Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля

1 2

Цель: сокращение поверхности атаки.

Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).

Инструкция к регулярной задаче
1. Выполнить команду PowerShell:

Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires | ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "*OU=Работники*")} | Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} | Sort-Object -Property Name | Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8

Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей

Или вывод сразу в интерфейс:

| Out-GridView

2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется.

Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему.

Рекомендации к заполнению карточки:

Создать шаблон регулярной задачи по проведению ручного контроля;
В отчете об выполнении задачи приводить краткие результаты контроля;

Область действия: Вся организация

Классификация

Тип

Организационная

Корректирующая

Реализация

Вручную

Периодичность

Ежемесячно

Ответственный

Не определено

Инструменты

Не определено

Цепочка мер

Использование Active Directory для учета, идентификации, аутентификации, авторизации пользователей

Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля

Предшествующие меры

№	Этап -1
1					Использование Active Directory для учета, идентификации, аутентификации, авторизации пользователей

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	Неизвестно	Неизвестно	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	Неизвестно	Неизвестно	4 - Низкая

Связанные риски

Риск	Связи
Раскрытие ключей (паролей) доступа из-за наличия учетных записей с неограниченным сроком действия пароля в доменных службах Active Directory Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя	1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.