ІТ-фахівцям потрібні права локального адміністратора на корпоративних пристроях, щоб встановлювати програмне забезпечення, змінювати налаштування конфігурації, виправляти помилки тощо. Але дуже часто бізнес-користувачі також отримують права локального адміністратора на своїх комп’ютерах.
Хоча надання користувачам таких прав може бути зручним, воно створює серйозні прогалини в безпеці. Перш за все, самі користувачі можуть навмисно встановлювати несанкціоновані програми або змінювати налаштування для оптимізації своєї роботи без достатнього розуміння ризиків для безпеки, які вони можуть створювати. Крім того, будь-який користувач може стати об’єктом атаки соціальної інженерії – наприклад, відкрити шкідливе вкладення або перейти за шкідливим посиланням у фішинговому електронному листі. Але якщо користувач має права локального адміністратора, він може ненавмисно встановити шкідливе програмне забезпечення, яке потенційно може захопити або використати ці права для крадіжки даних або заподіяння іншої шкоди.
Відповідно, найкращою практикою є видалення прав локального адміністратора у бізнес-користувачів на кожному комп’ютері. Ось 4 кроки, які потрібно зробити, щоб впровадити цю базову практику безпеки.
Крок 1: З’ясувати, хто має права локального адміністратора.
Першим кроком є визначення всіх користувачів, які мають права локального адміністратора на кожному сервері та комп’ютері. У системі Windows користувачі отримують права локального адміністратора через членство в групі Local Administrators одним із наступних способів:
- Пряме членство у групі: обліковий запис користувача вказано як члена групи.
- Непряме (вкладене) членство у групі: обліковий запис користувача є членом іншої групи, а ця група є членом групи Local Administrators.
Загалом, бажано уникати вкладеного членства у привілейованих групах, оскільки це ускладнює визначення того, хто саме має привілейовані права доступу.
На жаль, не існує вбудованих інструментів, які можуть надати повний список локальних адміністраторів на кожній системі в ІТ-інфраструктурі. Однак сторонні рішення, такі як Netwrix Privilege Secure, можуть надати повну інформацію про склад кожної з привілейованих груп, включаючи групи локальних адміністраторів на серверах і робочих станціях Windows. Крім того, Netwrix Privilege Secure буде проводити аудит всіх змін у привілейованих групах і попереджати про підозрілу активність.
Крок 2: Доручити власникам груп переглянути та засвідчити членство в групі.
Наступним кроком буде визначення власника кожної локальної групи адміністраторів. Це може бути складним завданням, тому варто розглянути можливість використання рішення, яке може автоматично визначати ймовірних власників груп.
Потім власник кожної групи повинен ретельно переглянути її склад, щоб видалити права доступу локальних адміністраторів, які не потрібні для зменшення площі поверхні атаки організації. Цей процес перегляду та атестації слід повторювати на регулярній основі.
Крок 3. Переконатися, що кожен обліковий запис локального адміністратора має унікальний пароль.
У багатьох організаціях стандартний обліковий запис локального адміністратора на кожному пристрої Windows має однакові ім’я користувача та пароль. Таким чином, зловмисник, який отримує ці облікові дані лише на одному комп’ютері, має адміністративний доступ до кожного комп’ютера, тому він може вільно переміщатися в межах домену.
Корпорація Microsoft пропонує рішення Windows Local Access Password Solution (LAPS), яке допоможе розібратися з цією проблемою. LAPS гарантує, що кожен комп’ютер у домені має унікальний пароль для облікового запису локального адміністратора, а також автоматично змінюватиме пароль локального адміністратора через заданий інтервал часу. LAPS можна розгорнути за допомогою групової політики або Intune.
Крок 4: Надати користувачам та адміністраторам можливість безпечно виконувати необхідні завдання.
Принцип найменших привілеїв є наріжним каменем безпеки. Він полягає в тому, що кожен користувач повинен мати лише ті привілеї, які необхідні йому для виконання своєї роботи. Обмеження прав локальних адміністраторів є важливим кроком у реалізації принципу найменших привілеїв, але й адміністраторам, і бізнес-користувачам іноді потрібно виконувати завдання, які потребують цих прав.
За допомогою вбудованих функцій Windows можна дозволити адміністраторам входити на комп’ютер з непривілейованим обліковим записом, а потім використовувати опцію «запуск від імені адміністратора» для виконання будь-яких завдань, що вимагають підвищених прав. Однак такий підхід все одно вимагає постійних облікових записів адміністратора. Зрозуміло, що вони можуть бути використані не за призначенням їхніми власниками та скомпрометовані зловмисниками. Хорошою альтернативою є використання спеціального рішення для управління привілейованим доступом (PAM). Таке рішення має заміняти постійні привілейовані облікові записи на облікові записи на вимогу, які мають доступ, достатній для виконання поточного завдання. До того ж вони мають автоматично видалятися після його виконання. В результаті майже не лишиться постійних адміністративних облікових записів, про які потрібно турбуватися.
Щоб дозволити бізнес-користувачам обходити UAC-запити та запускати необхідні їм програми без надання прав локального адміністратора, варто розглянути використання Netwrix Endpoint Policy Manager. Це потужне рішення також може запобігти завантаженню або встановленню програм-вимагачів та інших небажаних виконуваних файлів.
Висновок
Суворий контроль привілейованого доступу є життєво важливим для уникнення витоків, які дорого обійдуться компанії, простоїв і штрафів за порушення нормативних вимог. За допомогою правильних інструментів з’являється можливість забрати права локального адміністратора у бізнес-користувачів, не впливаючи на їхню здатність виконувати свою роботу, що зменшить площу для атак.
