Ограничение административных привилегий

[Carder]

В этой публикации содержится руководство по ограничению использования административных привилегий. Ограничение использования административных привилегий - одна из восьми основных стратегий смягчения последствий из Стратегий смягчения инцидентов кибербезопасности.

Введение​

Ограничение административных привилегий - одна из наиболее эффективных стратегий смягчения последствий в обеспечении безопасности систем. Таким образом, ограничение административных привилегий является частью основной восьмерки из стратегий смягчения инцидентов кибербезопасности.
В этом документе содержится руководство по эффективному ограничению административных привилегий.

Почему следует ограничивать административные привилегии​

Пользователи с правами администратора для операционных систем и приложений могут вносить значительные изменения в свою конфигурацию и работу, обходить критически важные настройки безопасности и получать доступ к конфиденциальной информации. Администраторы домена имеют аналогичные возможности для всего сетевого домена, который обычно включает в себя все рабочие станции и серверы в сети.
Злоумышленники часто используют вредоносный код (также известный как вредоносное ПО) для эксплуатации уязвимостей безопасности на рабочих станциях и серверах. Ограничение административных привилегий усложняет злоумышленнику возможность повысить свои привилегии, распространиться на другие хосты, скрыть свое существование, сохраниться после перезагрузки, получить конфиденциальную информацию или противодействовать усилиям по удалению.
Среда, в которой ограничены административные привилегии, более стабильна, предсказуема и проста в администрировании и поддержке, поскольку меньшее количество пользователей может вносить значительные изменения в свою операционную среду, намеренно или непреднамеренно.

Подходы, не ограничивающие административные привилегии​

Существует ряд подходов, которые, хотя может показаться, что они предоставляют многие из преимуществ ограничения административных привилегий, не соответствуют цели этой стратегии смягчения последствий, а в некоторых случаях могут фактически увеличить риск для сети организации. Эти подходы включают:

• минимизировать общее количество привилегированных учетных записей
• реализация общих привилегированных учетных записей без атрибуции
• временное предоставление административных привилегий учетным записям пользователей
• размещение стандартных учетных записей пользователей в группах пользователей с административными привилегиями.

Как ограничить административные привилегии​

Правильный подход к ограничению административных привилегий:

• определить задачи, для выполнения которых требуются административные привилегии
• подтвердить, какие сотрудники необходимы и уполномочены выполнять эти задачи в рамках своих обязанностей
• создавать отдельные связанные учетные записи для сотрудников с административными привилегиями, гарантируя, что их учетные записи будут иметь наименьшее количество привилегий, необходимых для выполнения своих обязанностей
• повторно проверять требования сотрудников иметь привилегированную учетную запись на частой и регулярной основе или когда они меняют обязанности, покидают организацию или участвуют в инциденте кибербезопасности.

Чтобы снизить риски использования привилегированных учетных записей, организации должны убедиться, что:

• технические средства контроля не позволяют привилегированным учетным записям выполнять рискованные действия, такие как чтение электронной почты и открытие вложений или просмотр веб-страниц
• Системное администрирование осуществляется безопасным способом путем выполнения рекомендаций из публикации «Безопасное администрирование».