Леонид Шапиро MCT, MVP, MCSE Microsoft TechDays http://www.techdays.ru Правила наименьших привилегий Стандартные средства защиты Microsoft Свойства учетной записи Объекты групповой политики (GPO) Рабочие места администраторов Что требуется защищать в первую очередь? Подведем итоги… Microsoft TechDays http://www.techdays.ru Правила наименьших привилегий – предоставляем минимально необходимый набор полномочий Использование рядовых учетных записей для повседневных задач Если злоумышленнику удалось запустить приложение на вашем компьютере – это больше не ваш компьютер Administrators Domain Admins Enterprise Admins Schema Admins Account Operators Backup Operators Print Operators Server Operators и другие привилегированные группы Microsoft TechDays http://www.techdays.ru SDProp HKLM\SYSTEM\CurrentControlSet\Services \NTDS\Parameters Microsoft TechDays http://www.techdays.ru Windows 2000 SP4 – Windows Server 2003 RTM Windows Server 2003 SP1+ Windows Server 2012, Windows Server 2008 Account Operators Administrator Administrators Backup Operators Cert Publishers Account Operators Administrator Administrators Backup Operators Account Operators Administrator Administrators Backup Operators Domain Admins Domain Controllers Enterprise Admins Enterprise Admins Krbtgt Print Operators Domain Admins Domain Controllers Enterprise Admins Krbtgt Print Operators Domain Admins Domain Controllers Enterprise Admins Krbtgt Print Operators Read-only Domain Controllers Replicator Schema Admins Server Operators Replicator Schema Admins Server Operators Windows 2000 <SP4> Administrators Domain Admins Schema Admins Replicator Schema Admins Server Operators Microsoft TechDays http://www.techdays.ru Регулирование членства в группах Использование групповых политик Deny access to this computer from the network. Deny log on as a batch job. Deny log on as a service. Deny log on locally. Deny log on through Remote Desktop Services. Аудит Microsoft TechDays http://www.techdays.ru Подключить созданную групповую политику ко всем OU содержащим учетные записи компьютеров. В лесу Active Directory, состоящем из нескольких доменов групповая политика должна быть создана в каждом домене леса. Microsoft TechDays http://www.techdays.ru Microsoft TechDays http://www.techdays.ru Рабочая станция администратора может стать угрозой безопасности компании Microsoft TechDays http://www.techdays.ru • • • • Рабочая станция RDP доступ Виртуальная машина Публикация приложений Аутентификация Избыточные полномочия Внешние устройства Программное обеспечение Несвоевременные обновления ПО Вирусы и трояны Физический доступ Microsoft TechDays http://www.techdays.ru Computer Configuration\Policies\Windows Settings\Local Policies\Security Options\Interactive logon: Require smart card Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Policies\Windows Settings\Administrative Templates\System\Removable Storage Access Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker Важность защиты AD DS Правила наименьших привелегий Защита учетных записей пользователей, групп и рабочих станций Групповые политики Физическая безопасность Документирование Microsoft TechDays http://www.techdays.ru http://technet.microsoft.com/en-us/security/hh278941.aspx http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx http://technet.microsoft.com/en-us/library/dn487460.aspx http://technet.microsoft.com/en-us/library/hh831472.aspx http://technet.microsoft.com/en-us/library/hh831379.aspx http://technet.microsoft.com/en-us/library/hh831396.aspx http://www.microsoft.com/en-us/download/details.aspx?id=38785. https://ru.wikipedia.org/wiki/%CA%E5%E9%EB%EE%E3%E5%F0 https://technet.microsoft.com/ru-ru/library/hh831440.aspx https://technet.microsoft.com/en-us/library/ee424382(v=ws.10).aspx https://technet.microsoft.com/library/hh831440.aspx Microsoft TechDays http://www.techdays.ru © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. Microsoft TechDays http://www.techdays.ru