Ограничение прав локальных администраторов: с чего начать

Прежде чем перейти к предметному разговору об ограничении прав, необходимо разобраться, что представляет собой локальный администратор. Итак, это пользователь, обладающий наивысшими правами на отдельно взятом устройстве (компьютере или сервере). К основным функциям локального администратора относятся: управление пользователями и группами, установка и удаление программного обеспечения, изменение системных настроек, доступ к системным файлам и реестру или конфигурационным файлам. Эти привилегии делают роль локального администратора удобной для работы на устройстве, но одновременно и крайне опасной с точки зрения информационной безопасности.

Необходимо ввести определенные ограничения на работу с правами локального администратора, в противном случае можно столкнуться с печальными последствиями. Например, существует распространенная практика установки одинаковых паролей для всех систем, потому что это удобно в обслуживании, не требует централизованного хранения сложных паролей и их запоминания – однако при возникновении инцидента ИБ злоумышленник сможет получить доступ ко всем системам одновременно. Следующий пример: если мониторинг действий пользователей с правами локального администратора не производится, то факт установки злоумышленником вредоносного ПО может остаться незамеченным. Эти случаи могут привести к финансовым, репутационным и юридическим последствиям для организаций.

Далее рассмотрим, какие меры необходимо предпринять, чтобы снизить риски, связанные с правами локального администратора. Для обеспечения безопасности ИТ‑инфраструктуры в первую очередь необходимо организовать доменную структуру. Если домен еще не создан, рекомендуется заняться его настройкой. Доменная структура позволяет централизовано управлять пользователями и правами доступа, что значительно облегчает процесс администрирования.

После того как домен настроен, следующим шагом следует решить вопрос использования локальных учетных записей. Рекомендуется создать и использовать только доменные учетные записи для всех пользователей, а локальные учетные записи жестко ограничить, либо вовсе отказаться от их использования. Помимо упрощения администрирования, такая мера позволит обеспечить единый контроль доступа.

После завершения работы над созданием структурированного списка пользователей и ИТ-активов можно перейти к следующему процессу – удалению лишних локальных администраторов. В операционных системах семейства Windows локальными администраторами называются те пользователи, которые входят в группу Administrators. В операционных системах семейства Unix (Linux, macOS), локальными администраторами можно назвать тех пользователей, которые входят в группу с правом выполнять команды с повышением привилегий через sudo (действия от имени суперпользователя root). Локальные учетные записи с правами администратора представляют собой одну из основных угроз безопасности. Поэтому важно провести аудит и затем исключить лишних локальных администраторов, оставляя только тех пользователей, которые действительно нуждаются в привилегии полного доступа с целью выполнения своих прямых рабочих обязанностей.

Следующим этапом будет проведение детальной настройки прав доступа. Используя принцип минимизации прав доступа (Principle of Least Privilege), следует ограничить права пользователей до уровня, необходимого для выполнения их задач. Это потребует базового понимания ролей пользователей в вашей ИТ-инфраструктуре.

Для этого потребуется ролевая модель. Есть различные варианты ролевых моделей, например: RBAC (Role-Based Access Control), где пользователь получает права через роль. Например, такая роль, как «Системный оператор», включает права на управление сервисами. ABAC (Attribute-Based Access Control), где доступ определяется на основе атрибутов (роль, время, устройство, контекст). Также существуют и другие варианты ролевых моделей, такие как DAC (Discretionary Access Control) – доступ к объектам определяется их владельцем и MAC (Mandatory Access Control) – политика доступа с жесткими рамками системы безопасности не может быть изменена пользователями. Рекомендуется более глубоко разобраться в преимуществах каждого подхода и выбрать тот, что наиболее соответствует требованиям и целям организации. Далее, на основе составленной ролевой модели, создаются группы пользователей с различными уровнями доступа и прав. Это позволит структурировать управление правами и доступом, к примеру, можно использовать групповые политики для осуществления централизованного и автоматизированного управления.

Заключительным этапом является внедрение контроля и мониторинга за действиями пользователей с правами локального администратора. Для этого необходимо настроить логирование действий администраторов, чтобы отслеживать подозрительную активность. В дальнейшем можно интегрировать полученные данные в систему SIEM для более глубокой аналитики и выявления возможных угроз. Также, например, в SIEM можно задать следующие правила корреляции: «Создание новой локальной учетной записи», «Добавление пользователя в группу администраторов», «Запуск процесса с высоким уровнем привилегий». В дальнейшем для повышения зрелости управления доступом необходимо внедрять специализированные средства защиты информации, такие как IAM/IDM для централизованного управления учетными записями, ролями и политиками доступа и PAM для контроля и аудита действий пользователей с повышенными привилегиями. Комплексное использование этих инструментов обеспечит прозрачность административной активности, снижая риски информационной безопасности и создаст условия для осуществления высокого уровня контроля.

Автор: Юлия Сонина, старший аналитик аналитического центра УЦСБ.