Безопасность паролей под контролем
Управление локальными паролями системного администратора на пользовательских рабочих станциях в домене Windows - серьезная задача, с которой сталкиваются ИТ-специалисты в любой организации. Использовать один общий администраторский пароль, установленный с помощью групповых политик для всех компьютеров - крайне опрометчивый шаг, который влечет за собой множество потенциальных проблем в области информационной безопасности. Во-первых, при увольнении системного администратора сразу же необходимо сменить этот пароль. Во-вторых, если пароль будет дискредитирован, и его узнает один или несколько пользователей, они смогут беспрепятственно устанавливать на свои ПК любой софт, нарушающий политики безопасности, и, соответственно, делающий корпоративную сеть уязвимой для любых атак. В-третьих, у всех свежи в памяти эпидемии вирусов-шифровальщиков, охватившие множество стран. Организации, сети и файлы которых оказались жертвами таких шифровальщиков, понесли огромные убытки и потратили немало средств на излечение и разблокировку. Даже такую ситуацию, когда на каждом компьютере будет установлен свой собственный пароль системного администратора, который не будет меняться в течение месяцев и даже лет, никак нельзя назвать безопасным подходом. Пароль может быть дискредитирован, а даже одна зараженная машина представляет собой риск для всего домена.
В большинстве компаний используется единый для всех ПК пароль системного администратора, известный только сотрудникам отдела системного администрирования и группы технической поддержки. Простые пользователи, работающие вне офиса, при необходимости наделялись в домене администраторскими правами, действующими только на их компьютере. Прогремевшие на весь мир в 2016-2017 годы эпидемии вирусов-шифровальщиков, как рассказал Антон Ефремов, системный администратор компании “ИМС”, послужили решающим фактором, побудившим коренным образом изменить подход к управлению и хранению пользовательских паролей. В результате ИМС сделал предложение о внедрении решения по управлению паролями всем своим заказчикам использующим услугу "Комплексное обслуживание компаний".
В качестве инструмента для решения этой задачи было выбрано приложение LAPS (Local Administrator Password Solution) изначально называлось AdmPwd. Решение изначально было разработано сотрудниками Microsoft в качестве частного проекта, но затем принято корпорацией в качестве официального продукта с полагающейся по праву технической поддержкой. При этом лицензия LAPS совершенно бесплатна, в том числе и для коммерческого использования.
LAPS позволяет централизованно управлять паролями на всех компьютерах домена, при этом вся информация о паролях и датах их смены сохраняется в объектах типа Computer в Active Directory. Архитектура LAPS состоит из двух ключевых компонентов: управляющего модуля, представляющего собой набор инструментов для настройки и конфигурирования, который устанавливается на ПК системного администратора, и агентской части, которая через Объект Групповой Политики (GPO) разворачивается на каждой машине, которую требуется защитить сменяемым паролем. Агент генерирует уникальный пароль локального администратора (SID – 500) на каждом компьютере домена. Пароль меняется с периодичностью, которую можно задать.
В среднем развертывание проекта в инфраструктуре заказчика занимает одну неделю, за которую специалисты “ИМС”:
-
Развертывают агентские утилиты LAPS на пилотную группу компьютеров.
-
Настраивается периодичность смены паролей и их сложность, а также права для просмотра паролей в Active Directory.
-
Настраиваются и проверяются инструменты доступа к паролям для инженеров
-
Масштабируют тестовое решение на весь парк ПК Заказчика
С одной стороны, трудоемкость работы системных администраторов и специалистов техподдержки немного возросла, поскольку эпоха одного пароля для всех ПК “на все времена и случаи жизни” прошла. С другой стороны, благодаря грамотной организации управления пользовательскими паролями, безопасность корпоративной сети наших заказчиков возросла, а вместе с этим повысился общий уровень информационной защиты.