 гроба рикошей, которые с 2006 года трудятся))))
ikormachev Автор
10.12.2025 09:39SMB 2.0 появился в этом же году - проверьте, может есть обновление. Ну и как бы да, если вам безопасность важна, то придется обновлять в том числе и железо - это тоже база.
igrblkv
10.12.2025 09:39Вам-бы курсы реальности не помешали, раз уж к рекомендациям перешли.
У меня Киосеры уже по несколько миллионов отпечатали и периодически переживают новые Бразеры, которые полгода-год - и на свалку, при тех же объёмах печати, а Вы про отключение SMB1. (Хотя, если найдётся спонсор на закупку Бразеров каждые полгода, вместо имеющихся Киосер - то можно и отключить SMB1)
Про не существует WSUS, это я дал маху, согласен. Всего лишь:
СЛУЖБЫ WSUS устарели и больше не добавляют новые функции.
Развёртывать и пользоваться можно, даже на 25-м сервере.
Антивирус у меня стоит и всё раздаёт, проблем нет, а вот после Ваших рекомендаций (всех связанных, а не только той, что я процитировал выше) они явно появятся.
ikormachev Автор
10.12.2025 09:39Про Киосеры ответил постом выше - установите на них обновления. И курсы по основам системного администрирования все же рекомендую.
Stanislavvv
10.12.2025 09:39В https://habr.com/ru/companies/globalsign/articles/923138/ упоминается в том числе NIST SP 800-63, чьи требования несколько противоречат вашим.
ikormachev Автор
10.12.2025 09:39У меня нет требований - у меня рекомендации. Если в компании нет регулярной смены паролей, то для меня это означает что можно брутить пароль до победного. Но никто не мешает вам верить в то, что если у пользователя будет один пароль, то он обязательно сделает его сложным и не будет нигде больше использовать.
igrblkv
10.12.2025 09:39Так пользователь к своему обычному паролю добавит год или просто добавит счётчик. Сбрутили старый пароль - почти вручную сбрутили любой новый за пять минут.
Если всё настолько серьёзно - проще поставить сканер отпечатков или RFID-карт, которые можно менять хоть ежедневно. Для топов и мелких начальников это не сильно большие финансовые затраты будут. Посетите Сбер, например, где так у каждого сотрудника. Заодно решается проблема забывания паролей и их никто не узнает, даже админы.
Интересно, насколько это распространённый пароль?
На картинке 11 символов и 3 дня пишут - врут?
ikormachev Автор
10.12.2025 09:39В статье я описал требования начиная от которых лично мне будет лень взламывать инфраструктуру через этот аспект. В целом, я не любитель брутить пароли и играть в угодайки, когда есть другие более доступные методы. Но да, аутентификация по сертификатам - это топ, но это уже не база.
Pumber
10.12.2025 09:39А если компания например на 1000 рабочих мест? Сканер отпечатков который нормально работает стоит в районе 5-7 тысяч руб, даже без учёта лицензий и внедрения это уже 5-7 миллионов руб. Если добавить серверную часть, внедрение, поддержку и тд, уже ближе к 8-10 миллионам будет. Назвать такие затраты "не сильно большими" не очень получается.
igrblkv
10.12.2025 09:39Во-первых, речь про топов и мелких начальников.
Во-вторых, есть вариант с RFID, которые для входа-выхода могут использоваться.
В-третьих, Сбер - не бедная контора.
Pumber
10.12.2025 09:39А как установка сканеров топам и начальникам решит проблему добавления пары циферек к старому паролю рядовых пользоваталей?
Сбер и не единственная контора.
igrblkv
10.12.2025 09:39Никак, но начальству будет приятно - а это премия, как минимум.
Ну и начальство когда на себе прочувствует плюсы - может и всем установить распорядится.
ikormachev Автор
10.12.2025 09:39Мое понимание, что система хорошая и конечно в крупной компании - обязательная к применению, как и SOC и MFA и прочее штуки.
Просто эта вещь теряет смысл если в сети все еще включен SMB1, NTLM, можно использовать arp-spoofing и прочее - в этом случае все эти аутентификации по сертификатам, SOC и MFA просто не играют никакой роли.capt_Rimmer
10.12.2025 09:39Блин, ну вы даёте.. PT NGFW ставите, выделяете контур, правила настраиваете и хоть там по FTP файлы передавайте. Устаревшие протоколы всегда будут и мир не стоит на месте. То, что надёжное сегодня завтра уже с Zerologonом. На знамя вешать отключение всего устаревшего - хорошая идея, но и затратная и во многих случаях не оправданная. Жесткие ограничения для старых систем - это ок. Я поэтому и интересовался на какие компании ваша база рассчитана..
avmcoder
10.12.2025 09:39Очень странный список требований. Во многом противоречит требованиям ФСТЭК.
Не могли бы вы привести ссылку на нормативную документацию откуда они взяты?ikormachev Автор
10.12.2025 09:39Я не по нормативной документации эти требования составлял. В начале статьи все расписано. Использовать их или нет - на ваше усмотрение.
capt_Rimmer
10.12.2025 09:39Он как Сатья - сам пожил, и делится принципом обхода граблей :) Ничего не навязывает.. просто всем говорит, что это - база.
DikSoft
Достаточно спорное требование ? Особенно вкупе с :
Покажите, если не сложно, как это совместить на реальных СРК и платформе виртуализации.
ikormachev Автор
Что такое реальные СРК и платформы виртуализации?
igrblkv
система резервного копирования, видимо, не про кишечник же.
ikormachev Автор
Вопрос был в том с какими именно системами (их много разных) у человека возникают затруднения - чтобы мой ответ стал более предметным.