Содержание статьи
Можно по‑разному относиться к продукции и сервисам корпорации Microsoft, но нельзя не признать, что она предлагает большой ассортимент инструментов для обеспечения информационной безопасности как своих собственных программ, так и продуктов, создаваемых на их базе. В первую очередь стоит отметить значительное количество встроенных механизмов защиты информации в операционных системах и корпоративных продуктах, за которые ты (точнее, твой работодатель) уже заплатил, но на практике мало используешь.
Мы привыкли строить информационную защиту с использованием «внешних» средств. Сотни и тысячи компаний и стартапов специализируются именно на таких технических решениях и проектах. При этом мы забываем (на мой взгляд, абсолютно незаслуженно) об инструментах и механизмах защиты информации, которые встроены в общесистемное и прикладное ПО, а также о его небезопасных дефолтных конфигурациях. Ошибки в настройке таких приложений «не перекроют» никакие, даже самые продвинутые средства.
В этой статье я хочу систематизировать и приоритизировать инструменты и механизмы защиты информации для in-house корпоративных IT-инфраструктур, построенных на продуктах корпорации Microsoft в соответствии с моделью Cyber Kill Chain. При расстановке приоритетов я сделаю акцент на разрушении цепочки атаки на максимально ранней стадии.
Для начала зафиксируем условную типовую корпоративную IT-инфраструктуру:
- локальная Active Directory Domain Services;
- серверные операционные системы: Windows Servers 2016 и выше;
- клиентские операционные системы: Windows 10;
- клиентский веб‑браузер: Microsoft Edge;
- почтовые серверы: Exchange Server 2016 и выше.
Ты наверняка сталкивался с такими IT-инфраструктурами, поскольку в нашей стране их достаточно много. Своевременный харденинг в таких инфраструктурах, которому уже уделялось внимание в других публикациях на «Хакере», сейчас не фоновая задача, а одна из первоочередных. В том числе принимая во внимание, что с рынка ушли некоторые средства защиты информации.
Рассматриваемые инструменты и механизмы информационной безопасности я разделю на две группы. Первая группа — это условно «пассивные» (детектирующие) инструменты, которые могут обнаружить подозрительную активность или инцидент и уведомить о них пользователя. Вторая — условно «активные» (реагирующие) инструменты, которые могут предотвратить конкретные действия (например, запретить или заблокировать их). Они в состоянии сократить площадь атаки, могут скорректировать действия субъекта доступа или сам объект доступа (к примеру, изолировать или переместить его) либо компенсировать конкретные действия — усложнить условия доступа, затребовать дополнительные подтверждающие действия и так далее. Такое деление позволит избежать иллюзии того, что просто ведение журналов регистрации событий (включение тобой аудита) физически или логически может помешать атакующему выполнить активное несанкционированное действие.
Результаты сопоставления и приоритизации инструментов по шагам Cyber Kill Chain
Разведка (Reconnaissance)
- Цель атакующего: собрать информацию о целях атаки
- Цель защищающегося: сократить пространство для разведки и площадь для атаки
Направлениями разведки в первую очередь становятся люди (работники, подрядчики, клиенты) и IT-инфраструктуры, относящиеся к цели атаки. Исходными данными зачастую выступает только название организации, отдельно взятый веб‑сайт, конкретная система. Атакующему доступны разные методы сбора информации: от общедоступных источников и социальной инженерии до использования специальных сервисов и инструментов.
«Пассивные» инструменты
- Включить аудит Microsoft Defender Firewall (pfirewall.log). Это необходимо сделать в связи с тем, что по умолчанию аудит Microsoft Defender Firewall отключен.
«Активные» инструменты
- Использовать брандмауэр в Microsoft Defender. Отключить (блокировать) все неиспользуемые порты и входящие соединения, чтобы сократить площадь атаки и пространство для сетевой разведки.
- Ограничить разрешения для веб‑сайтов в Microsoft Edge в части сбора данных о расположении пользователя. Включить «Запрос перед доступом» (Ask before accessing), чтобы уменьшить вероятность раскрытия данных атакующему в ходе разведки.
- Ограничить удаленные вызовы к Security Account Manager (SAM). Сократить возможности энумерации пользователей и групп в локальной базе SAM и Active Directory в ходе разведки. По умолчанию параметр «Сетевой доступ: ограничить доступ клиентов, которым разрешены удаленные вызовы SAM» (Network access: Restrict clients allowed to make remote calls to SAM) настроен следующим образом: для более старых операционных систем проверка доступа не выполняется, для более новых предоставляется доступ только членам встроенной группы «Администраторы» (BUILTIN\Administrators).
- Ограничить пользователям, прошедшим проверку, использование NetSessionEnum. Сократить возможности энумерации сессий для определения узлов, где пользовательские и сервисные учетные записи были залогинены. Это необходимо потому, что по умолчанию прошедшим проверку (Authenticated Users) пользователям разрешено применять метод NetSessionEnum.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее