Portal Zarządzających Bezpieczeństwem

Ograniczanie uprawnień kont “administratora” w sieciach.

Zauważyłem nową tendencję nadchodzącą w korporacyjnych sieciach komputerowych. Administratorzy sieci pragną ograniczyć wpływ, jaki można mieć poprzez konta “administratora” na platformę.

Nie tylko poprzez konta Administratorów w Active Directory, ale także poprzez te znajdujące się na poszczególnych komputerach, jak i serwerach będących w sieci przedsiębiorstwa. Występuje sporo konfiguracji, mających na celu ochronę dostępu do kont administratora, jak i ograniczenie ich liczebności. Jednak istotne jest, aby zrozumieć, co można zrobić, co oznacza konfiguracja oraz czego nie da się zrobić w kwestii konfiguracji kont administratora w danej organizacji. Odpowiemy na te wszystkie pytania, żeby umożliwić wykonanie odpowiednich konfiguracji oraz abyś wiedział co w ich wyniku możesz osiągnąć, a czego nie.

Zanim zaczniemy ograniczać ilość kont administratorów sieci, ważne jest zrozumienie, gdzie te konta się znajdują i jakie są ich uprawnienia. Zacznijmy od przyglądnięcia się pulpitom oraz serwerom w firmie. Wszystkie komputery z systemem operacyjnym Windows posiadają własne lokalne konta administratora, które konfigurowane są podczas instalacji. Wymienione tutaj konto administratora jest kontem z najwyższymi uprawnieniami na każdym komputerze. To konto przynależy do lokalnej grupy Administratorów, co daje mu absolutną kontrolę nad tym komputerem.

Istnieją także konta Administratorów konfigurowane w Active Directory. Pierwsza domena, która jest konfigurowana w Active Directory, posiada specjalne konto Administratora. Powód, że jest ono specjalne wynika z tego, że należy ono do grupy, w której ma członkostwo. To początkowe konto Administratora jest członkiem w następujących zasadniczych grupach zarządzających bezpieczeństwem:

• Administrators
• Domain Admins
• Enterprise Admins
• Schema Admins

Ta początkowa domena zawiera dwie grupy: Enterprise Admins i Schema Admins, pozostałe nie. Każda dodatkowa domena będzie miała konto administratora przynależnego do grup Domain Admins i Administrators.

Skoro już wiemy gdzie znajdują się konta Administratorów, pora dowiedzieć się jak one funkcjonują. Lokalne konta Administratorów umożliwiają pełną kontrolę nad wszystkimi aspektami funkcjonowania komputera, w którym się znajdują. Oznacza to, że mogą one zmieniać dostępność w tym komputerze do: usług, kont, źródeł, aplikacji, jak i plików zachowanych na komputerze.

Konta Administratorów, które znajdują się w Active Directory, mają o wiele większą możliwość kontroli. Ponieważ mają one kontrolę na poziomie domen i wyższym, kontrolują one nie tylko usługi, konta, źródła, aplikacje i pliki zachowane na sterownikach domen, ale KAŻDY komputer w podległej im domenie. Administrator umiejscowiony w początkowej domenie Active Directory, kontroluje każdy pojedynczy komputer w grupie. Oczywiście Enterprise Admins posiadają kontrolę nad każdym aspektem grupy.

Jak można zauważyć konta administratora mają dużą siłę kontroli. Tak dużą, że dostęp do nich musi być chroniony. Występuje wiele sposobów zmniejszenia ryzyka związanego z włamaniem się do nich i zaatakowaniem. Sugestie ich ochrony mogą wydawać się dodatkową pracą, nieskuteczną metodą albo pomysłami zmniejszającymi produktywność. Jednak ponieważ chodzi o bezpieczeństwo, nie można iść na kompromis. Zapewnienie bezpieczeństwa nie jest ani łatwe, ani nie poprawia wydajności. Jeśli by tak było, mielibyśmy już super bezpieczne systemy. Jakie posiadamy opcje w zmaganiu się z zapewnieniem bezpieczeństwa kontom administratora na platformie?

Po pierwsze: nie używaj kont Administratorów. Powinny one być użyte jedynie na początku do ustanowienia platformy, następnie na koncie Administratora lub jednej z grup administratora (Admin groups) należy umieścić konto normalnego użytkownika („normal user account”). To pozwoli na uzyskanie tego samego efektu bez potrzeby używania prawdziwych kont Administratora („true Administrator account”).

Po drugie: nie używaj konta normalnego użytkownika, które było umieszczone na koncie Administratora lub jednej z grup administratora, dla rutynowych i standardowych zadań użytkownika. Sprawdzanie poczty e-mailowej, pisanie notatek, dokumentacji, itp. powinno być wykonywane ze standardowych kont użytkownika, a nie z kont administratorów. Wymaga to podwójnych kont dla administratorów. Rozwiązaniem alternatywnym jest zastosowanie Windows Vista z włączonym User Account Control (UAC). UAC jest doskonałą technologią rozwiązującą ten problem.

Po trzecie: wyłącz konto Administratora. Tak, pozbawienie aktywności konta Administratora jest teraz możliwe. Wcześniej można to było zrobić jedynie w Windows XP i Server 2003. To ustawienie znajduje się w Group Policy Object, jak pokazuje rys. 1.

Zanim jednak wyłączysz to konto, podam kilka ostrzeżeń. Po pierwsze musisz się upewnić, że poprzednio utworzyłeś konto “Admin”. Bo jeśli nie, to po fakcie już nie będziesz mógł wykonać czynności administratora. Po drugie musisz się zastanowić jaki to będzie miało wpływ na plan naprawy po awarii systemu. Bez dostępu do konta Administratora, możesz utracić dostęp do określonych plików, usług, narzędzi naprawy awarii (tzn. Active Directory Recovery).

Po czwarte: ustanów delegowanie Active Directory i Group Policy, zamiast wprowadzania jedynie kont użytkownika do grupy Domain Admins. W większości przypadków można użyć narzędzi i technik delegowania, żeby administratorzy mieli kontrolę nad Active Directory i Group Policy. Rysunki 2 i 3 pokazują interfejsy obu obszarów delegowanej kontroli.

Rys. 2: delegowanie Active Directory

Rys. 3: delegowanie Group Policy

Po piąte: powinieneś umożliwić audyt zasobów, do których administratorzy nie mają dostępu. Pełny dostęp nie powinien być jednak gwarantowany. Zapewni to ochronę przed dostępem do tych miejsc, gdzie administrator nie powinien mieć bezpośredniego dostępu. Może to być wyśmienitym rozwiązaniem do ochrony plików związanych z danymi osobowymi, finansami, informacjami zastrzeżonymi dla dyrekcji, akcjami korporacji, itp. Pamiętaj o tym, co omawialiśmy wcześniej w kontekście różnych kont administratora i ich dostępności. Nawet jeśli administrator nie jest umieszczony na liście źródłowej, nie oznacza to że nie może sam się dodać! Możesz włączyć kontrolę na jakimkolwiek komputerze, używając Group Policy, jak pokazuje rys. 4.

Rys. 4: Kontrola umożliwia śledzenie administratorów

Po szóste: konta administratorów, jak i wszystkich użytkowników skonfigurowane przez administratorów, powinny mieć długie i złożone hasła. Powinny być one także często zmieniane. Dla kont administratorów nie do przyjęcia są hasła, które są stałe, nie wymagające zmiany.

Ostatnia wskazówka nie jest ani prawdziwą konfiguracją, ani ustawieniem. Jest to prosty fakt, że musisz chronić firmę i jej dobro bez względu na koszty z tym związane. Jeśli masz obawy związane z administratorem albo kimś mającym jego przywileje, musisz ich zwolnić. Jest to brutalna rzeczywistość, lecz ktoś, kto nie może być obdarzony zaufaniem, musi być usunięty z sieci!

Konta Administratorów i związane grupy Administratorów stanowią potęgę na platformie Windowsa. Te konta mają więcej siły niż można to sobie wyobrazić. Musisz chronić system, co oznacza że musisz posiadać kontrolę nad tymi kontami. Musisz przedsięwziąć wszystkie środki ostrożności do ich ochrony, w tym opcje, które nie są wydajne i mogą wymagać dodatkowych kroków od administratorów za każdym razem, gdy chcą wykonać zadanie wymagające podniesienia uprawnień. Kontrolowanie kont typu administrator nie jest opcją, jest wymogiem. Musisz podjąć działanie natychmiast, zanim ktoś włamie się do sieci. Jeśli Ci się to przytrafi, to wtedy pozostaje Ci już tylko praca w galerii handlowej jako osoba witająca klientów przy wejściu!

Źródło: www.windowsecurity.com