Серверы и рабочие станции домена
экран 1. Использование утилиты SU.
Регулярный мониторинг параметров системы безопасности серверов и рабочих станций домена, на которых работают сотрудники, имеющие доступ к критически важным ресурсам, - важнейший аспект защиты домена, поскольку эти системы также могут стать мишенью для тех, кто хочет завладеть правами администратора. Каждый такой сервер и рабочая станция хранят локальную копию базы учетных данных, которая служит для назначения пользователям локальных прав и определения их принадлежности к той или иной локальной группе. Многие дополнительные привилегии пользователей, например Act as part of the operating system, а также привилегии, относящиеся к управлению маркерами доступа, позволяют злоумышленнику захватить управление системой и получить доступ к административным привилегиям. Встроенные локальные группы Administrators и Power Users также имеют в системе особые привилегии.
И, наконец, важно убедиться в том, что за развертывание рабочих станций отвечают достаточно компетентные сотрудники. Эту задачу зачастую выполняют либо начинающие, либо контрактники, а поскольку именно они устанавливают операционную систему, они выбирают и пароль для встроенных административных учетных записей. Многие пользователи не подозревают о существовании встроенной учетной записи Administrator, а большинство администраторов забывают об этом, как только рабочая станция установлена. По умолчанию на рабочей станции NT активизируется служба Server, и станция может функционировать как файловый сервер. Должны ли посторонние специалисты или младший технический персонал иметь возможность доступа с правами администратора к рабочей станции после того, как она передана в распоряжение того или иного пользователя? Скорее всего, нет, но часто это происходит именно так - все зависит от методики развертывания рабочих мест, принятой в организации. Допустим, младший IT-специалист, проработавший в компании всего лишь несколько месяцев, имеет доступ к рабочей станции вице-президента по маркетингу или вице-президента по персоналу.
Именно такую картину я нередко наблюдал в организациях, куда меня приглашали для анализа системы защиты. Подобные рабочие станции - настоящий клад для злоумышленника, поскольку на локальных дисках приложения кэшируют временные файлы, а пользователи хранят конфиденциальную информацию, несмотря на требования поступать наоборот. Не стоит облегчать взломщикам жизнь, позволяя им с легкостью проникнуть в систему. Советую сбросить пароль учетной записи Administrator на серверах и рабочих станциях домена и рассмотреть возможность отключения службы Server.
Возможно, многие системные администраторы скептически отнесутся к моим советам. Полагаю, некоторые даже будут утверждать, что я пропагандирую безопасность ценой ограничения возможностей. Но тем не менее привилегии администратора - главная мишень всех взломщиков, а постоянный рост числа попыток несанкционированного доступа призывает нас к бдительности. Ведь самое неприятное, что может случиться с администратором, - это обнаружить, что злоумышленник проник в систему по его собственной учетной записи.
