Удаленный административный доступ к Windows


Одна из задач системного администрирования в корпоративной сети – управление доступом. В частности, доступ к компьютерам с правами администратора должен жестко регламентироваться.

Со времен Windows 2000 и Windows XP существует встроенная учетная запись локального администратора, что создаёт массу проблем для контроля доступа: один пароль на сотни или тысячи компьютеров известный множеству людей без возможности его поменять в течение долгих лет – беда! Уже давно рекомендуется переименовывать, либо выключать эту учётную запись и создавать собственную. Это затрудняет осуществление атак с использованием локальных административных учёных записей, но не исключает подобные угрозы.

Не так давно появилось средство для периодической смены пароля учётной записи локального администратора – LAPS. С его помощью можно решить множество проблем, но не все. Например, как быть если есть несколько групп обслуживающего персонала и политика предприятия предписывает иметь каждой группе свою локальную административную учётную запись?

Но вернёмся к угрозам. Понятно, что, имея локальный доступ к компьютеру, злоумышленник может взломать систему безопасности Windows, получить доступ к кэшу пароля локального администратора (или иной административной учётной записи) и использовать его для подключения к другим компьютерам по сети.

Единственный способ запретить удаленное подключение к компьютеру с использованием локальной административной записи это указать SID учётной записи в политике «Deny access to this computer from the network» (и возможно «Deny log on through Remote Desktop Services»). Если таких учётных записей много, то придется перечислить их всех в групповой политике. А это уже человеческий фактор, и есть вероятность, что будут ошибки в конфигурации.

Хорошая новость в том, что, начиная с версии Windows 8.1/2012 R2, реализована новая возможность: можно не перечислять локальные учётные записи, а указать общий для всех них SID. Таких SID два: «все локальные учётные записи» и «все локальные административные учётные записи»:

S-1-5-113: NT AUTHORITY\Local account

S-1-5-114: NT AUTHORITY\Local account and member of Administrators group

Хорошая новость также в том, что эта возможность портирована на Windows 7/8/2008 R2/2012 (KB 2871997).

Надо отметить ещё один простой способ частичной защиты от рассматриваемой угрозы – фаэрвол. Есть два момента.

  1. С помощью групповых политик можно указать с каких адресов или сетей можно выполнять удаленное подключение к управляющим интерфейсам компьютера. Как правило политика безопасности предприятия предписывает, чтобы компьютеры администраторов находились как минимум в специальной управляющей сети, либо даже на жестко заданных адресах.
  2. Отдельно надо обратить внимание на разрешение подключаться к шарам расположенных на персональных компьютерах. Общего решения нет. Но обычно политика предприятия в этом отношении жёсткая – никаких пользовательских шар. Если разрешается, то только доступ к административным шарам и это должно быть разрешено только администраторам как указано в п.1. Но если используются расшаренные принтеры на персональных компьютерах, то единственный простой способ позволить это не разрушая систему защиты – добавить разрешение (правило) для Local Network (иначе пользователи не смогут подключать расшаренные принтеры с соседнего компьютера).

И последнее дополнение. Не забываем про Restricted Groups Policy. С помощью групповых политик можно реализовать различные сценарии управления членством в локальных административных группах. Например, удалять всё из локальной группы Administrators и добавлять только то, что указано явно в политике.

Полезно почитать Blocking Remote Use of Local Accounts

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: