Это большая проблема, кстати. Формальное удовлетворение требованиям стойкости пароля и реально стойкий пароль — совершенно разные вещи. Решения могут быть разные.
В ряде систем при вводе нового пароля идет проверка на словарность. В случае с классическим AD иногда администраторы ИБ сами проводят брут паролей по их хешам на регулярной основе. Для этого хеши выгружаются на выделенную машину без доступа по сети, которую берегут как зеница око, чтобы не дай бог кто-то к ней не получил доступа.
Если пользователи не получают по шее за пароли вроде «M@sha123», то все это, разумеется, становится бесполезным.
Люди вообще не осознают проблему. Да и переставлять порты на нестандартные — тоже очень сомнительное с точки зрения ИБ решение. На этом безопасность строить нельзя.
Ответил на этот вопрос в ответ на ваше личное сообщение.
Если нет возможности ставить клиент, то можно посмотреть, например, в сторону RDP over HTTPS. Очень многие TeamViewer используют. Решений миллион. Но если, как вы писали, постоянно рвется соединение с офисом, то все это будет работать нестабильно. Экстремальный вариант: перенести сервер в облако.
В энтерпрайзе это решается мониторингом и правилами на SIEM. У меня был кейс у одного из заказчиков, когда политика блокировки учеток в AD привела к полному параличу компании на несколько дней (что-то около 1500 сотрудников отдыхало). Случилось вирусное заражение. Вирус смог выгрузить список всех учеток в AD и начал их брутить по кругу. Заблокировалось всё. Компания переезжала на новую ИТ-инфраструктуру в это время, что добавило хаоса.
Так что тут надо взвесить все за и против.
Тяжело не согласиться. В конечном итоге руководство организации несет ответственность вообще за все в компании. Ответственность не делегируется, как известно. И обычно, пока гром не грянет, никто ничего по части информационной безопасности и DR не делает. И это касается не только мелких компаний.
В данном случае так и было. Меня больше удивило то, что сервер управления Каспесперского находился в DMZ. При этом он, естественно, никуда не публиковался.
Эта политика действительно зачастую считается лучшей практикой, но по моему опыту зачастую создает больше проблем, чем пользы. При массовом бруте учеток они также массово блокируются, парализуя работу ИТ-инфраструктуры. Если есть возможность, лучше фиксировать факт перебора и устранять его причину.
Злоумышленники выделили критический и плохо защищенный актив и наладили схему вымогательства денег. Им проще атаковать лишнюю сотню компаний, чем разбираться с каждым уникальным случаем и искать что-то кроме баз 1С.
Не могу согласиться. Хранение сертификата на локальной машине — это, по сути, то же самое, что оставленные в портах USB токены. Это распространенная практика у бухгалтеров и большое подспорье хакерам, которые выводят деньги со счетов компаний через банк-клиент.
Токен стоит недорого, для юрлица и вовсе копейки. В том же Китае законодательно запрещен доступ в интернет-банк без аппаратного токена даже для физлиц. Китайцы привыкли и давно этому не удивляются. Определенно, это существенно повышает безопасность удаленного доступа к системе ДБО. Возможно, нашему ЦБ тоже стоило бы об этом подумать.
В ряде систем при вводе нового пароля идет проверка на словарность. В случае с классическим AD иногда администраторы ИБ сами проводят брут паролей по их хешам на регулярной основе. Для этого хеши выгружаются на выделенную машину без доступа по сети, которую берегут как зеница око, чтобы не дай бог кто-то к ней не получил доступа.
Если пользователи не получают по шее за пароли вроде «M@sha123», то все это, разумеется, становится бесполезным.
Если нет возможности ставить клиент, то можно посмотреть, например, в сторону RDP over HTTPS. Очень многие TeamViewer используют. Решений миллион. Но если, как вы писали, постоянно рвется соединение с офисом, то все это будет работать нестабильно. Экстремальный вариант: перенести сервер в облако.
Так что тут надо взвесить все за и против.
Токен стоит недорого, для юрлица и вовсе копейки. В том же Китае законодательно запрещен доступ в интернет-банк без аппаратного токена даже для физлиц. Китайцы привыкли и давно этому не удивляются. Определенно, это существенно повышает безопасность удаленного доступа к системе ДБО. Возможно, нашему ЦБ тоже стоило бы об этом подумать.
Удаленный доступ для бухгалтеров используется в каждой второй небольшой компании.