Карточка риска

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Угроза

Раскрытие ключей (паролей) доступа

из-за уязвимости

Наличие учетных записей с неограниченным сроком действия пароля

в Активе

Доменные службы Active Directory

Описание уязвимости

Периодическое истечение срока действия пароля защищает от того, что пароль (или хеш) может быть украден в течение его срока действия и будет использоваться нарушителем.
Современные исследования ставят под сомнение ценность регулярной смены паролей. Позиция Microsoft

Описание типа актива

Cлужбы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.
Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.

Объекты атаки Парольная информация | Пароль

Классификация

КЦД: Конфиденциальность

STRIDE: Подмена пользователя Раскрытие информации Повышение привилегий

Источники угрозы

Внешний нарушитель - Низкий потенциал

Внутренний нарушитель - Низкий потенциал

Каталоги угроз

Связанные защитные меры

	Название	Дата	Влияние
Community 1 1 / 19	Обнаружение учетных записей Active Directory с неограниченным сроком действия пароля Ежемесячно Вручную Организационная Корректирующая 18.05.2020	06.05.2021	1 1 / 19
Цель: сокращение поверхности атаки. Необходимо периодически проводить аудит учетных записей с неограниченным сроком действия паролей и отключать данную опцию там, где она не требуется. В некоторых ситуациях (например, для служебных учетных записей) установка неограниченного срока действия пароля для учетных записей является необходимой. Часто неограниченный срок пароля устанавливается по ошибке или в нарушение процедур (например, сотрудниками тех.поддержки себе или пользователям). Инструкция к регулярной задаче 1. Выполнить команду PowerShell: Get-ADUser -Filter * -Properties CanonicalName,Enabled,PasswordNeverExpires \| ? {$_.Enabled -and $_.PasswordNeverExpires -and ($_.DistinguishedName -like "OU=Работники")} \| Select-Object -Property SamAccountName,Name,@{Label='OU'; Expression={($_.CanonicalName.Replace("/$($_.Name)", '').Replace('domain.local/Работники/', '')) -split '/' -join ' / '}} \| Sort-Object -Property Name \| Export-Csv -LiteralPath C:\temp\PasswordNeverExpires.csv -UseCulture -NoTypeInformation -Encoding UTF8 Где domain.local - имя корпоративного домена а Работники - юнит в котором находятся учетные записи пользователей Или вывод сразу в интерфейс: `\| Out-GridView` 2. Провести анализ списка пользователей с неограниченным сроком пароля и вручную отключить опцию Срок действия пароля неограничен в оснастке Пользователи и компьютеры Active Directory для тех, кому эта опция не требуется. Предварительно согласовать изменения с пользователем или тех.поддержкой т.к. если на момент отключения опции пароль просрочен - пользователь не сможет войти в систему. *Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи по проведению ручного контроля; В отчете об выполнении задачи приводить краткие результаты контроля;