Krótki dialog o… zabezpieczaniu stacji roboczych

Lipiec 1, 2021, 09:08

Nasze rozmowy z Klientami często wyglądają następująco:

S: Czy komputery pracowników Twojej firmy są dobrze chronione? 

A: Oczywiście! Przede wszystkim mają zainstalowane najnowsze, zaawansowane oprogramowanie antywirusowe.

S: A co z uprawnieniami w dostępie do tych komputerów? Jakie uprawnienia mają w swoich systemach? Czy mogą sami instalować jakieś oprogramowanie?

A: Mają ograniczone uprawnienia, nie mogą sami instalować żadnego oprogramowania ani zmieniać konfiguracji swojego systemu.

S: A co w sytuacji, gdy zajdzie taka potrzeba?

A: Wtedy w razie zgody ich przełożonego lub Zarządu firmy przychodzi administrator, loguje się na swoje konto domenowe i przeprowadza taką instalację lub konfigurację systemu…

I tutaj zatrzymamy powyższy dialog, żeby zwrócić uwagę na zasadniczą rzecz: 

Powyższa sytuacja jest bardzo częstym, niestety również niebezpiecznym zjawiskiem z punktu widzenia bezpieczeństwa informatycznego. Domyślnie na każdej stacji roboczej istnieje wbudowana lokalna grupa „Administratorzy”, której członkowie (domyślnie administratorzy domeny) mają na wszystkich tych komputerach nieograniczone uprawnienia do wszystkich operacji. Logowanie się na stacji roboczej na konto administratora domeny wiąże się ze stosunkowo łatwym przejęciem hasła do takiego konta, a w konsekwencji kontroli nad całym środowiskiem domeny…

Innym podejściem jest używanie konta lokalnego administratora na stacji roboczej. Ogranicza to "przechwycenie” administracyjnego konta domenowego, jednak pojawia się tutaj duży problem innego typu. Badania pokazują, że w firmach, gdzie używa się kont lokalnych administratorów, w większości przypadków takie konto (bez znaczenia, czy jest to domyślne konto „Administrator” czy też utworzone nowe, lokalne konto administracyjne) na wszystkich komputerach firmowych ma ustawione dokładnie to samo hasło, co oznacza, że wystarczy przejąć takie konto na choćby na jednym komputerze, żeby mieć nieograniczony dostęp administracyjny na wszystkich komputerach firmy! 

Co zatem zrobić w takiej sytuacji? Jak zabezpieczyć komputery firmy, tak aby na każdym z nich hasło lokalnego administratora było inne, a zarządzanie tym procesem nie było uciążliwe? Już przy kilkudziesięciu stacjach (nie mówiąc o kilkuset czy kilku tysiącach) robi się problem związany z generowaniem takich haseł (długich i trudnych do złamania), ustawiania ich na poszczególnych komputerach, ich okresowej zmiany czy choćby bezpiecznego przechowywania i dostępie do nich.

Z pomocą przychodzi tutaj bezpłatne rozwiązanie LAPS (Local Administrator Password Solution) od Microsoft, przeznaczone do łatwego i bezpiecznego zarządzania takimi kontami. Główne cechy tego rozwiązania to przede wszystkim:

  • automatyczne generowanie i ustawianie unikalnego dla każdego komputera długiego i trudnego do złamania hasła (można skonfigurować z jakich znaków ma się składać i jak bardzo ma być długie),

  • automatyczna zmiana hasła na każdej maszynie co określoną, skonfigurowaną liczbę dni,

  • przechowywanie takich haseł w bezpieczny sposób w bazie AD (hasła zabezpieczone są kontrolą dostępu, która pozwala ustawić które konto będzie miało dostęp do ich odczytu,

  • hasła są chronione w komunikacji sieciowej dzięki silnemu szyfrowaniu, zapewnianego przez protokół Kerberos.

Po wdrożeniu rozwiązania LAPS, zarządzanie hasłami lokalnych kont administracyjnych, a tym samym utrzymanie wysokiej ochrony stacji roboczych jest zdecydowanie łatwiejsze i proste w obsłudze. Zarówno generowanie haseł, ustawianie ich na poszczególnych komputerach oraz ich okresowa zmiana jest całkowicie zautomatyzowana. Do odczytu tych haseł przypisanych do poszczególnych komputerów przez uprawnionego administratora służy specjalna aplikacja, będąca częścią rozwiązania.

Oczywiście w razie pytań czy potrzebie pomocy w implementacji powyższego rozwiązania nasi specjaliści służą pełnym wsparciem, skontaktuj się z nami przez cyberVOL@vol.com.pl