Geriausia praktika, kaip saugiai valdyti vietines paskyras sistemoje „Windows 11“

  • Vartotojo ir administratoriaus paskyrų atskyrimas, minimalių privilegijų taikymas ir „Vykdyti kaip“ naudojimas smarkiai sumažina kenkėjiškų programų ir žmogiškųjų klaidų poveikį.
  • LAPS apsaugo vietines administratoriaus paskyras unikaliais ir stipriais slaptažodžiais, su sąlyga, kad skaitymo teisės AD yra griežtai apribotos ir audituojamos.
  • „Windows“ slaptažodžių ir paskyrų blokavimo strategijos leidžia taikyti ilgus, sudėtingus ir kontroliuojamo rotacijos slaptažodžius, todėl juos sunkiau atakuoti naudojant „brute force“ ir pakartotinai naudoti.
  • Privilegijuotų paskyrų prisijungimo apribojimas, išmaniųjų kortelių naudojimas ir svarbiausių prisijungimo duomenų naudojimo auditas sustiprina saugumą ir atsekamumą visame tinkle.
Joaquin Romero

14 minučių

Vietinių paskyrų valdymas sistemoje „Windows 11“

Vietinių ir administratoriaus paskyrų apsauga sistemoje „Windows 11“ nebėra pasirenkama: šiandien tai privaloma, jei nenorite, kad jūsų paskyros būtų pažeistos. Vienas užkrėstas kompiuteris gali sugadinti visą jūsų domeną.Be to, pravartu patikrinti, ar jūsų paskyros nebuvo pažeistos.

Svarbiausia – gerai sujungti visas dalis: Vietiniai administratoriai, valdomi naudojant LAPS, domeno paskyras su mažiausiai privilegijų, stiprius slaptažodžius ir nuoseklias blokavimo politikasJei pridėsite aiškias procedūras (kas ką gali daryti, iš kur ir kaip atliekamas auditas), turėsite labai tvirtą pagrindą saugiai valdyti vietines paskyras sistemoje „Windows 11“.

Kodėl administratoriai ir vietinės paskyros yra tokios pavojingos

Paskyros su didelėmis privilegijomis yra lengvas grobis bet kuriam užpuolikui, nes Jie turi visišką prieigą prie kompiuterio ir dažnai prie viso domeno.Tai taikoma tiek klasikiniam vietiniam administratoriaus lygiui, tiek aukščiausio lygio grupėms „Active Directory“.

Įprastoje domeno aplinkoje rasite bent šių tipų paskyras ir grupes, turinčias didelę įtaką saugumui:

Tiesa, kad naujai įdiegtos sistemos yra greitesnės.
Susijęs straipsnis:
Patikrinkite, ar jūsų paskyros nebuvo pažeistos, ir greitai apsisaugokite
  • Vietinio administratoriaus paskyros: integruotas kiekvienos komandos narys (galite įgalinti paslėptą administratoriaus paskyrą) ir bet kuris vartotojas, pridėtas prie vietinės administratorių grupės. Jie turi absoliučią sistemos, kurioje jie yra, kontrolę.
  • Domeno administratoriai: domeno administratorių grupės paskyros, turinčios įgaliojimus visiems to domeno kompiuterių nariams.
  • Miškų administratoriai: miško šakniniame domene, kontroliuojant visus domenus ir praktiškai visą AD infrastruktūrą.
  • Schemų administratoriai ir kitos specialios grupėsJie gali modifikuoti AD schemą, tvarkyti GPO miško lygmeniu, išduoti sertifikatus ir kt. Bet kokia klaida čia turi kaskadinį efektą.

Problema yra ne tik išoriniai užpuolikai. Vidiniai vartotojai, turintys per daug leidimų arba per mažai žinių, taip pat gali padaryti milžinišką žalą.: svarbių duomenų ištrynimas, netinkamas domeno valdiklių konfigūravimas, antivirusinės programos išjungimas arba netyčinis durų atvėrimas kenkėjiškoms programoms.

Jei taip pat įprasite visada dirbti prisijungę kaip administratorius, praktiškai atiduodate savo kompiuterį bet kokiam kenkėjiškam kodui: Kenkėjiška programa veiks su tomis pačiomis teisėmis kaip ir jūsų sesijaJis galės kurti naudotojus, išmesti maišos duomenis, judėti horizontaliai ir, jei pasiseks, pritaikyti jį domenui. Norėdami sumažinti fizinio kompromitavimo vektorius, peržiūrėkite Praktinės priemonės, kaip apsaugoti kompiuterį nuo kenkėjiškų USB diskų.

Administracinių paskyrų tipai, kuriuos turėtumėte stebėti

Praktiškai, planuojant „Windows 11“ saugumą įmonės aplinkoje, jus domina trys pagrindinės privilegijuotų paskyrų kategorijos:

  • Vietinio administratoriaus paskyros narių darbo stotyse ir serveriuose. Tai apima integruotą administratoriaus paskyrą ir visus kitus vietinės administratorių grupės vartotojus.
  • Domeno administratoriaus paskyros, paprastai domeno administratorių nariai, kurie dažnai turi vietines teises ir daugelyje svarbių serverių.
  • Miškų valdytojai (organizacijos administratorių ir, kai kuriais atvejais, schemų administratorių nariai), kurie gali liesti miškus, domenus, CA, intelektualiąsias korteles ir kt.

Prie jų turime pridėti labai subtilų potipį: su agentų sertifikatais susietos paskyros (EFS atkūrimo agentas, registracija, rakto atkūrimas ir kt.). Juos galima naudoti apsimesti kitais asmenimis, registruoti kitų vartotojų intelektualiąsias korteles arba iššifruoti duomenis. Jiems turėtų būti taikoma dar griežtesnė saugumo politika nei įprastoms administratoriaus paskyroms.

Pagrindinė geroji praktika: mažiausios privilegijos ir pareigų atskyrimas

Principas, kuris suteiks jums didžiausią saugumą mažiausiai pastangų, yra toks: minimalios privilegijosKiekvienas vartotojas, paslauga ar komanda turėtų turėti būtent tokias teises, kokių jai reikia, ir ne daugiau. Tačiau tai turi būti tikrai užtikrinama ne tik „PowerPoint“ pristatymuose.

Taikant minimalias privilegijas reikia priimti kelis praktinius sprendimus:

  • Dvi paskyros vienam administratoriuiTurėtumėte turėti vieną įprastą paskyrą kasdieniam naudojimui (el. paštui, naršymui, biuro programoms), o kitą – tik administravimo užduotims. Administratoriaus paskyros negalima naudoti el. laiškams skaityti ar naršyti internete.
  • Sistemingas „Run as“ („Runas“ arba antrinio prisijungimo paslaugos) naudojimas Užuot dirbę prisijungę kaip administratorius, paleidžiate konsolę arba įrankį su padidintomis prisijungimo teisėmis ir viskas.
  • Nesuteikite domeno privilegijų ten, kur jų nereikia.Paskyra, turinti teises viename miške, nebūtinai turi teises kitame, net jei tarp jų yra pasitikėjimas.
  • Periodinė privilegijuotų grupių narystės peržiūra, pašalinant nebenaudojamas arba pernelyg daug leidimų turinčias paskyras ir grupes.
  „Beyond Defender“: programos, skirtos apsaugoti jūsų sistemą

Be to, labai rekomenduojama Aiškiai atskirkite domeno administratoriaus ir organizacijos administratoriaus vaidmenisGalite pasirinkti vieną, griežtai apsaugotą paskyrą organizacijos administratoriams arba, dar geriau, susikurti ją tik tada, kai to reikia užduočiai atlikti, naudoti ją ir iškart po to ištrinti.

LAPS: Tikri privalumai ir pavojai, jei netinkamai sukonfigūruosite

Vietinių paskyrų valdymas sistemoje „Windows 11“

LAPS (vietinio administratoriaus slaptažodžio sprendimas ir jo moderni versija „Windows LAPS“) išsprendžia vieną iš klasikinių daugelio tinklų trūkumų: tas pats vietinio administratoriaus slaptažodis visuose kompiuteriuoseTokia praktika yra puikus receptas horizontaliam judėjimui: jūs užgrobiate kompiuterį, išmetate maišas, perduodate maišas ir galite pereiti iš vieno kompiuterio į kitą.

Su LAPS kiekviena domeno komanda turi unikalus, ilgas ir atsitiktinis jūsų vietinės administratoriaus paskyros slaptažodissaugomi užšifruoti „Active Directory“ ir automatiškai keičiami. Tai suteikia labai aiškių privalumų:

  • Sumažina maišos ir bilietų perdavimo atakasJei užpuolikas pavagia vietinio administratoriaus kompiuterio maišos kodą, jis veikia tik tame kompiuteryje.
  • Palengvina įrangos gelbėjimąJei kompiuteris pašalinamas iš domeno arba vartotojo profilis sugadinamas, turite itin patikimą vietinio administratoriaus kredencialą, kad galėtumėte prisijungti ir jį ištaisyti.
  • Pašalina poreikį dalytis vietiniais „pagrindiniais“ slaptažodžiais tarp technikų, su visomis su tuo susijusiomis saugos katastrofomis.

Tačiau tai nėra magija. Kad tai veiktų, jums reikia turėti paskyras (arba grupes) su leidimu skaityti šiuos slaptažodžius AD sistemojeIr čia prasideda baimė: jei kas nors pavogs tuos prisijungimo duomenis su LAPS skaitymo leidimais, jis galės po vieną išgauti viso parko vietinius slaptažodžius.

Kad LAPS taptų grynuoju pranašumu, o ne nauju pažeidžiamumu, svarbiausia yra elgtis su šiomis skaitymo teisėmis kaip su auksu:

  • Labai maža įgaliotų technikų grupė (idealiu atveju tai būtų dedikuotos saugos grupės AD) su LAPS atributo skaitymo teisėmis tik tuose OU, kuriems jų reikia.
  • Griežtas auditas Kas ir kada skaito kurį slaptažodį. Tai suteikia galimybę sekti, kai norite peržiūrėti, kas bet kuriuo metu turi didesnes teises.
  • Niekada nenaudokite tų paskyrų su LAPS leidimais kasdienėms užduotims atlikti.Jei jūsų aplinka leidžia, naudokite dedikuotas administratoriaus paskyras arba „Just-in-Time/Just-Enough“ administravimą.

Ir svarbus klausimas: ar LAPS reiškia, kad kompiuteriuose nebereikia vietinių domenų administratorių? NebūtinaiProtingiausia būtų derinti:

  • Un vietinis administratorius, valdomas naudojant LAPS incidentams, gelbėjimo operacijoms ir labai specifinėms užduotims.
  • Vienas ar daugiau domenų grupės, priskirtos vietinei administratorių grupei per GPO palaikymo užduotims, programinės įrangos diegimui, pažeidžiamumų skenavimui ir kt.

Tai suteikia jums reikiamą lankstumą tokiems įrankiams kaip pažeidžiamumų skaitytuvai ar diegimo sistemos, tačiau Visame tinkle jums nereikia priklausyti nuo vieno klonuoto vietinio kredencialo.

Kaip išlaikyti matomumą: kas ką daro, kai suteikia teises

Kyla pagrįstas klausimas: jei naudojate LAPS tik su viena vietinio administratoriaus paskyra kiekviename kompiuteryje, kaip kontroliuojate kas naudojosi ta paskyraApskaitos ir audito požiūriu nenorite „viską apimančios“ sistemos, kai visi patenka su ta pačia tapatybe nepalikdami pėdsakų.

Atsakymas slypi kelių priemonių derinime:

  • Nenaudokite tiesioginio interaktyvaus seanso su vietiniu administratoriumi, išskyrus kraštutinius atvejus.Idealiu atveju technikai turėtų autentifikuotis naudodami savo pačių pavadintas (domeno) paskyras ir naudoti vietinius kredencialus tik toms užduotims, kurioms jų reikia.
  • Audito prisijungimo įvykiai (interaktyvus, RDP, „Runa“ naudojimas ir kt.) darbo stotyse ir serveriuose. Žurnalus galite centralizuoti SIEM sistemoje arba įvykių rinkimo serveryje.
  • Susieti LAPS slaptažodžio nuskaitymą su pakeitimo užklausa arba bilietuJei vidinis įrankis ar portalas reikalauja pagrindimo, kodėl prieinama prie įrenginio slaptažodžio, tuomet jau yra atsekamumas.

Galiausiai, jei technikas turi pamatyti LAPS slaptažodį AD, turėtų likti pėdsakas: kas to paprašė, kuriai komandai ir kadaTai iš dalies kompensuoja faktą, kad vėliau kompiuteryje pradėtas seansas bus vykdomas su vietine „beasmenine“ paskyra.

  „Windows 11“ stabilumo analizė senesniuose kompiuteriuose po kelių mėnesių

Paskyros strategija sistemoje „Windows 11“: kelių vartotojų ir atskiri profiliai

Be įmonių lygio, tai atsiperka net namų aplinkoje ar mažose įmonėse. sukurti skirtingą vartotoją kiekvienam asmeniui arba vaidmeniuiNuolat dalytis ta pačia paskyra (jau nekalbant apie administratoriaus paskyrą) yra bloga mintis dėl kelių priežasčių:

  • Nulis privatumoKiekvienas gali matyti jūsų failus, naršymo istoriją, vietinėse kliento programose atidarytus el. laiškus ir kt.
  • Kenkėjiškų programų rizika ir konfigūracijos pakeitimaiJei visi yra administratoriai, nepatyręs vartotojas gali įdiegti kenkėjišką programinę įrangą arba išjungti svarbias parinktis.
  • Atsekamumo stokaDarbo aplinkoje, jei visi naudoja „PCVentas“ su ta pačia paskyra, neįmanoma žinoti, kas atliko kokį pakeitimą.

„Windows 11“ labai supaprastina vartotojų valdymą:

  • Vietinės sąskaitosIdealus pasirinkimas, jei nerimaujate dėl privatumo ir nenorite, kad viskas vyktų per „Microsoft“ internetinę tapatybę. Puikiai tinka bendrinamiems kompiuteriams, aplinkoms su savo politikomis arba kai nereikia integracijos su „Microsoft 365“ paslaugomis.
  • „Microsoft“ paskyrosJie sinchronizuoja nustatymus, prisijungimo duomenis ir prieigą prie debesijos paslaugų („OneDrive“, „Office“, „Xbox“ ir kt.). Labai patogu, kai įmonės paslaugomis naudojatės kasdien.
  • Šeimos sąskaitosSukurta vaikams su tėvų kontrole, laiko apribojimais, turinio filtrais ir centralizuota stebėsena per „Microsoft Family Safety“.
„Windows“ vartotojų valdymas naudojant „PowerShell“
Susijęs straipsnis:
Išsamus vadovas, kaip valdyti „Windows“ naudotojus naudojant „PowerShell“

Norėdami sukurti vartotojus sistemoje „Windows 11“, turite kelias parinktis: Nustatymai > Paskyros > Kiti vartotojai, kompiuterio tvarkyklė (vietiniai vartotojai ir grupės), įrankis netplwiz arba tiesiogiai komandomis, pvz. grynasis vartotojo iš konsolės. Svarbiausia ne tiek kelias, kiek rezultatas: Kiekvienas asmuo su savo paskyra ir tik tie, kurie turėtų būti administratoriai, administratorių grupėje..

Slaptažodžių politika sistemoje „Windows“: raktas į žmogiškųjų klaidų mažinimą

Nesvarbu, kaip gerai suprojektuosite architektūrą, jei leisite vartotojams nustatyti slaptažodžius, tokius kaip „123456“ arba „password“. „Windows“ slaptažodžių politika yra būtent tam skirta. nustatyti minimalias saugos taisykles ir vengti absurdiškų dalykų.

Ši direktyva yra vietinės arba domeno saugumo politikos dalis ir leidžia jums koreguoti tokius aspektus kaip:

  • Minimalus ilgis: minimalus simbolių skaičius, kurį turi sudaryti slaptažodis.
  • Sudėtingumas: ar įtraukti didžiąsias raides, mažąsias raides, skaičius ir simbolius.
  • įrašasKiek ankstesnių slaptažodžių įsimenama, kad vartotojas negalėtų jų pakartotinai naudoti?
  • Maksimalus ir minimalus galiojimo laikasKaip dažnai jį reikia keisti ir kiek laiko jį reikia laikyti, kol vėl bus galima pakeisti?
  • Sąskaitos blokavimas: nepavykusių bandymų skaičius ir blokavimo laikas, siekiant užkirsti kelią „brute force“ atakoms.

Tai konfigūruojama grupės politikos redaktoriuje (gpedit.msc) arba, domeno scenarijuose, per GPO: Kompiuterio konfigūracija > „Windows“ nustatymai > Saugos parametrai > Paskyros strategijos > Slaptažodžių politika.

Koks turėtų būti tinkamas šių dienų slaptažodis?

Jei norite slaptažodžių, kurie tikrai atlaikytų dabartines atakas, pagrindinė teorija vis dar galioja, tačiau ją reikia taikyti griežtai. Geras slaptažodis turėtų būti:

  • UnikalusNepanaudojama kitose paslaugose ar įrenginiuose. Taip išvengsite „domino efekto“, jei informacija nutekės į kitą svetainę ar programėlę.
  • IlgasNuo 10–12 simbolių tai pradeda būti priimtina, nors kritinėms paskyroms (pvz., domeno administratoriams) 15 ar daugiau simbolių tai idealas.
  • Sudėtingas, bet įsimintinas: didžiųjų ir mažųjų raidžių, skaičių ir simbolių derinys, bet išdėstytas taip: slaptafrazė lengva prisiminti ir sunku atsiminti naudojant žodyną.

Labai naudingas triukas yra užšifruotų frazių naudojimas: pasirenkate frazę, kurią prisimenate („Mano sūnus Chuanas trejais metais vyresnis už mano dukrą Aną“) ir pasiliekate kiekvieno žodžio pirmąją raidę, įterpdami skaičius ir simbolius: MhJe3@mqmh@Tai sukuria ilgus, stiprius slaptažodžius, neverčiant jūsų rašyti nesuprantamų dalykų.

Dar rimtesniais atvejais galite traukti tiesiai iš slaptažodžių generatoriai ir įgaliojimų valdytojai, pvz. KeePassXCkartu su daugiafaktoriniu autentifikavimu. Ko reikėtų vengti bet kokia kaina:

  • Tušti arba trivialūs slaptažodžiai („admin“, „qwerty“, gimimo datos…).
  • Ant lipnių lapelių užrašyti slaptažodžiai prilipę prie ekrano arba išsaugoti neužšifruotuose dokumentuose.
  • Naudokite tą patį slaptažodį el. paštui, socialiniams tinklams, VPN ir prisijungimui prie „Windows“.
  Kada optimizavimo vadovai gali pakenkti jūsų operacinei sistemai

Slaptažodžių politikos ir paskyros blokavimo derinimas

Slaptažodžių politika nėra savarankiška; Tai papildo paskyros blokavimo politika.Tikslas – užkirsti kelią užpuolikui atlikti tūkstančius iš eilės bandymų priešintis kredencialams.

„Windows“ sistemoje galite apibrėžti:

  • Blokavimo slenkstis: nepavykusių prisijungimo bandymų skaičius prieš paskyros užrakinimą.
  • Blokados trukmė: laikas, kurį paskyra liks užblokuota.
  • Skaičiavimo langas: laiko intervalas, per kurį skaičiuojami nepavykę bandymai, siekiant nustatyti, ar blokuojama.

Ankstesnėse „Windows“ versijose buvo tokių įrankių kaip passprop.exe net integruotai administratoriaus paskyrai taikyti blokavimo politiką, iš pradžių tik nuotoliniuose paleidimuose, o vėliau ir interaktyviuose paleidimuose. Šiandien, naudojant „Windows 11“ ir dabartinę „Active Directory“, galite geriau moduliuoti šį elgesį naudodami grupės politikos objektus (GPO), tačiau idėja ta pati: kad net klasikinis administratorius neišvengia kontrolės.

Silpnų slaptažodžių aptikimas ir periodinis auditas

Nustatyti taisykles yra gerai, tačiau realybė tokia, kad visada bus vartotojų, kurie įdės mažiausiai pastangų arba kurie daugelį metų naudos tą patį slaptažodį. Štai kodėl patartina direktyvą papildyti slaptažodžių analizės įrankiai:

  • Internetiniai (tinklo) įrankiai, tokie kaip MBSA („Microsoft Baseline Security Analyzer“, senesnėse aplinkose), kuris tikrina, ar nėra tuščių slaptažodžių, slaptažodžių, kurie sutampa su vartotojo vardu arba kompiuterio pavadinimu.
  • Trečiųjų šalių neprisijungus pasiekiami įrankiai kurie analizuoja maišos kodus ir ieško silpnų slaptažodžių nesukeldami paskyrų blokavimo (rekomenduojamas metodas).

Aptikus silpną slaptažodį, idealus sprendimas yra automatizuoti atsakymą: priverstinai pakeisti slaptažodį į stiprų arba išsiųsti savininkui labai aiškų įspėjimąLabiau reglamentuotoje aplinkoje gali reikėti nedelsiant atkurti duomenis ir pranešti saugumo komandai.

Auditas neapsiriboja slaptažodžiais; jis taip pat turi apimti privilegijuotų paskyrų naudojimasKas kur prisijungia, kas keičia grupių narystę, kas modifikuoja saugumo politikas ir pan. Čia jūsų sąjungininkai yra įvykių peržiūros programa, tinkami GPO ir, jei organizacijos dydis tai pateisina, SIEM.

Privilegijuotos paskyros: kur jas galima naudoti ir kaip jas dar labiau apsaugoti

Dar vienas svarbus gabalas yra Apriboti kompiuterius, iš kurių galima naudoti domeno paskyras su didelėmis teisėmisDomeno administratorius niekada neturėtų prisijungti prie paprasto vartotojo kompiuterio, kad ir kaip skubėtų.

Kai kurios labai veiksmingos priemonės yra šios:

  • Leisti domeno administratoriams interaktyvius prisijungimus tik domeno valdikliuose ir dedikuotose valdymo darbo vietoseniekada nepatikimoje vartotojo įrangoje ar serveriuose.
  • Uždrausti naudoti administratoriaus paskyras kaip paslaugą arba paketinėms užduotimsnebent su jais būtų elgiamasi itin atsargiai.
  • Išjungti privilegijuotų paskyrų delegavimą, pažymėdami jas kaip „Paskyra yra svarbi ir negali būti deleguota“, taip užkertant kelią apsimetinėjimui per patikimus serverius, skirtus delegavimui.

Norint dar labiau pakelti lygį, labai rekomenduojama reikalauti, kad Administratoriaus prisijungimai naudoja išmaniąsias korteles (Stipri dviejų veiksnių autentifikacija). Tai apsaugo nuo daugelio problemų, kylančių dėl bendrinamų, pavogtų ar klavišų paspaudimų registratorių užfiksuotų slaptažodžių, ir užtikrina, kad asmuo, fiziškai prisijungiantis, turėtų kortelę ir PIN kodą.

Ypač jautriose paskyrose (pavyzdžiui, organizacijos administratorių narių) galima Kontroliuojamai bendrinkite paskyrą tarp dviejų žmoniųVienas asmuo laiko išmaniąją kortelę, o kitas – PIN kodą, todėl norint ja naudotis, reikia, kad abu būtų šalia. Tai nėra tobula individualios atskaitomybės požiūriu, tačiau suteikia gana tvirtą fizinės kontrolės ir priežiūros sluoksnį.

PsLoggedOn Windows
Susijęs straipsnis:
Vartotojo veiklos peržiūros naudojant „PsLoggedOn“ vadovas

Visa ši priemonių sistema – gerai sukonfigūruota LAPS, griežta, bet pagrįsta slaptažodžių politika, minimalių privilegijų sistema, auditavimas ir stiprus autentifikavimas naudojant išmaniąsias korteles – leidžia Vietinės ir administratoriaus paskyros sistemoje „Windows 11“ turėtų būti kontroliuojamas įrankis, o ne užtaisytas ginklas, nukreiptas į jūsų pačių tinklą.padeda palaikyti saugumą, atsekamumą ir reagavimą netrikdant kasdienio vartotojų gyvenimo ir nevaržant jūsų nuobodulio dėl incidentų valdymo. Pasidalinkite informacija ir kiti vartotojai sužinos apie temą.