Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля

Цель: сокращение поверхности атаки.

Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).

Инструкция к регулярной задаче
1. Выполнить команду PowerShell:
Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires | ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "*OU=Работники*")} | Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} | Sort-Object -Property Name | Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8
Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей
Или вывод сразу в интерфейс:
| Out-GridView
2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется.
Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по проведению ручного контроля;
  • В отчете об выполнении задачи приводить краткие результаты контроля;
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Корректирующая ? Корректирующие меры Направлены на возвращение системы в нормальное состояние после инцидента безопасности.
Реализация
Вручную
Периодичность
Ежемесячно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

SWIFT Customer Security Controls Framework v2022:
1 - 1.2 Operating System Account Control
1.2 Operating System Privileged Account Control