Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля

Цель: сокращение поверхности атаки.

Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).

Инструкция к регулярной задаче
1. Выполнить команду PowerShell:
Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires | ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "*OU=Работники*")} | Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} | Sort-Object -Property Name | Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8
Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей
Или вывод сразу в интерфейс:
| Out-GridView
2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется.
Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по проведению ручного контроля;
  • В отчете об выполнении задачи приводить краткие результаты контроля;
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Корректирующая ? Корректирующие меры Направлены на возвращение системы в нормальное состояние после инцидента безопасности.
Реализация
Вручную
Периодичность
Ежемесячно
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

SWIFT Customer Security Controls Framework v2022:
1 - 1.2 Operating System Account Control
1.2 Operating System Privileged Account Control