IT (vovney) wrote in ru_sysadmins,
IT
vovney
ru_sysadmins

Categories:

Пятница, значит время инфобеза: граблей и выстрелов в ногу пост

(без названия)

Давно хотел разобрать статейку с хабра: https://habrahabr.ru/post/306066/
Но там как-то скучно и перечислены административные элементарные вещи, поэтому лучше сделаем так:
ПЕРЕЧИСЛИМ ТИПИЧНЫЕ ОШИБКИ ПОСТРОЕНИЯ ИНФРАСТРУКТУРЫ с точки зрения базовой безопасности.

1. Галочки неистекающего пароля на сервисных и служебных учетках. Не надо так делать. Для первых используйте MSA
Для вторых используйте сложнейшие пароли, неизвлекаемые из хешей. Да, я в курсе про PtH, но хотя бы так.
2. Одинаковые (да ещё и не сложные) пароли на обычные, wa-, sa-, da-, sql-, exch- и прочие учетки. Это вообще пиздец.
3. Отсутствие ежедневного мониторинга событий AD, событий доступа к почтовым ящикам через служебные учетки, событий логонов служебных учеток на серверах.
4. Отсутствие распределения доступов к инфраструктуре хотя бы приближенно к RBAC модели, т.е. доступы ТОЛЬКО через группы безопасности.
5. Отсутствие ежедневного мониторинга логинов через VPN сервисы, с указанием удаленных IP адресов и прочего.
6. Сами VPN сервисы БЕЗ 2AF (PKI, токены, смс, что угодно). Если ваш VPN требует только login/password (AD, etc.) - считайте, что гости в вашей сети уже не просто поселились, а получили гражданство.
7. Full access сетевые доступы ко всей внутренней сети при успешном заходе в VPN. Это вообще прелесть. Не надо так.
8. Дефолтные пароли на оборудовании, в т.ч. сетевом.
9. Использование ОДИНАКОВЫХ паролей для локальных администраторов рабочих станций и серверов. Для рабочих станций или отключайте эти учетки, или ставьте LAPS. Для серверов ну придумайте уже сложный шифр и сделайте по нему РАЗНЫЕ пароли)
10. Отсутствие вменяемого регламента обновления ПО.
11. Отсутствие единой политики настройки файрволов внутри сети. Должно быть из серии "разрешено только то, что нужно для работы".

Ваши варианты в комменты.

Tags: windows
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 44 comments