Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Цель: сокращение поверхности атаки.
Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).
Инструкция к регулярной задаче
1. Выполнить команду PowerShell:
Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).
Инструкция к регулярной задаче
1. Выполнить команду PowerShell:
Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires | ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "*OU=Работники*")} | Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} | Sort-Object -Property Name | Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8
Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей
Или вывод сразу в интерфейс:
| Out-GridView
2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется.
Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему.
Рекомендации к заполнению карточки:
- Создать шаблон регулярной задачи по проведению ручного контроля;
- В отчете об выполнении задачи приводить краткие результаты контроля;
Область действия: Вся организация
Классификация
Тип
Организационная
?
Корректирующая
?
Реализация
Вручную
Периодичность
Ежемесячно
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
SWIFT Customer Security Controls Framework v2022:
1 - 1.2 Operating System Account Control
1.2 Operating System Privileged Account Control
Связанные риски
Риск | Угроза | Уязвимость | Тип актива | Связи | |
---|---|---|---|---|---|
Раскрытие ключей (паролей) доступа
из-за
наличия учетных записей с неограниченным сроком действия пароля
в доменных службах Active Directory
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
Раскрытие ключей (паролей) доступа
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
Наличие учетных записей с неограниченным сроком действия пароля | 1 |