В этой публикации содержится руководство по ограничению использования административных привилегий. Ограничение использования административных привилегий - одна из восьми основных стратегий смягчения последствий из Стратегий смягчения инцидентов кибербезопасности.
В этом документе содержится руководство по эффективному ограничению административных привилегий.
Злоумышленники часто используют вредоносный код (также известный как вредоносное ПО) для эксплуатации уязвимостей безопасности на рабочих станциях и серверах. Ограничение административных привилегий усложняет злоумышленнику возможность повысить свои привилегии, распространиться на другие хосты, скрыть свое существование, сохраниться после перезагрузки, получить конфиденциальную информацию или противодействовать усилиям по удалению.
Среда, в которой ограничены административные привилегии, более стабильна, предсказуема и проста в администрировании и поддержке, поскольку меньшее количество пользователей может вносить значительные изменения в свою операционную среду, намеренно или непреднамеренно.
Введение
Ограничение административных привилегий - одна из наиболее эффективных стратегий смягчения последствий в обеспечении безопасности систем. Таким образом, ограничение административных привилегий является частью основной восьмерки из стратегий смягчения инцидентов кибербезопасности.В этом документе содержится руководство по эффективному ограничению административных привилегий.
Почему следует ограничивать административные привилегии
Пользователи с правами администратора для операционных систем и приложений могут вносить значительные изменения в свою конфигурацию и работу, обходить критически важные настройки безопасности и получать доступ к конфиденциальной информации. Администраторы домена имеют аналогичные возможности для всего сетевого домена, который обычно включает в себя все рабочие станции и серверы в сети.Злоумышленники часто используют вредоносный код (также известный как вредоносное ПО) для эксплуатации уязвимостей безопасности на рабочих станциях и серверах. Ограничение административных привилегий усложняет злоумышленнику возможность повысить свои привилегии, распространиться на другие хосты, скрыть свое существование, сохраниться после перезагрузки, получить конфиденциальную информацию или противодействовать усилиям по удалению.
Среда, в которой ограничены административные привилегии, более стабильна, предсказуема и проста в администрировании и поддержке, поскольку меньшее количество пользователей может вносить значительные изменения в свою операционную среду, намеренно или непреднамеренно.
Подходы, не ограничивающие административные привилегии
Существует ряд подходов, которые, хотя может показаться, что они предоставляют многие из преимуществ ограничения административных привилегий, не соответствуют цели этой стратегии смягчения последствий, а в некоторых случаях могут фактически увеличить риск для сети организации. Эти подходы включают:- минимизировать общее количество привилегированных учетных записей
- реализация общих привилегированных учетных записей без атрибуции
- временное предоставление административных привилегий учетным записям пользователей
- размещение стандартных учетных записей пользователей в группах пользователей с административными привилегиями.
Как ограничить административные привилегии
Правильный подход к ограничению административных привилегий:- определить задачи, для выполнения которых требуются административные привилегии
- подтвердить, какие сотрудники необходимы и уполномочены выполнять эти задачи в рамках своих обязанностей
- создавать отдельные связанные учетные записи для сотрудников с административными привилегиями, гарантируя, что их учетные записи будут иметь наименьшее количество привилегий, необходимых для выполнения своих обязанностей
- повторно проверять требования сотрудников иметь привилегированную учетную запись на частой и регулярной основе или когда они меняют обязанности, покидают организацию или участвуют в инциденте кибербезопасности.
- технические средства контроля не позволяют привилегированным учетным записям выполнять рискованные действия, такие как чтение электронной почты и открытие вложений или просмотр веб-страниц
- Системное администрирование осуществляется безопасным способом путем выполнения рекомендаций из публикации «Безопасное администрирование».