Найкращі практики безпечного керування локальними обліковими записами у Windows 11

  • Розділення облікових записів користувачів та адміністраторів, застосування мінімальних привілеїв та використання функції «Запустити від імені» значно зменшує вплив шкідливого програмного забезпечення та людських помилок.
  • LAPS захищає облікові записи локальних адміністраторів унікальними та надійними паролями, за умови, що дозволи на читання в AD суворо обмежені та перевіряються.
  • Політики блокування паролів та облікових записів у Windows дозволяють застосовувати довгі, складні паролі з контрольованою ротацією, що ускладнює атаку методом грубої сили та повторне використання паролів.
  • Обмеження місць входу для привілейованих облікових записів, використання смарт-карт та аудит використання критично важливих облікових даних посилює безпеку та відстеження в мережі.
Joaquin Romero

14 хвилин

Керування локальними обліковими записами у Windows 11

Захист локальних облікових записів та облікових записів адміністратора у Windows 11 більше не є необов'язковим: сьогодні це обов'язково, якщо ви не хочете, щоб ваші облікові записи були скомпрометовані. Одна скомпрометована машина може пошкодити весь ваш домен.Крім того, варто перевірити, чи не було зламано ваші облікові записи.

Секрет полягає в тому, щоб добре поєднати всі частини: Локальні адміністратори керуються за допомогою LAPS, облікові записи домену з найменшими привілеями, надійні паролі та послідовні політики блокуванняЯкщо додати до цього чіткі процедури (хто що може робити, звідки та як проводиться аудит), у вас буде дуже міцна основа для безпечного керування локальними обліковими записами у Windows 11.

Чому адміністратори та локальні облікові записи такі небезпечні

Облікові записи з високими привілеями є легкою здобиччю для будь-якого зловмисника, оскільки Вони мають повний доступ до комп'ютера та, часто, до всього домену.Це стосується як класичних груп локального адміністратора, так і груп верхнього рівня в Active Directory.

У типовому середовищі домену ви знайдете щонайменше такі типи облікових записів і груп, які мають значний вплив на безпеку:

Це правда, що щойно встановлені системи швидші.
Пов'язана стаття:
Перевірте, чи не було зламано ваші облікові записи, та швидко захистіть себе
  • Облікові записи локальних адміністраторівінтегрований для кожної команди (ви можете увімкнути прихований обліковий запис адміністратора) та будь-який користувач, доданий до локальної групи адміністраторів. Вони мають абсолютний контроль над системою, в якій вони знаходяться.
  • Адміністратори домену: облікові записи групи адміністраторів домену з повноваженнями щодо всіх комп’ютерів-членів цього домену.
  • Лісові адміністратори: у кореневому домені лісу, з контролем над усіма доменами та, на практиці, над усією інфраструктурою AD.
  • Адміністратори схем та інші спеціальні групиВони можуть змінювати схему AD, керувати об'єктами групової політики на рівні лісу, видавати сертифікати тощо. Будь-яка помилка тут має каскадний ефект.

Проблема не лише у зовнішніх нападниках. Внутрішні користувачі з надто великою кількістю дозволів або надто малою кількістю знань також можуть завдати величезної шкоди.: видалення критично важливих даних, неправильне налаштування контролерів домену, вимкнення антивіруса або ненавмисне відкриття дверей для шкідливого програмного забезпечення.

Якщо ви також звикнете завжди працювати з обліковим записом адміністратора, ви практично віддаєте свій комп’ютер у безпеку будь-якого шкідливого коду: Шкідливе програмне забезпечення працюватиме з тими ж привілеями, що й ваш сеанс.Він зможе створювати користувачів, вивантажувати хеші, переміщатися в інші регіони та, якщо пощастить, масштабуватися в межах домену. Щоб зменшити вектори фізичної компрометації, перегляньте Практичні заходи для захисту комп'ютера від шкідливих USB-накопичувачів.

Типи адміністративних облікових записів, які слід контролювати

На практиці, під час планування безпеки в Windows 11 в корпоративному середовищі, вас цікавлять три основні категорії привілейованих облікових записів:

  • Облікові записи локальних адміністраторів на робочих станціях та серверах-учасниках. Це включає вбудований обліковий запис адміністратора та будь-яких інших користувачів у локальній групі адміністраторів.
  • Облікові записи адміністраторів домену, зазвичай це члени адміністраторів домену, які також часто мають локальні привілеї на багатьох критично важливих серверах.
  • Лісові менеджери (члени адміністраторів організації та, в деяких випадках, адміністратори схеми), які можуть працювати з лісами, доменами, центрами сертифікації, смарт-картками тощо.

До них слід додати дуже делікатний підтип: облікові записи, пов'язані з сертифікатами агентів (Агент відновлення EFS, реєстрація, відновлення ключів тощо). Їх можна використовувати для видавання себе за інших, реєстрації смарт-карт для інших користувачів або розшифрування даних. На них повинні поширюватися ще суворіші політики безпеки, ніж на звичайні облікові записи адміністраторів.

Основні належні практики: мінімум привілеїв та розподіл обов'язків

Принцип, який забезпечить вам найбільшу безпеку за найменших зусиль, полягає в тому, що мінімальні привілеїКожен користувач, служба чи команда повинні мати саме ті дозволи, які їм потрібні, не більше. Але це має бути дійсно забезпечено, не лише в презентаціях PowerPoint.

Застосування мінімальних привілеїв передбачає кілька практичних рішень:

  • Два облікові записи на одного адміністратораУ вас має бути один звичайний обліковий запис для щоденного використання (електронна пошта, перегляд веб-сторінок, офісні програми) та інший виключно для адміністративних завдань. Обліковий запис адміністратора не слід використовувати для читання електронної пошти або перегляду інтернету.
  • Систематичне використання функції «Запуск від імені» (Runas або вторинна служба входу в систему) Замість того, щоб працювати з обліковим записом адміністратора, ви запускаєте консоль або інструмент із підвищеними обліковими даними, і все готово.
  • Не надавайте привілеї домену там, де вони не потрібні.Обліковий запис з правами в одному лісі не обов'язково має права в іншому, навіть якщо між ними існує довіра.
  • Періодичний перегляд членства в привілейованих групах, видаляючи облікові записи та групи, які більше не використовуються або мають надмірні дозволи.
  Як перевірити цілісність ISO-образу у Windows за допомогою контрольних сум та підписів GPG

Крім того, настійно рекомендується Чітко розділіть ролі адміністратора домену та адміністратора організаціїВи можете обрати один, високозахищений обліковий запис для адміністраторів організації, або, ще краще, створити його лише тоді, коли цього вимагає завдання, використовувати його та одразу після цього видалити.

LAPS: Реальні переваги та ризики, якщо ви не налаштуєте його правильно

Керування локальними обліковими записами у Windows 11

LAPS (Local Administrator Password Solution та його сучасна версія, Windows LAPS) вирішує один із класичних недоліків багатьох мереж: однаковий пароль локального адміністратора на всіх комп'ютерахТака практика — ідеальний рецепт для латерального переміщення: ви компрометуєте ПК, скидаєте хеші, передаєте хеш і можете переходити з машини на машину.

З LAPS кожна команда в домені має унікальний, довгий і випадковий пароль для вашого локального облікового запису адміністраторазберігається в зашифрованому вигляді в Active Directory та автоматично ротується. Це пропонує дуже очевидні переваги:

  • Пом'якшує атаки типу «pass-the-hash» та «pass-the-ticket».Якщо зловмисник викраде хеш локального адміністратора машини, він працюватиме лише на цій машині.
  • Сприяє рятуванню обладнанняЯкщо ПК буде вилучено з домену або профіль користувача буде пошкоджено, у вас будуть наднадійні локальні облікові дані адміністратора для входу та виправлення проблеми.
  • Усуває необхідність обміну локальними «головними» паролями серед техніків, з усіма наслідками, пов'язаними з безпекою.

Однак це не магія. Щоб це спрацювало, потрібно мати облікові записи (або групи) з дозволом на читання цих паролів в ADІ ось тут-то й виникає страх: якщо хтось вкраде ці облікові дані з правами на читання LAPS, він зможе витягти локальні паролі для всього парку один за одним.

Ключ до того, щоб LAPS ставився до чистої переваги, а не до нової вразливості, полягає в тому, щоб ставитися до цих прав на читання як до золота:

  • Дуже невелика група уповноважених техніків (в ідеалі виділені групи безпеки в AD) з правами на читання атрибутів LAPS лише в організаційних підрозділах, яким вони потрібні.
  • Ретельний аудит хто читає який пароль і коли. Це дає вам можливість відстежувати, коли ви хочете переглянути, хто має підвищені привілеї в будь-який момент часу.
  • Ніколи не використовуйте облікові записи з дозволами LAPS для повсякденних завданьВикористовуйте виділені облікові записи адміністраторів або адміністрування «точно в строк»/«точно в достатній кількості», якщо ваше середовище це дозволяє.

І важливе питання: чи означає LAPS, що вам більше не потрібні локальні адміністратори домену на комп'ютерах? Не обов'язковоРозумним рішенням буде поєднати:

  • Un локальний адміністратор, керований за допомогою LAPS для інцидентів, рятувальних операцій та дуже специфічних завдань.
  • Один або декілька групи доменів, призначені локальній групі адміністраторів через об'єкт групової політики для завдань підтримки, розгортання програмного забезпечення, сканування вразливостей тощо.

Це надає вам гнучкість, необхідну для таких інструментів, як сканери вразливостей або системи розгортання, але Ви не залежите від єдиних клонованих локальних облікових даних по всій мережі.

Як підтримувати видимість: хто що робить, коли вони підвищують привілеї

Виникає резонне питання: якщо ви використовуєте LAPS лише з одним обліковим записом локального адміністратора на комп'ютер, як ви контролюєте хто користувався цим обліковим записомЗ точки зору бухгалтерського обліку та аудиту, вам не потрібен «всеохоплюючий» підхід, коли всі входять з однаковими ідентифікаторами, не залишаючи слідів.

Відповідь полягає в поєднанні кількох заходів:

  • Не використовуйте прямий інтерактивний сеанс з локальним адміністратором, окрім крайніх випадків.В ідеалі, технічні спеціалісти повинні автентифікуватися за допомогою власних іменованих (доменних) облікових записів і використовувати локальні облікові дані лише для завдань, які цього вимагають.
  • Аудит подій входу (інтерактивні, RDP, використання RunaS тощо) на робочих станціях та серверах. Ви можете централізувати журнали в SIEM або на сервері збору подій.
  • Прив’яжіть зчитування пароля LAPS до запиту на зміну або квиткаЯкщо внутрішній інструмент або портал вимагає обґрунтування причин доступу до пароля пристрою, то у вас вже є можливість відстеження.

Зрештою, якщо технічному спеціалісту потрібно буде побачити пароль LAPS в AD, має залишитися слід: хто це просив, для якої команди та в який часЦе частково компенсує той факт, що сеанс, який згодом буде запущено на комп'ютері, буде з локальним «знеособленим» обліковим записом.

  Підвищте свою продуктивність за допомогою цих прихованих налаштувань у Windows 11

Стратегія облікових записів у Windows 11: багатокористувацький режим та окремі профілі

Поза межами корпоративного рівня, це окупається навіть у домашніх умовах або малому бізнесі. створити окремого користувача для кожної особи або роліЗавжди спільне використання одного й того ж облікового запису (не кажучи вже про обліковий запис адміністратора) – погана ідея з кількох причин:

  • Нуль конфіденційностіБудь-хто може бачити ваші файли, історію переглядів, електронні листи, відкриті в локальних клієнтах тощо.
  • Ризик шкідливого програмного забезпечення та зміни конфігураціїЯкщо всі є адміністраторами, недосвідчений користувач може встановити шкідливе програмне забезпечення або вимкнути критично важливі опції.
  • Відсутність відстежуваностіУ робочому середовищі, якщо всі використовують «PCVentas» з одним і тим самим обліковим записом, неможливо дізнатися, хто вніс які зміни.

Windows 11 значно спрощує керування користувачами:

  • Локальні рахункиІдеально підходить, якщо ви турбуєтеся про конфіденційність і не хочете, щоб уся інформація проходила через онлайн-ідентифікаційну систему Microsoft. Добре підходить для спільних ПК, середовищ із власними політиками або коли вам не потрібна інтеграція зі службами Microsoft 365.
  • облікові записи MicrosoftВони синхронізують налаштування, облікові дані та доступ до хмарних сервісів (OneDrive, Office, Xbox тощо). Дуже зручно при щоденному користуванні сервісами компанії.
  • Сімейні облікові записиРозроблено для дітей, з батьківським контролем, обмеженнями за часом, фільтрами контенту та централізованим моніторингом через службу безпеки сім’ї Microsoft.
Керування користувачами Windows за допомогою PowerShell
Пов'язана стаття:
Повний посібник з керування користувачами Windows за допомогою PowerShell

Щоб створити користувачів у Windows 11, у вас є кілька варіантів: Налаштування > Облікові записи > Інші користувачі, диспетчер комп’ютера (локальні користувачі та групи), інструмент netplwiz або безпосередньо команди типу Net User з консолі. Важливий не стільки шлях, скільки результат: Кожна особа має свій обліковий запис і лише ті, хто має бути адміністраторами, у групі «Адміністратори»..

Політика паролів у Windows: ключ до обмеження людських помилок

Неважливо, наскільки добре ви спроектуєте архітектуру, якщо ви дозволите користувачам встановлювати паролі, такі як «123456» або «password». Політика паролів Windows саме для цього й призначена. запровадити мінімальні правила безпеки та уникати абсурду.

Ця директива є частиною локальних або доменних політик безпеки та дозволяє налаштовувати такі аспекти, як:

  • Мінімум довготимінімальна кількість символів, яку має містити пароль.
  • Складність: чи включати великі літери, малі літери, цифри та символи.
  • записСкільки попередніх паролів запам'ятовується, щоб запобігти їх повторному використанню користувачем?
  • Максимальна та мінімальна дійсністьЯк часто його потрібно міняти і як довго його потрібно зберігати, перш ніж його можна буде знову міняти?
  • Блокування облікового запису: кількість невдалих спроб та час блокування для запобігання атакам методом перебору.

Це налаштовується з редактора групової політики (gpedit.msc) або, у сценаріях домену, через об'єкт групової політики: Конфігурація комп'ютера > Налаштування Windows > Налаштування безпеки > Політики облікових записів > Політика паролів.

Яким має бути пристойний пароль у наші дні?

Якщо вам потрібні паролі, які дійсно витримують сучасні атаки, базова теорія залишається вірною, але її потрібно застосовувати неухильно. Гарний пароль має бути:

  • УнікальнийНе використовувати повторно в інших сервісах чи пристроях. Ви уникаєте «ефекту доміно», якщо дані витікають на інший вебсайт чи додаток.
  • ШирокийПочинаючи з 10-12 символів, це починає бути прийнятним, хоча для критично важливих облікових записів (таких як адміністратори домену) 15 або більше символів це ідеал.
  • Складний, але запам'ятовуваний: комбінація великих літер, малих літер, цифр та символів, але організована у вигляді пароль легко запам'ятати та важко розібратися зі словником.

Дуже корисний трюк — це зашифровані фрази: ви вибираєте фразу, яку пам’ятаєте («Мій син Хуан на три роки старший за мою доньку Ану»), і зберігаєте першу літеру кожного слова, вставляючи цифри та символи: MhJe3@mqmh@Це генерує довгі та надійні паролі, не змушуючи вас вводити незрозумілі речі.

У ще серйозніших ситуаціях ви можете брати безпосередньо з генератори паролів та менеджери з посвідчень, такі як KeePassXCу поєднанні з багатофакторною автентифікацією. Чого слід уникати будь-якою ціною:

  • Порожні або тривіальні паролі («admin», «qwerty», дати народження…).
  • Паролі, написані на стікерах застрягли на екрані або збережені в незашифрованих документах.
  • Використовуйте той самий пароль для електронної пошти, соціальних мереж, VPN та входу в Windows.
  Проектування ефективного цифрового середовища в екосистемі Microsoft

Поєднання політики паролів та блокування облікового запису

Політика щодо паролів не існує окремо; Це доповнюється політикою блокування облікових записів.Мета полягає в тому, щоб запобігти тисячам послідовних спроб злому облікових даних зловмисником.

У Windows ви можете визначити:

  • Поріг блокуваннякількість невдалих спроб входу до блокування облікового запису.
  • Тривалість блокадичас, протягом якого обліковий запис залишатиметься заблокованим.
  • Вікно підрахунку: часовий інтервал, протягом якого підраховуються невдалі спроби, щоб визначити, чи заблоковано.

У попередніх версіях Windows були такі утиліти, як passprop.exe підпорядкувати навіть вбудований обліковий запис адміністратора політикам блокування, спочатку лише для віддалених запуску, а пізніше також для інтерактивних запуску. Сьогодні, з Windows 11 та поточною версією Active Directory, ви можете краще модулювати цю поведінку за допомогою об'єктів групової політики (GPO), але ідея та сама: що навіть класичний адміністратор не уникає контролю.

Виявлення слабких паролів та періодичний аудит

Встановлення правил – це добре, але реальність така, що завжди знайдуться користувачі, які докладають найменших зусиль або використовують один і той самий пароль роками. Саме тому доцільно доповнити директиву інструменти для аналізу паролів:

  • Онлайн-інструменти (мережеві), такі як MBSA (Microsoft Baseline Security Analyzer, у застарілих середовищах), які перевіряють наявність порожніх паролів, паролів, що збігаються з ім’ям користувача або ім’ям комп’ютера.
  • Сторонні офлайн-інструменти які аналізують хеші та шукають слабкі паролі, не спричиняючи блокування облікового запису (рекомендований метод).

Коли ви виявляєте слабкий пароль, ідеальним рішенням є автоматизація відповіді: примусово змінити пароль на надійний або надіслати власнику чітке попередженняУ більш регульованих середовищах може знадобитися негайне відновлення та повідомлення служби безпеки.

Аудит не обмежується паролями; він також повинен охоплювати використання привілейованих облікових записівХто куди входить, хто змінює членство в групах, хто модифікує політики безпеки тощо. Тут вашими союзниками є переглядач подій, відповідні об'єкти групової політики та, якщо це виправдовує розмір організації, SIEM.

Привілейовані облікові записи: де їх можна використовувати та як їх додатково захистити

Ще один критичний елемент — це Обмеження комп'ютерів, з яких можна використовувати облікові записи домену з високими правамиАдміністратор домену ніколи не повинен входити в систему на ПК звичайного користувача, як би сильно той не поспішав.

Деякі дуже ефективні заходи:

  • Дозволити інтерактивний вхід для адміністраторів домену лише на контролерах домену та виділених робочих станціях керуванняніколи на ненадійному обладнанні чи серверах користувачів.
  • Заборонити використання облікових записів адміністраторів як служби або для пакетних завданьякщо з ними не поводитися з надзвичайною обережністю.
  • Вимкнути делегування для привілейованих облікових записів, позначивши їх як «Обліковий запис важливий і не може бути делегований», запобігаючи видаванню себе за іншу особу через довірені сервери для делегування.

Щоб ще більше підвищити рівень, наполегливо рекомендується вимагати, щоб Для входу адміністратора використовуються смарт-картки (Надійна двофакторна автентифікація). Це запобігає багатьом проблемам, що виникають через спільні, викрадені або захоплені кейлогерами паролі, і гарантує, що особа, яка входить у систему, фізично має картку та PIN-код.

У надзвичайно конфіденційних облікових записах (наприклад, члени адміністраторів організації) можливо Спільний доступ до облікового запису між двома людьми контрольованим чиномОдна людина тримає смарт-картку, а інша — PIN-код, тому обидві особи повинні бути присутніми, щоб скористатися нею. Це не ідеально з точки зору індивідуальної відповідальності, але додає досить надійний рівень фізичного контролю та нагляду.

PsLoggedOn Windows
Пов'язана стаття:
Посібник з перегляду активності користувачів за допомогою PsLoggedOn

Уся ця система заходів — добре налаштована LAPS, сувора, але розумна політика паролів, мінімальні привілеї, аудит та надійна автентифікація за допомогою смарт-карт — дозволяє… Локальні та адміністраторські облікові записи у Windows 11 мають бути контрольованим інструментом, а не зарядженою зброєю, спрямованою на вашу власну мережу.допомагаючи вам підтримувати безпеку, відстежуваність та оперативність реагування, не порушуючи повсякденного життя користувачів та не доводячи вас до шаленого напруження управлінням інцидентами. Поділіться інформацією, і інші користувачі дізнаються про цю тему.