Най-добри практики за сигурно управление на локални акаунти в Windows 11

  • Разделянето на потребителски и администраторски акаунти, прилагането на минимални привилегии и използването на „Изпълни като“ драстично намалява въздействието на злонамерен софтуер и човешки грешки.
  • LAPS защитава локалните администраторски акаунти с уникални и силни пароли, при условие че разрешенията за четене в AD са силно ограничени и одитирани.
  • Политиките за заключване на пароли и акаунти в Windows позволяват прилагането на дълги, сложни и контролирано ротиращи пароли, което затруднява атаките чрез груба сила и повторната употреба на пароли.
  • Ограничаването на местата, където привилегированите акаунти могат да влизат, използването на смарт карти и одитирането на използването на критични идентификационни данни засилва сигурността и проследимостта в мрежата.
Joaquin Romero

14 Minutos

Управление на локални акаунти в Windows 11

Защитата на локалните и администраторските акаунти в Windows 11 вече не е задължителна: днес е задължителна, ако не искате акаунтите ви да бъдат компрометирани. Една единствена компрометирана машина може да унищожи целия ви домейн.Освен това е добра идея да проверите дали акаунтите ви са били компрометирани.

Номерът е да комбинирате добре всички части: Локални администратори, управлявани с LAPS, домейн акаунти с най-малко привилегии, силни пароли и последователни политики за заключванеАко добавите към това ясни процедури (кой какво може да прави, откъде и как се извършва одит), ще имате много солидна основа за сигурно управление на локални акаунти в Windows 11.

Защо администраторите и локалните акаунти са толкова опасни

Акаунтите с високи привилегии са лесна плячка за всеки нападател, защото Те имат пълен достъп до компютъра и често до целия домейн.Това се отнася както за класическия локален администратор, така и за групите от най-високо ниво в Active Directory.

В типична домейн среда ще откриете поне тези видове акаунти и групи с голямо влияние върху сигурността:

Вярно е, че новоинсталираните системи са по-бързи.
Свързана статия:
Проверете дали акаунтите ви са компрометирани и се защитете бързо
  • Локални администраторски акаунти: интегрираният на всеки екип (можете активиране на скрит администраторски акаунт) и всеки потребител, добавен към локалната група „Администратори“. Те имат абсолютен контрол над системата, в която се намират.
  • Администратори на домейни: акаунти на групата администратори на домейна, с права над всички компютри-членки на този домейн.
  • Горски администратори: в коренния домейн на гората, с контрол над всички домейни и на практика над цялата AD инфраструктура.
  • Администратори на схеми и други специални групиТе могат да променят схемата на AD, да управляват GPO на ниво гора, да издават сертификати и т.н. Всяка грешка тук има каскаден ефект.

Проблемът не е само във външните нападатели. Вътрешните потребители с твърде много разрешения или твърде малко знания също могат да причинят огромни щети.изтриване на критични данни, неправилно конфигуриране на домейн контролери, деактивиране на антивирусна програма или неволно отваряне на вратата за зловреден софтуер.

Ако си създадете навика винаги да работите влезли като администратор, на практика предоставяте компютъра си на всеки злонамерен код: Зловредният софтуер ще се изпълнява със същите привилегии като вашата сесияТой ще може да създава потребители, да изхвърля хешове, да се движи странично и, с малко късмет, да се мащабира в домейна. За да се намалят векторите на физическо компрометиране, прегледайте Практически мерки за защита на компютъра ви от злонамерени USB устройства.

Видове администраторски акаунти, които трябва да наблюдавате

На практика, когато планирате сигурността в Windows 11 в корпоративна среда, се интересувате от три основни категории привилегировани акаунти:

  • Локални администраторски акаунти на работни станции и сървъри-членове. Това включва вградения администраторски акаунт и всички други потребители в локалната група „Администратори“.
  • Акаунти на администратори на домейн, обикновено членове на домейн администраторите, които често имат и локални привилегии на много критични сървъри.
  • Горски стопани (членове на администраторите на организацията и в някои случаи администратори на схемата), които могат да докосват гори, домейни, CA, смарт карти и др.

Към тях трябва да добавим един много деликатен подтип: акаунти, свързани със сертификати на агенти (Агент за възстановяване на EFS, регистрация, възстановяване на ключове и др.). Те могат да се използват за представяне за други лица, регистрация на смарт карти за други потребители или декриптиране на данни. Те трябва да подлежат на дори по-строги политики за сигурност от обикновените администраторски акаунти.

Основни добри практики: най-малко привилегии и разделение на задълженията

Принципът, който ще ви даде най-голяма сигурност с най-малко усилия, е този на минимални привилегииВсеки потребител, услуга или екип трябва да има точно необходимите разрешения, не повече. Но това трябва да се прилага наистина, не само в презентациите на PowerPoint.

Прилагането на минимални привилегии включва няколко практически решения:

  • Два акаунта на администраторТрябва да имате един обикновен акаунт за ежедневна употреба (имейл, сърфиране, офис приложения) и друг единствено за административни задачи. Администраторският акаунт не трябва да се използва за четене на имейли или сърфиране в интернет.
  • Систематично използване на „Изпълни като“ (Runas или Secondary Logon Service) Вместо да работите влезли като администратор, стартирате конзолата или инструмента с повишени идентификационни права и сте готови.
  • Не предоставяйте привилегии за домейн, където не са необходими.Акаунт с права в една гора не е задължително да има права в друга, дори ако има доверие между тях.
  • Периодичен преглед на членството в привилегировани групи, премахвайки акаунти и групи, които вече не се използват или имат прекомерни разрешения.
  Актуализацията на Windows 11 KB5074109 причинява грешки при зареждане с грешка UNMOUNTABLE_BOOT_VOLUME

Също така е силно препоръчително Ясно разграничете ролите на администратора на домейна и администратора на организациятаМожете да изберете един, силно защитен акаунт за администратори на организацията или още по-добре, да го създадете само когато дадена задача го изисква, да го използвате и да го изтриете веднага след това.

LAPS: Реални предимства и рискове, ако не го настроите правилно

Управление на локални акаунти в Windows 11

LAPS (Local Administrator Password Solution и неговата съвременна версия, Windows LAPS) решава един от класическите недостатъци на много мрежи: една и съща парола за локален администратор на всички компютриТази практика е перфектна рецепта за странично движение: компрометирате компютър, изхвърляте хешове, предавате хеша и можете да прескачате от машина на машина.

С LAPS всеки екип в домейна има уникална, дълга и произволна парола за вашия локален администраторски акаунтсъхранява се криптирано в Active Directory и се ротира автоматично. Това предлага много ясни предимства:

  • Смекчава атаките тип „pass-the-hash“ и „pass-the-ticket“.Ако хакер открадне хеша на локалния администратор на машина, то ще работи само на тази машина.
  • Улеснява спасяването на оборудванеАко компютър бъде изваден от домейна или потребителският профил се повреди, имате супер надеждни локални администраторски идентификационни данни, за да влезете и да го поправите.
  • Елиминира необходимостта от споделяне на локални „главни“ пароли сред техниците, с всички произтичащи от това бедствия, свързани с безопасността.

Това обаче не е магия. За да проработи, трябва да имат акаунти (или групи) с разрешение за четене на тези пароли в ADИ тук се появява страхът: ако някой открадне тези идентификационни данни с разрешения за четене на LAPS, той може да извлече локалните пароли за целия парк една по една.

Ключът към превръщането на LAPS в нетно предимство, а не в нова уязвимост, е да се третират тези разрешения за четене като злато:

  • Много малка група от оторизирани техници (в идеалния случай специални групи за сигурност в AD) с разрешения за четене на атрибути на LAPS само в организационните единици, които се нуждаят от тях.
  • Строг одит кой чете коя парола и кога. Това ви дава възможност за проследяване, когато искате да прегледате кой има повишени привилегии във всеки един момент.
  • Никога не използвайте тези акаунти с LAPS разрешения за ежедневни задачиИзползвайте специални администраторски акаунти или администриране „точно навреме/точно достатъчно“, ако вашата среда го позволява.

И един важен въпрос: LAPS означава ли, че вече не се нуждаете от локални администратори на домейни на компютрите? Не е задължителноРазумното решение е да се комбинира:

  • Un локален администратор, управляван с LAPS за инциденти, спасителни операции и много специфични задачи.
  • Един или повече домейн групи, присвоени на локалната група „Администратори“ чрез GPO за задачи по поддръжка, внедряване на софтуер, сканиране за уязвимости и др.

Това ви дава гъвкавостта, от която се нуждаете за инструменти като скенери за уязвимости или системи за внедряване, но Не разчитате на един-единствен, клониран локален идентификационен номер в цялата мрежа.

Как да се поддържа видимост: кой какво прави, когато ескалира привилегиите

Възниква разумен въпрос: ако използвате LAPS само с един локален администраторски акаунт на компютър, как контролирате кой е използвал този акаунтОт счетоводна и одиторска гледна точка, не е желателно да се въвежда „обхватна система“, при която всеки влиза с една и съща самоличност, без да оставя следа.

Отговорът се крие в комбинирането на няколко мерки:

  • Не използвайте директната интерактивна сесия с локалния администратор, освен в крайни случаи.В идеалния случай техниците трябва да се удостоверяват със собствените си именувани (домейнови) акаунти и да използват локалните идентификационни данни само за задачи, които ги изискват.
  • Одит на събития за влизане (интерактивно, RDP, използване на Runas и др.) на работни станции и сървъри. Можете да централизирате лог файловете в SIEM или на сървър за събиране на събития.
  • Свържете прочитането на паролата за LAPS със заявка за промяна или билетАко вътрешен инструмент или портал изисква обосновка защо се осъществява достъп до паролата на устройството, тогава вече имате възможност за проследяване.

В крайна сметка, ако техник трябва да види паролата за LAPS в AD, трябва да остане следа: кой го е поискал, за кой отбор и по кое времеТова частично компенсира факта, че сесията, която впоследствие се стартира на компютъра, ще бъде с локалния „безличен“ акаунт.

  HWiNFO и CPU-Z: ключовите инструменти за диагностициране на вашия компютър

Стратегия за акаунти в Windows 11: многопотребителски и отделни профили

Отвъд корпоративното ниво, това се отплаща дори в домашна среда или малък бизнес. създайте различен потребител за всяко лице или роляВинаги споделянето на един и същ акаунт (да не говорим за администраторския акаунт) е лоша идея по няколко причини:

  • Нулева поверителностВсеки може да вижда вашите файлове, история на сърфиране, имейли, отворени в локални клиенти и др.
  • Риск от злонамерен софтуер и промени в конфигурациятаАко всички са администратори, неопитен потребител може да инсталира злонамерен софтуер или да деактивира критични опции.
  • Липса на проследимостВ работна среда, ако всички използват „PCVentas“ с един и същ акаунт, е невъзможно да се знае кой е направил коя промяна.

Windows 11 значително улеснява управлението на потребителите:

  • Местни акаунтиИдеален, ако сте загрижени за поверителността и не искате всичко да минава през онлайн самоличността на Microsoft. Подходящ за споделени компютри, среди със собствени правила или когато не е необходима интеграция с услугите на Microsoft 365.
  • Microsoft акаунтиТе синхронизират настройки, идентификационни данни и достъп до облачни услуги (OneDrive, Office, Xbox и др.). Много удобно при ежедневно ползване на услугите на компанията.
  • Семейни акаунтиПроектиран за деца, с родителски контрол, времеви ограничения, филтри за съдържание и централизирано наблюдение чрез Microsoft Family Safety.
Управление на потребители на Windows с PowerShell
Свързана статия:
Пълното ръководство за управление на потребители на Windows с PowerShell

За да създадете потребители в Windows 11, имате няколко опции: Настройки > Акаунти > Други потребители, мениджърът на компютъра (локални потребители и групи), инструментът netplwiz или директно команди като Net User от конзолата. Важното не е толкова пътят, колкото резултатът: Всеки човек със собствен акаунт и само тези, които трябва да бъдат администратори, в групата „Администратори“..

Политика за пароли в Windows: ключ към ограничаване на човешките грешки

Няма значение колко добре проектирате архитектурата, ако след това позволите на потребителите да задават пароли като „123456“ или „password“. Политиката за пароли на Windows е точно за тази цел. налагат минимални правила за безопасност и избягвайте абсурдите.

Тази директива е част от локалните или домейн политиките за сигурност и ви позволява да коригирате аспекти като:

  • Минимална дължинаминималният брой знаци, които една парола трябва да съдържа.
  • Сложност: дали да се включат главни букви, малки букви, цифри и символи.
  • рекордКолко предишни пароли се запомнят, за да се предотврати повторното им използване от потребителя?
  • Максимална и минимална валидностКолко често трябва да се сменя и колко дълго трябва да се съхранява, преди да може да се смени отново?
  • Блокиране на акаунтброй неуспешни опити и време за блокиране за предотвратяване на атаки с груба сила.

Това се конфигурира от редактора на групови правила (gpedit.msc) или, в сценарии с домейн, чрез GPO: Конфигурация на компютъра > Настройки на Windows > Настройки за сигурност > Правила за акаунти > Правила за пароли.

Каква трябва да бъде една добра парола в днешно време?

Ако искате пароли, които наистина издържат на настоящите атаки, основната теория все още е вярна, но трябва да се прилага стриктно. Една добра парола трябва да бъде:

  • самоНе се използва повторно в други услуги или устройства. Избягвате „ефекта на доминото“, ако информацията изтече към друг уебсайт или приложение.
  • дългоОт 10-12 знака нататък започва да е разумно, въпреки че за критични акаунти (като администратори на домейни) 15 или повече символа това е идеалът.
  • Сложно, но запомнящо се: комбинация от главни букви, малки букви, цифри и символи, но организирани във формата на парола лесен за запомняне и труден за разгадаване с речник.

Много полезен трик е този с криптирани фрази: избирате фраза, която помните („Синът ми Хуан е с три години по-голям от дъщеря ми Ана“) и запазвате първата буква на всяка дума, като вмъквате цифри и символи: MhJe3@mqmh@Това генерира дълги и силни пароли, без да ви принуждава да пишете неразбираеми неща.

В още по-сериозни ситуации можете да дърпате директно от генератори на пароли и мениджъри на удостоверения, като например KeePassXCкомбинирано с многофакторно удостоверяване. Това, което трябва да избягвате на всяка цена, е:

  • Празни или тривиални пароли („admin“, „qwerty“, дати на раждане…).
  • Пароли, написани на лепящи се листчета залепени на екрана или запазени в некриптирани документи.
  • Използвайте една и съща парола за имейл, социални медии, VPN и вход в Windows.
  Как да ограничите телеметрията на Windows 11, като същевременно запазите стабилността на приложенията

Комбиниране на политика за пароли и заключване на акаунти

Политиката за пароли не е самостоятелна; Това се допълва от политиката за блокиране на акаунти.Целта е да се предотврати хиляди последователни опити на нападател срещу идентификационни данни.

В Windows можете да дефинирате:

  • Праг на блокиране: брой неуспешни опити за влизане, преди акаунтът да бъде заключен.
  • Продължителност на блокадатавремето, през което акаунтът ще остане блокиран.
  • Прозорец за броене: интервал от време, в който се броят неуспешните опити, за да се определи дали е блокиран.

В по-ранните версии на Windows имаше помощни програми като passprop.exe да се подложат дори вграденият администраторски акаунт на блокиращи правила, първоначално само при отдалечени стартирания, а по-късно и при интерактивни стартирания. Днес, с Windows 11 и текущата Active Directory, можете по-добре да модулирате тези поведения, използвайки обекти с групови правила (GPO), но идеята е същата: че дори класическият администратор не се изплъзва от контрола.

Откриване на слаби пароли и периодичен одит

Определянето на правила е добре, но реалността е, че винаги ще има потребители, които полагат най-малко усилия или използват една и съща парола от години. Ето защо е препоръчително директивата да се допълни с инструменти за анализ на пароли:

  • Онлайн (мрежови) инструменти като MBSA (Microsoft Baseline Security Analyzer, в наследени среди), които проверяват за празни пароли, пароли, които са същите като потребителското име или името на компютъра.
  • Офлайн инструменти на трети страни които анализират хешове и търсят слаби пароли, без да причиняват блокиране на акаунти (препоръчителен метод).

Когато откриете слаба парола, идеалното решение е да автоматизирате отговора: принудете промяната на силна парола или изпратете много ясно предупреждение до собственикаВ по-регулирани среди може да се изисква незабавно възстановяване и уведомяване на екипа по сигурността.

Одитът не се ограничава само до пароли; той трябва да обхване и използване на привилегировани акаунтиКой къде влиза, кой променя членството в групи, кой модифицира политиките за сигурност и т.н. Програма за преглед на събития, подходящи GPO и, ако размерът на организацията го оправдава, SIEM са вашите съюзници тук.

Привилегировани акаунти: къде могат да се използват и как да ги защитим допълнително

Друг критичен елемент е Ограничете компютрите, от които могат да се използват домейн акаунти с високи привилегииАдминистраторът на домейн никога не трябва да влиза в компютъра на обикновен потребител, независимо колко бърза.

Някои много ефективни мерки са:

  • Разрешаване на интерактивни входове за администратори на домейни само на домейн контролери и специализирани работни станции за управлениеникога на ненадеждно потребителско оборудване или сървъри.
  • Забранете използването на администраторски акаунти като услуга или за пакетни задачиосвен ако не се управляват с изключително внимание.
  • Деактивиране на делегирането за привилегировани акаунти, като ги маркира като „Акаунтът е важен и не може да бъде делегиран“, предотвратявайки представянето им за друг чрез доверени сървъри за делегиране.

За да се повиши нивото още повече, силно се препоръчва да се изисква това Административните входове използват смарт карти (Силно двуфакторно удостоверяване). Това предотвратява много проблеми, произтичащи от споделени, откраднати или заснети от кейлогър пароли, и гарантира, че лицето, което влиза, физически разполага с картата и ПИН кода.

В изключително чувствителни акаунти (например членове на администратори на организация) е възможно да Споделяйте акаунта между двама души по контролиран начинЕдиният човек държи смарт картата, а другият - ПИН кода, така че и двамата трябва да присъстват, за да я използват. Това не е перфектно от гледна точка на индивидуалната отчетност, но добавя доста стабилен слой физически контрол и надзор.

PsLoggedOn Windows
Свързана статия:
Ръководство за преглед на потребителската активност с PsLoggedOn

Цялата тази рамка от мерки – добре конфигурирана LAPS, строга, но разумна политика за пароли, минимални привилегии, одит и силно удостоверяване със смарт карти – позволява… Локалните и администраторските акаунти в Windows 11 трябва да бъдат контролиран инструмент, а не зареден пистолет, насочен към вашата собствена мрежа.помагайки ви да поддържате сигурност, проследимост и бързина на реакция, без да нарушавате ежедневието на потребителите или да ви подлудявате при управлението на инциденти. Споделете информацията и други потребители ще научат по темата.