История №2 «Как из-за лени был провален аудит безопасности» (из «5 историй об информационной безопасности»)

    Мы продолжаем серию постов, в которых рассказываем о проблемах, с которыми может столкнуться IT-специалист в отсутствие подходящих инструментов для мониторинга и аудита изменений различных платформ IT-инфраструктуры.

    Первую историю («Полуденный вор») Вы можете прочитать здесь

    А теперь история вторая, «Как из-за лени был провален аудит безопасности, или Кто изменил групповые политики?».



    “Мы провалили аудит безопасности!”

    Начальник Дженнифер был в ярости. И его можно было понять: они только что провалили аудит, и что самое обидное, из-за сущего пустяка. Вместо строгой политики паролей на домене, аудиторы обнаружили, что она была вообще отключена. Какое-то время срок действия паролей пользователей не истекал. Сейчас это уже исправлено (сделать это не так сложно), однако проявилась обратная сторона. Пользователи стали массово звонить в службу поддержки, так как у них всех одновременно истек срок действия паролей. Однако не это сейчас волновало начальника.

    “Кто это сделал?!!”


    Дженнифер взглянула на коллег. В компании было более 20 человек, входящих в группе Привилегированных Администраторов Домена, и любой из них мог отключить политику паролей. Политика паролей была задана в объекте групповых политик высокого уровня, который содержал тысячи других настроек. Все эти администраторы вносили изменения в групповые политики практически каждую неделю. В журналах событий отображались записи о доступе, но журналы аудита не содержали в себе информации о том, какие именно настройки были изменены. Любой мог сделать это – пусть даже случайно – и способа определить, кто именно это был, не существовало. Джозеф, новенький администратор нервно объяснял это начальнику, которого такой расклад дел явно не устраивал.

    “То есть, кто-то либо случайно либо специально изменил эти настройки, и мы не можем узнать, кто же это именно был?”

    Все дружно кивнули. Даже если бы журналы безопасности архивировались, копаться и выискивать информацию во всех записях за предыдущий месяц за более чем 20 доменах мало кому хотелось. Да и к тому же записи журналов не содержали необходимой информации.

    “Никто не хочет признаться?” – спросил начальник. Никто не признавался. За предыдущие 4 месяца из компании ушло 4 администратора, и проще всего было свалить всю вину на них.

    “У кого-нибудь есть соображения, зачем это было сделано, если это не случайность?”

    Дженнифер пожала плечами. “Думаю, они столкнулись с пользователем, который не мог придумать достаточно сложный пароль. Проще все было отключить политику. Некоторые из нас делали так раньше, чтобы быстро дать доступ в сеть, и затем сразу же включали политику. Возможно, кто-то просто забыл включить политику”.

    “Совсем не то, что он хотел бы услышать”, – подумала Дженнифер, видя как лицо начальника становится пурпурным от злости.

    Она знала, что ее компании требуется более совершенное решение для аудита изменений, особенно тех, которые связаны с объектами групповых политик. Нужно знать, кто и когда их менял. А также нужно решение, которое позволяло бы оптимально хранить записи журналов, чтобы можно было сразу же отфильтровать только записи изменений объектов групповых политик, предпочтительно без отдельного поиска по каждому контроллеру домена.

    Какие решения Вы бы применили для мониторинга изменений групповых политик?
    • –2
    • 12,9k
    • 8
    Netwrix 32,84
    Компания
    Поделиться публикацией
    Похожие публикации
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 8
      +1
      Думаю, они столкнулись с пользователем, который не мог придумать достаточно сложный пароль. Проще все было отключить политику. Некоторые из нас делали так раньше, чтобы быстро дать доступ в сеть, и затем сразу же включали политику.

        0
        BTW, беда системы паролей Windows в том, что оно выдает сообщение «Ваш пароль не соответствует требованиям безопасности» — но при этом не пишет чем именно не соответствует. Чувствуется, что сделано людьми, которые сами этим не пользуются :). Много раз сталкивался с ситуацией, когда визуально пароль этим требованиям безопасности соответствует — а вот не дает его поставить.

        История, конечно, выдуманная — если не удается поставить пароль — то не политику на сервере отключают, а принудительно его устанавливают джедайской силой доменного админа, есть там такая возможность.
          +1
          Это сделано программистами. Получили на входе строку, прогнали через процедуру определения сложности, та вернула какой-нибудь false — вывели alert, что пароль не подошел. Да/нет, грубо говоря.

          Если бы думали об удобстве юзеров, эта процедура бы выросла до невероятных объемов, а пользы (по мнению разработчиков) в этих сообщениях не так и много, «все равно же паролями занимаются грамотные админы». А неграмотные просто отключают проверку, да :)
            0
            За мою пятнадцатилетнюю практику два раза профессиональные (более десяти лет опыта, сертификатов от майкрософта больше чем игрушек на елке) админы не могли определить, почему пароль который я хочу (заглавные и строчные буквы, цифры, спецсимволы) не подходит. Оба раза честно старались минут по двадцать, курили мануалы, шаманили с логами, пробовали комбинации, гуглили. Тишина, спокойствие. На развернутом из виртуальной машины «пустом» домене этот пароль, естественно, подходит.
          +1
          Жду историю про блондинку в бикини.
            0
            Какие решения Вы бы применили для мониторинга изменений групповых политик?

            Какие-то такие
              0
              Ну что ж вы так всю интригу продавцам запороли.
                0
                Mantis, спасибо за ссылку! Поднял скилл.

                Автор совершенно справедливо отмечает, что Events in security logs are notifications saying that in GPO were made any changes but are not saying what exactly was changed. То есть описанным путем нельзя получить главного — информации о том, что именно изменилось. Такой аудит только позволит некоторым подозрениям развиться в болезненную фобию, а не выявить реальную причину инцидента.

                При обсуждении затрат на реализацию этого решения Дженифер придется заготовить фразу типа «это, конечно, не решает нашу проблему полностью, но лучших вариантов просто нет» — и отрепетировать оптимистичное выражение лица.

                Пол с легкостью получил бы вместо нее бонус за решение задачи, если бы предложил – как Вы думаете, что?!

                Конечно, решение, которое позволяет получить значения измененных параметров до и после изменения!

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое