Microsoft TechDayshttp:// Леонид Шапиро MCT, MVP, MCSE
Microsoft TechDayshttp:// Правила наименьших привилегий Стандартные средства защиты Microsoft Свойства учетной записи Объекты групповой политики (GPO) Рабочие места администраторов Что требуется защищать в первую очередь? Подведем итоги…
Правила наименьших привилегий – предоставляем минимально необходимый набор полномочий Использование рядовых учетных записей для повседневных задач Если злоумышленнику удалось запустить приложение на вашем компьютере – это больше не ваш компьютер
Microsoft TechDayshttp:// Administrators Domain Admins Enterprise Admins Schema Admins Account Operators Backup Operators Print Operators Server Operators и другие привилегированные группы и другие привилегированные группы
Microsoft TechDayshttp:// SDProp HKLM\SYSTEM\CurrentControlSet\Services \NTDS\Parameters
Microsoft TechDayshttp:// Windows 2000 Windows 2000 SP4 – Windows Server 2003 RTM Windows Server 2003 SP1+ Windows Server 2012, Windows Server 2008 Administrators Account Operators Administrator Administrators Backup Operators Cert Publishers Domain Admins Domain Controllers Enterprise Admins Krbtgt Print Operators Read-only Domain Controllers Replicator Schema Admins Server Operators
Microsoft TechDayshttp:// Регулирование членства в группах Использование групповых политик Deny access to this computer from the network. Deny log on as a batch job. Deny log on as a service. Deny log on locally. Deny log on through Remote Desktop Services. Аудит
Microsoft TechDayshttp:// Подключить созданную групповую политику ко всем OU содержащим учетные записи компьютеров. В лесу Active Directory, состоящем из нескольких доменов групповая политика должна быть создана в каждом домене леса.
Microsoft TechDayshttp://
Рабочая станция администратора может стать угрозой безопасности компании
Рабочая станция RDP доступ Виртуальная машина Публикация приложений
Microsoft TechDayshttp:// Аутентификация Избыточные полномочия Внешние устройства Программное обеспечение Несвоевременные обновления ПО Вирусы и трояны Физический доступ
Computer Configuration\Policies\Windows Settings\Local Policies\Security Options\Interactive logon: Require smart card
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Computer Configuration\Policies\Windows Settings\Administrative Templates\System\Removable Storage Access
Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker
Microsoft TechDayshttp:// Важность защиты AD DS Правила наименьших привилегий Защита учетных записей пользователей, групп и рабочих станций Групповые политики Физическая безопасность Документирование
Microsoft TechDayshttp:// aspx aspx aspx aspx aspx aspx
Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.