Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание уязвимости

Периодическое истечение срока действия пароля защищает от того, что пароль (или хеш) может быть украден в течение его срока действия и будет использоваться нарушителем.
Современные исследования ставят под сомнение ценность регулярной смены паролей. Позиция Microsoft

Описание типа актива

Cлужбы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. 
Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Подмена пользователя ? Подмена пользователя / Спуфинг / Spoofing of user identity Незаконный доступ к идентификационным и аутентификационным данным пользователя и их использование. За... Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос... Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Связанные защитные меры

Название Дата Влияние
Community
1 1 / 21
Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля
Ежемесячно Вручную Организационная Корректирующая
18.05.2020
06.05.2021 1 1 / 21
Цель: сокращение поверхности атаки.

Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется.
В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям).

Инструкция к регулярной задаче
1. Выполнить команду PowerShell:
Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires | ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "*OU=Работники*")} | Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} | Sort-Object -Property Name | Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8
Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей
Или вывод сразу в интерфейс:
| Out-GridView
2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется.
Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по проведению ручного контроля;
  • В отчете об выполнении задачи приводить краткие результаты контроля;