ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ОБЛІКОВИХ ЗАПИСІВ КОРПОРАТИВНИХ КОРИСТУВАЧІВ

Іван Тишик

doi:10.28925/2663-4023.2023.22.214225

Автор(и)

Іван Тишик Національний Університет «Львівська Політехніка» https://orcid.org/0000-0003-1465-5342

DOI:

https://doi.org/10.28925/2663-4023.2023.22.214225

Ключові слова:

мережева операційна система, облікові дані користувачів, контролер домену, права доступу користувачів, служба каталогів, сервер, корпоративна інформація

Анотація

Потреба в захисті облікових даних користувачів мережевих операційних систем є незаперечною на сьогодення, оскільки їх несанкціонована зміна в системі може звести нанівець роботу програмно-апаратних засобів захисту корпоративної інформації. Права доступу користувачам до інформаційних ресурсів корпорації встановлюються згідно розробленої політики інформаційної безпеки організації для збереження конфіденційності, цілісності та доступності корпоративної інформації. З огляду на це, в роботі розглядаються правила створення облікових даних користувачів корпоративної мережі та досліджуються способи забезпечення їх безпеки на основі мережевих операційних систем Windows. Визначено базовий список правил щодо створення, призначення та використання облікових даних, а саме: встановлення максимального обмеження адміністративних привілеїв для користувачів з привілеями адміністратора, надання користувачам та групам підтримки лише тих прав, які необхідні для виконання ними повсякденних завдань, використання облікових записів адміністраторів домену організації лише для керування контролерами домену. Організовано інсталяційний файл, який містить у собі комплекс найбільш поширених утиліт для адміністрування Active Directory (AD). Основою цього комплексу є утиліти: Account Lockout Examiner, Netwrix Auditor, SolarWinds Permissions Analyzer, Active Directory Health Profiler і Semperis DS Protector. Проведене моделювання щодо діагностики AD на предмет його захищеності показує, що використання зібраних утиліт в одному інсталяційному файлі значно спрощує процес моніторингу стану захищеності AD та проведення діагностики встановлених прав доступу користувачів. Встановлено, що найвищий рівень захищеності облікових записів привілейованих користувачів та системних адміністраторів засобами Active Directory досягається починаючи з Windows Server 2012 R2, оскільки ця ОС і пізніші версії володіють функціоналом захищеної групи користувачів, що дає змогу отримати додатковий захист проти компрометації їх облікових даних при виконанні процедури перевірки автентичності.

Завантаження

Дані завантаження ще не доступні.

Посилання

S. Reimer, M. Malker Active Directory for Windows Server 2003. Administrator's Guide/Per, with English, 2004.

Джон Мак-Кейб (John McCabe) and Windows Server16 staff. Microsoft Corporation, 2016.

Microsoft Windows Server 2019: Secure Vulnerabilities [Electronic resource]. – 2019. – Access mode: https://www.cvedetails.com/product/50662/Microsoft-Windows-Server-2019.html?vendor_id=26.

Symantec Internet Security Threat Report Volume 2015 [Electronic resource]. – 2015. – Access mode: https://www.slideshare.net/WaqasAmir/symantec-internetsecuritythreatreportvolume 2015social-v2.

Dosal E. How to Find Security Vulnerabilities [Electronic resource] / Eric Dosal – Access mode: https://www.compuquip.com/blog/how-to-find-security-vulnerabilities.

Robert W. Beggs. (2014). Mastering Kali Linux for Advanced Penetration Testing. Published by Packt Publishing Ltd., p. 356. ISBN 978-1-78216-312-1

Mimikatz DCSync Usage, Exploitation, and Detection [Electronic resource] - Access mode: https://adsecurity.org/?p=1729.

Sneaky Active Directory Persistence Tricks [Електронний ресурс] – Режим доступу до ресурсу: https://adsecurity.org/?p=1929.

AD account password policy [Electronic resource] – Access mode: https://mobiz.com.ua/polityka-paroliv-oblikovykh-zapysiv-v-active-directory.html.

Finding Passwords in SYSVOL & Exploiting Group Policy Preferences. [Electronic resource] - Access mode: https://adsecurity.org/?p=2288.

Cracking Kerberos TGS Tickets Using Kerberoast ~ Exploiting Kerberos to Compromisethe Active Directory Domain – [Electronic resource] - Access mode: https://adsecurity.org/?p=2293.

Detecting Kerberoasting Activity [Electronic resource] - Access mode: https://adsecurity.org/2p=3458.

Accidental Sabotage: Beware of CredSSP [Electronic resource] - Access mode: https://www.powershellmagazine.com/2014/03/06/accidental-sabotage-beware-of-credssp/.