close
Сервис Деск
Удобный заказ наших услуг

menu
+7 (812) 424-48-02
close
Назад

Безопасность паролей под контролем

13 Августа

Управление локальными паролями системного администратора на пользовательских рабочих станциях в домене Windows - серьезная задача, с которой сталкиваются ИТ-специалисты в любой организации. Использовать один общий администраторский пароль, установленный с помощью групповых политик для всех компьютеров - крайне опрометчивый шаг, который влечет за собой множество потенциальных проблем в области информационной безопасности. Во-первых, при увольнении системного администратора сразу же необходимо сменить этот пароль. Во-вторых, если пароль будет дискредитирован, и его узнает один или несколько пользователей, они смогут беспрепятственно устанавливать на свои ПК любой софт, нарушающий политики безопасности, и, соответственно, делающий корпоративную сеть уязвимой для любых атак. В-третьих, у всех свежи в памяти эпидемии вирусов-шифровальщиков, охватившие множество стран. Организации, сети и файлы которых оказались жертвами таких шифровальщиков, понесли огромные убытки и потратили немало средств на излечение и разблокировку. Даже такую ситуацию, когда на каждом компьютере будет установлен свой собственный пароль системного администратора, который не будет меняться в течение месяцев и даже лет, никак нельзя назвать безопасным подходом. Пароль может быть дискредитирован, а даже одна зараженная машина представляет собой риск для всего домена.

В большинстве компаний используется единый для всех ПК пароль системного администратора, известный только сотрудникам отдела системного администрирования и группы технической поддержки. Простые пользователи, работающие вне офиса, при необходимости наделялись в домене администраторскими правами, действующими только на их компьютере. Прогремевшие на весь мир в 2016-2017 годы эпидемии вирусов-шифровальщиков, как рассказал Антон Ефремов, системный администратор компании “ИМС”, послужили решающим фактором, побудившим коренным образом изменить подход к управлению и хранению пользовательских паролей. В результате ИМС сделал предложение о внедрении решения по управлению паролями всем своим заказчикам использующим услугу "Комплексное обслуживание компаний".

В качестве инструмента для решения этой задачи было выбрано приложение LAPS (Local Administrator Password Solution) изначально называлось AdmPwd. Решение изначально было разработано сотрудниками Microsoft в качестве частного проекта, но затем принято корпорацией в качестве официального продукта с полагающейся по праву технической поддержкой. При этом лицензия LAPS совершенно бесплатна, в том числе и для коммерческого использования.

LAPS позволяет централизованно управлять паролями на всех компьютерах домена, при этом вся информация о паролях и датах их смены сохраняется в объектах типа Computer в Active Directory. Архитектура LAPS состоит из двух ключевых компонентов: управляющего модуля, представляющего собой набор инструментов для настройки и конфигурирования, который устанавливается на ПК системного администратора, и агентской части, которая через Объект Групповой Политики (GPO) разворачивается на каждой машине, которую требуется защитить сменяемым паролем. Агент генерирует уникальный пароль локального администратора (SID – 500) на каждом компьютере домена. Пароль меняется с периодичностью, которую можно задать.

В среднем развертывание проекта в инфраструктуре заказчика занимает одну неделю, за которую специалисты “ИМС”:

  • Развертывают агентские утилиты LAPS на пилотную группу компьютеров.

  • Настраивается периодичность смены паролей и их сложность, а также права для просмотра паролей в Active Directory.

  • Настраиваются и проверяются инструменты доступа к паролям для инженеров

  • Масштабируют тестовое решение на весь парк ПК Заказчика

С одной стороны, трудоемкость работы системных администраторов и специалистов техподдержки немного возросла, поскольку эпоха одного пароля для всех ПК “на все времена и случаи жизни” прошла. С другой стороны, благодаря грамотной организации управления пользовательскими паролями, безопасность корпоративной сети наших заказчиков возросла, а вместе с этим повысился общий уровень информационной защиты.


Наш проект
в портфолио