Информационная безопасность — это, в первую очередь, продуманная стратегия, и только потом вложения в железо и программное обеспечение. Часто бывает так, что, воздвигнув крепостные стены, расставив на них лучников, разложив костры и поставив на них котлы со смолой, феодал не знает, что народ, обитающий в замке, проковырял в кладке несколько лазеек и спокойно шастает туда-сюда мимо стражи. Зарплата солдат, расходы на дрова и смолу идут прахом, когда дело касается организованного нападения разбойников. Атаман не дурак — зачем идти на штурм, если можно незаметно просочиться внутрь и по-тихому перебить всю стражу?
Привет, на связи Наталья Волчкова, руководитель отдела системного администрирования ALP ITSM. Уже 30 лет мы помогаем компаниям наводить порядок в ИТ‑инфраструктуре: от аудита и восстановления после сбоев до управления ИТ как сервисом для бизнеса. Сегодня речь о том, как закрыть типовые дыры в защите.
Откуда же взяться уязвимости, которыми пользуются кибератаманы? Чаще всего их создают сами люди внутри периметра — не из злого умысла, а по привычке «делать как удобнее». Виной всему, в подавляющем большинстве случаев, является обычная безалаберность и легкое пренебрежение правилами безопасности: привыкли же мы слегка нарушать ПДД, почему в цифровом пространстве должно быть иначе? Пароли типа «1234», доступы типа «всем на все» в системные папки, выданный когда-то процессу, с которым было лень разбираться, права администратора, предоставленные обычному пользователю частным образом, незакрытые учетные записи уволенных — вот что реально ослабляет защитные рубежи.
Большую часть таких проблем обычный системный администратор закроет за день работы с перерывами на кофе и здоровый сон — с помощью аудита учетных записей. После чего останется доработать регламенты и сделать чек-листы, чтобы в дальнейшем уязвимости не появлялись вовсе. Тогда, наткнувшись на стены с лучниками и смолой и не обнаружив удобного прохода, хороший атаман решит проникнуть в другой замок, тем более что их в округе достаточно.
Что такое аудит учетных записей и зачем он нужен
Аудит учетных записей — это регламентное мероприятие, проводящееся периодически и направленное на выявление возможных уязвимостей:
активные учетные записи уже уволенных сотрудников;
слишком слабые пароли;
лишние привилегии у обычных пользователей.
Наличие подобных лазеек — открытая дверь для разного рода злоумышленников. И они об этом знают — не зря в 2025 году количество попыток проникновения с помощью взлома учетных записей выросло вчетверо и составило половину от общего числа взломов. Подавляющее большинство — 39% — инцидентов было связано с привилегированными учетками — администраторов доменов, сервисных аккаунтов, администраторов прикладного ПО.
Для владельца бизнеса такой аудит — это понятная «рентген‑картинка» базовой защиты компании от киберугроз. При этом собственник не должен сам разбираться в политиках безопасности Windows, групповых политиках Active Directory и вообще в том, как все устроено в ИТ-инфраструктуре. Аудит показал, что все в порядке? Отлично — можно спокойно поддерживать текущий уровень защиты. Нашлись дыры? Значит, пора планово их закрывать: пересматривать права, чистить учетные записи и обновлять регламенты.
Базовые принципы цифровой безопасности
Кто вооружен — защищен. Поэтому важно соблюдать базовые принципы гигиены цифровой безопасности.
Нулевое доверие и строгий контроль доступа
Модель Zero Trust исходит из принципа: «никогда не доверяй, всегда проверяй». Это означает отсутствие «по умолчанию доверенных» пользователей и обязательную проверку каждого запроса на доступ с учетом контекста, ролей и критичности ресурсов.
Мониторинг и обнаружение угроз
Помимо периодических проверок прав, компании нужны инструменты мониторинга событий безопасности в режиме, близком к реальному времени. Это могут быть как специализированные SOC‑решения (центры мониторинга и реагирования на инциденты) и SIEM (платформы управления событиями и информацией от подконтрольных устройств с упором на безопасность), так и точечные сценарии: аудит входа в систему, отслеживание изменений в Active Directory, анализ событий, которые пишутся в журнале безопасности контроллеров домена.
Регулярная гигиена безопасности
Безопасность опирается на рутинные процедуры, недооценка которых часто приводит к инцидентам. К ним относятся:
Строгая парольная политика (ограничения на длину и сложность, запрет переиспользования старых паролей, блокировка при нескольких неудачных вводах пароля).
Своевременное обновление операционных систем и программного обеспечения для устранения известных уязвимостей.
Проверки боем: регулярные пентесты и аудит конфигураций, имитирующие действия хакеров и показывающие вероятные направления атак.
По итогам пентестов 2025 года взлом паролей банальным перебором увенчался успехом почти что на 50% проверенных инфраструктур. Критерий успеха — восстановление хотя бы одного текстов��го пароля в открытом виде по его зашифрованному значению. Взломщикам всячески помогают сотрудники: большинство пользователей задают один и тот же пароль для разных сервисов, что несказанно облегчает взломы критичных для бизнеса информационных систем.
Резервное копирование и аварийное восстановление
Идеальные процессы аудита учетных записей не спасут предприятие, если в систему пролезет и отработает шифровальщик, а восстановить данные с резервных копий не получится. Поэтому профилактика в виде регулярного резервного копирования по принципу «3-2-1» — минимальный стандарт для любой компании. Принцип «3-2-1» говорит о том, что:
3 копии данных создаются;
2 типа носителей используется;
1 копия хранится не в том же помещении, где расположена серверная.
Заражение шифровальщиком происходит примерно по одному сценарию. Бухгалтер, офис-менеджер или другой ответственный сотрудник открывает полученное на официальную электронную почту письмо со счетом, актом сверки или другим очень важным документом. Пытается просмотреть PDF, но видит что-то невнятное. Закрывает письмо, некоторое время работает, потом уходит выпить чаю или на обеденный перерыв.
Возвращается к рабочему месту, и на экране видит извещение о том, что файлы зашифрованы, а чтобы вернуть все на круги своя, нужно перевести выкуп в крипте. Вместе с локальными данными шифровальщик поражает и все подключенные сетевые диски: базу бухгалтерской программы, шаблоны документов, исходящую и входящую корреспонденцию — в общем, все, до чего у пользователя был досту��.
Как правило, на таких компьютерах бывает отключен антивирус, потому что пользователю кажется, что он замедляет работу, а про резервирование данных в 1С кто-то что-то слышал, но кто и что — неизвестно. И хорошо, если специалисты франчайзи или штатные админы делали хоть какие-то копии куда-то кроме зашифрованного сервера. Открытие одного документа может поставить бизнес под угрозу закрытия. Или как минимум в режим аврала на неопределенное время.
Управление человеческим фактором
Самое уязвимое место любой системы — поведение людей, а не только настройки политик безопасности.
Два типичных сценария:
«Аналоговый» пользователь переходит по ссылке в правдоподобном фишинговом письме, вводит логин и пароль, после чего аккаунт используется для доступа к файловым ресурсам и сервисам.
Обиженный сотрудник перед увольнением массово копирует регламенты, клиентские базы и отчеты, что легко выявляется как аномальная активность — резкий рост объема выгружаемых данных или нетипичные действия с объектами.
Решение — сочетать обучение персонала, разделение полномочий, минимизацию прав и мониторинг аномальных действий в Active Directory и других системах.
Информационная безопасность не должна финансироваться «по остаточному принципу». Хорошая практика — выделять на нее порядка 10% IT‑бюджета, вкладываясь не только в продукты, но и в процессы, регламенты и аудит.
Чем опасно отсутствие порядка в Active Directory
Active Directory — основной инструмент идентификации пользователей и управления ими в Windows. А на этой операционной системе построено большинство ИТ-инфраструктур предприятий малого и среднего бизнеса.
Кратко о сути. Пользователь, успешно авторизованный в AD, имеет доступы к любым ресурсам в сети предприятия, а также права на, например, установку программного обеспечения, управления периферийными устройствами, использование сменных носителей и т.д. Несложно догадаться, что большинству пользователей не нужно самим подключать флешки, камеры, МФУ, устанавливать программы.
Но! Если в управлении AD нет правил, админ выдает необходимые допуски и права по просьбе пользователей — он сам открывает двери для злоумышленников. А такое возможно только тогда, когда не выстроены процессы управления учетными записями.
Пример. Менеджер по продажам Иван просит своего приятеля Павла, администратора, разрешить самостоятельную установку программ и подключение личного смартфона к Windows через стандартную оснастку на компьютере. Мотивирует это тем, что так удобнее синхронизировать календарь и Битрикс. Павел, особо не вникая и не имея на руках регламентов, дает эти права Ивану. Иван же слегка лукавит и ставит на свой компьютер программы для обхода блокировок, чтобы удобно листать запрещенную соцсеть с картинками на большом экране. И вместе с программой запускает в сеть шпионское ПО вроде скан-бота или неотслеживаемый удаленный доступ на ПК для злоумышленника. Таким образом, не имея никаких намерений навредить, приятели проделывают дыру в безопасности. Через некоторое время, из-за человеческих эмоций, зависти и обид ситуация может вылиться в инцидент с безопасностью данных компании.
Но важно даже не это. Важно, что администратор Павел никому не сказал о том, что учетка Ивана имеет теперь дополнительные привилегии, нигде это не зафиксировал. Дыру мог бы обнаружить аудит учеток AD, но он не проводится. Как говорится, приехали.
Тренд атак на учетки Active Directory, прослеживаемый в 2025 году, продолжится и в 2026. А значит, собственникам бизнеса пора задуматься об обновлении версий AD до актуальных и, главное, о внедрении регламентов работы с учетными записями и их аудитов в практику.
В течение двух последних лет (2024 и 2025) наметился рост влияния инцидентов, связанных со злоупотреблениями в логинах и паролях. Вот типичная клиническая картина:
Нет единого формата формирования логина. Каждый администратор придумывает свой принцип, игнорируя порядок, заведенный предшественником. Если этот порядок вообще был.
Временное повышение уровня учетки пользователя до администратора превращается в постоянное по причине отсутствия записей и контроля за ними.
«Неизменные» пароли — это серьезное нарушение обычно провоцируется кем-то из топ-менеджмента: не по чину главбуху или коммерческому директору каждый квартал новый пароль запоминать, вот и заставляют администратора продлевать срок действия до бесконечности.
«Привидения» — сотрудник давно уволен, а его учетная запись живет своей жизнью. И хорошо, если не проявляет активности — но кто знает, за этим же не следят.
«Мистика» — есть учетные записи, непонятно как появившиеся в каталоге. Их как бы никто не заводил, но они есть. И непонятно, зачем они есть.
Как настроить аудит учетных записей
Технически аудит учетных записей в Windows строится вокруг нескольких опорных механизмов: политики аудита, настроек для контроллеров домена и анализа событий в журнале безопасности.
Базовые шаги:
Включить аудит объектов Active Directory на контроллерах домена через audit policy (локальная политика безопасности или GPO).
Определить, какие типы событий важны: создание и удаление user account, изменения атрибутов (пароль, группы, состояние enabled/disabled), сброс пароля, изменение прав.
Настроить аудит для конкретных объектов и контейнеров AD (отдельных файлов, каталогов, OU, принтеров и т.д.), чтобы события попадали в журнал безопасности.
Регулярно просматривать и анализировать события в event viewer, либо передавать их в SIEM или специализированный продукт аудита Active Directory.
Ключевая идея — не просто включить логирование, а продумать, какие события нужны бизнесу для расследований, соответствия требованиям и оперативного реагирования.
И, конечно, нужны квалифицированные инженеры, которые умеют «читать» логи, выявлять и разделять признаки массированных атак, попытки точечного несанкционированного доступа и пресловутый человеческий фактор «пользователь забыл пароль, а позвонить попросить сбросить стеснялся» и «кошка по ноутбуку потопталась и все заблокировала».
Инструменты и автоматизация процесса аудита
Аудит учетных записей невозможен без помощи специализированных средств мониторинга и автоматизации. Существует б��льшое количество решений — от встроенных возможностей Windows Server до сторонних программных продуктов, которые позволяют отслеживать изменения в Active Directory в режиме реального времени.
Встроенные средства Windows и Active Directory
Базовой задачей является настройка политики аудита через Group Policy и анализ журнала событий безопасности на контроллерах домена.
Для автоматизации сбора и обработки событий администраторы часто используют PowerShell-скрипты, которые могут выполнить фильтрацию по ID события, извлечь необходимые параметры (имя пользователя, адрес компьютера, время операции) и перейти к формированию отчетов или отправке уведомлений ответственным сотрудникам.
Специализированные решения для аудита AD
В случае крупных организаций или при необходимости соответствия требованиям регуляторов (SOX, HIPAA, PCI-DSS, 152-ФЗ) базовых средств Windows часто недостаточно. Здесь на помощь приходят специализированные продукты аудита Active Directory
Интеграция с IAM и SIEM
Современный подход к управлению учетными записями предполагает связь аудита Active Directory с более широкими системами — Identity and Access Management (IAM) и Security Information and Event Management (SIEM).
IAM-системы управляют жизненным циклом учетных записей: автоматически создают профили при приеме сотрудников, корректируют права при смене должности и блокируют доступ при увольнении.
SIEM-платформы собирают события из различных источников (AD, файловые серверы, сетевое оборудование, системы защиты периметра) и сопоставляют их для обнаружения сложных атак.
Практические рекомендации по выбору инструментов
При выборе средств аудита стоит учитывать следующие моменты:
для малого бизнеса с одним доменом достаточно встроенных возможностей Windows и PowerShell-скриптов;
средним компаниям с несколькими площадками и требованиями соответствия регуляторам необходимы готовые продукты аудита AD с автоматическими отчетами;
крупным организациям с распределенной инфраструктурой требуется полноценная интеграция AD-аудита в SIEM и IAM для централизованного управления и анализа событий.
Больше информации о конкретных решениях и их возможностях можно найти на специализированных ресурсах и в блогах производителей систем информационной безопасности.
Минимальный чек‑лист аудита учетных записей
Экспресс‑аудит учетных записей и прав доступа позволяет закрыть до 80% типичных уязвимостей за несколько часов. Ниже — базовый список того, что нужно проверить в первую очередь.
Контроль доступов и «мертвых душ»
Ревизия забытых учеток: отключить аккаунты уволенных сотрудников и тех, кто не заходил в систему более определенного срока (например, двух месяцев).
Аудит прав администратора: пересмотреть состав групп администраторов домена, локальных администраторов и других привилегированных групп, убрать лишних пользователей.
Ограничение удаленного доступа: убедиться, что доступ внутрь инфраструктуры по RDP или VPN есть только у тех, кому это необходимо по роли.
Актуализация групп доступа: проверить, кто и на каком основании состоит в критичных группах доступа к файловым ресурсам, базам и бизнес‑приложениям.
Парольная гигиена
Жесткая политика паролей для домена, включая требования к длине, сложности и сроку действия.
Исключения только для сервисных учеток: у людей пароли должны меняться по регламенту, постоянные пароли допустимы лишь для технических аккаунтов, которые дополнительно защищены.
Регулярная смена паролей локального администратора на серверах и рабочих станциях, желательно с использованием централизованного решения.
Базовые настройки инфраструктуры
Централизованное управление через домен: все рабочие станции и серверы должны быть включены в домен для управления политиками и аудитом.
Ревизия групповых политик (GPO): отключение устаревших и потенциально опасных настроек, настройка политики аудита для контроллеров домена и ключевых серверов.
Включение логирования критически важных событий безопасности и регулярный просмотр событий, связанных с входом в систему, изменением учетных записей и прав.
Автоматическое завершение сессий при бездействии, чтобы снизить риск злоупотреблений с незаблокированных рабочих мест.
Как меняется аудит учетных записей в 2025–2026 годах
Рост атак на учетные записи и повышение требований регуляторов к защите персональных данных и критической инфраструктуры заставляют компании переходить от разовых проверок к постоянному контролю доступа. Аудит учетных записей перестал быть разовой инвентаризацией и все чаще превращается в непрерывный процесс. Компании автоматизируют жизненный цикл учетных записей (создание, изменение ролей, увольнение), регулярно проводят аудит прав и автоматически отключают неиспользуемые аккаунты.
Это продолжение модели Zero Trust: каждая учетка рассматривается как потенциально уязвимая, а доступ пересматривается не только при изменении должности, но и при обнаружении аномального поведения пользователя или устройства. В результате аудит учетных записей оказывается встроен в IAM‑системы и процессы управления доступом, а не живет отдельной «кампанией раз в год».
Как организовать экспресс‑аудит
По нашему опыту, базовый аудит учетных записей можно провести за 2–4 часа, если использовать заранее подготовленные инструкции и скрипты. Инженер подключается к инфраструктуре, выгружает ключевую информацию и оформляет результаты так, чтобы собственник бизнеса или IT‑директор получили понятную картину рисков.
Что обычно входит в экспресс‑аудит:
Список неактивных учетных записей, которые давно не использовались.
Перечень аккаунтов с паролями без срока действия и сервисных учеток.
Состав групп администраторов домена, локальных администраторов и владельцев критичных ресурсов.
Список пользователей с правами удаленного доступа (RDP, VPN, доступ к административным консолям).
По итогам формируется пояснительная записка с выявленными проблемами и практическими рекомендациями: какие учетные записи отключить, какие права пересмотреть, какие политики усилить и какие процессы добавить. Подготовка рекомендаций по результатам занимает больше времени, чем сам аудит. Потому что важно не только выявить проблему, но и предложить ее системное решение. Обычно работы по аудиту от принятия решения до отправки итогового отчета занимают 2–5 дней.
Безопасность — это процесс, а не разовый проект
Аудит учетных записей не похож на, например, удаление аппендикса — один раз и на всю жизнь. Киберугрозы никуда не исчезают, шпионаж и периодические разведки боем со стороны тех самых атаманов продолжаются. Так что аудит нужно проводить регулярно. Он должен быть встроен в общую политику информационной безопасности как стандартный бизнес-процесс. А в основе самой политики — дисциплина, дотошность, аккуратность, преемственность и контроль. Иначе самый лучший, чистенький домен за год превратится в руины.
Регулярные аудиты помогут поддерживать периметр безопасности в рабочем режиме. А это значит, что киберзлодеи не найдут черных ходов для проникновения, а штурм обойдется им слишком дорого. Лучшая атака — та, которой удалось избежать.
Поделитесь, как у вас организован процесс аудита учетных записей?
