Пятница, значит время инфобеза: граблей и выстрелов в ногу пост

ru_sysadmins — 14.10.2016

Давно хотел разобрать статейку с хабра: https://habrahabr.ru/post/306066/
Но там как-то скучно и перечислены административные элементарные вещи, поэтому лучше сделаем так:
ПЕРЕЧИСЛИМ ТИПИЧНЫЕ ОШИБКИ ПОСТРОЕНИЯ ИНФРАСТРУКТУРЫ с точки зрения базовой безопасности.

1. Галочки неистекающего пароля на сервисных и служебных учетках. Не надо так делать. Для первых используйте MSA
Для вторых используйте сложнейшие пароли, неизвлекаемые из хешей. Да, я в курсе про PtH, но хотя бы так.
2. Одинаковые (да ещё и не сложные) пароли на обычные, wa-, sa-, da-, sql-, exch- и прочие учетки. Это вообще пиздец.
3. Отсутствие ежедневного мониторинга событий AD, событий доступа к почтовым ящикам через служебные учетки, событий логонов служебных учеток на серверах.
4. Отсутствие распределения доступов к инфраструктуре хотя бы приближенно к RBAC модели, т.е. доступы ТОЛЬКО через группы безопасности.
5. Отсутствие ежедневного мониторинга логинов через VPN сервисы, с указанием удаленных IP адресов и прочего.
6. Сами VPN сервисы БЕЗ 2AF (PKI, токены, смс, что угодно). Если ваш VPN требует только login/password (AD, etc.) - считайте, что гости в вашей сети уже не просто поселились, а получили гражданство.
7. Full access сетевые доступы ко всей внутренней сети при успешном заходе в VPN. Это вообще прелесть. Не надо так.
8. Дефолтные пароли на оборудовании, в т.ч. сетевом.
9. Использование ОДИНАКОВЫХ паролей для локальных администраторов рабочих станций и серверов. Для рабочих станций или отключайте эти учетки, или ставьте LAPS. Для серверов ну придумайте уже сложный шифр и сделайте по нему РАЗНЫЕ пароли)
10. Отсутствие вменяемого регламента обновления ПО.
11. Отсутствие единой политики настройки файрволов внутри сети. Должно быть из серии "разрешено только то, что нужно для работы".

Ваши варианты в комменты.

Оставить комментарий

Популярные посты:

• Ранее
• Архив