Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля

Цель: сокращение поверхности атаки.

Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).

Инструкция к регулярной задаче
1. Выполнить команду PowerShell:
Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires | ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "*OU=Работники*")} | Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} | Sort-Object -Property Name | Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8
Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей
Или вывод сразу в интерфейс:
| Out-GridView
2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется.
Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по проведению ручного контроля;
  • В отчете об выполнении задачи приводить краткие результаты контроля;
Область действия: Вся организация
Классификация
Тип
Организационная ?
Корректирующая ?
Реализация
Вручную
Периодичность
Ежемесячно
Ответственный
Не определено
Инструменты
Не определено

Цепочка мер

Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля
Предшествующие меры
Этап -1
1 Использование Active Directory для учета, идентификации, аутентификации, авторизации пользователей

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Низкая
Низкая
Неизвестно
Неизвестно
4 - Низкая

OPEX

?
Отсутствует
Низкая
Низкая
Неизвестно
Неизвестно

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.