Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Админ-шаринг: лучшие практики доступа и безопасности

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Лучшие практики доступа и безопасности к административным ресурсам
  4. 1. Как часто нужно повторно вводить учетные данные?
  5. 2. Можно ли настроить запрос на ввод учетных данных каждый раз при доступе к административной папке?
  6. 3. Лучшие практики доступа к административным ресурсам

Вопрос или проблема

Я задаю этот вопрос, чтобы получить лучшие практики. Например, мы получаем доступ к программным источникам от вошедшего в систему пользователя ПК к админ-доступу с учетными данными администратора домена, чтобы скопировать источники на целевой ПК. Мы вводим учетные данные и закрываем окно после копирования, но учетные данные администратора все еще “доступны”, пользователь может подключиться к другому админ-доступу без ввода учетных данных. Мои вопросы:

  1. Через какое время мне нужно снова вводить учетные данные?
  2. Возможно ли сделать так, чтобы каждый раз, когда мы получаем доступ к админ-доступу, появлялось сообщение с запросом учетных данных?
  3. Каковы лучшие практики для доступа к админ-доступам?

Спасибо. С уважением.

Это никогда не должно быть проблемой, поскольку другой пользователь не имеет доступа к сессии администратора, где происходит подключение к серверам/SMB-доступам.

Похоже, что вы делаете следующее: 1) удаленное управление сессией пользователя 2) подключение оттуда к SMB-доступу с использованием привилегированных учетных данных.

Если это так, то это плохая практика безопасности. Ресурс, к которому они получают доступ, должен быть доступен для различных ролей, которые не подвергают этот риск безопасности.

В частности, учетные записи администратора домена должны использоваться только для администрирования ресурсов домена, которых не так много, и только с защищенных конечных точек, никогда с рабочей станции пользователя.

Ответ или решение

Лучшие практики доступа и безопасности к административным ресурсам

Вопрос доступа к административным ресурсам (admin shares) и управления безопасностью является важным аспектом работы с ИТ-инфраструктурой. Давайте рассмотрим рекомендации по безопасному доступу и обеспечению конфиденциальности, а также ответы на конкретные вопросы.

1. Как часто нужно повторно вводить учетные данные?

С точки зрения безопасности, рекомендуется использовать временные ограничения на доступ с привилегированными учетными данными. Обычно вы можете настроить параметры безопасности через групповую политику, чтобы гарантировать, что пользователь будет автоматически отключен от ресурса через заданный интервал времени. Этот интервал может варьироваться, но общепринятые настройки – от 15 до 30 минут бездействия пользователя. Чем чаще пользователю будет необходимо повторно вводить учетные данные, тем выше уровень безопасности.

2. Можно ли настроить запрос на ввод учетных данных каждый раз при доступе к административной папке?

Да, существует возможность настроить систему так, чтобы каждый раз, когда происходит попытка подключения к административной шере, требовалось введение учетных данных. Для этого можно использовать следующие подходы:

  • Изоляция учетных данных: Необходимо отключить сохранение учетных данных в системе (параметры "Не сохранять учетные данные" в настройках безопасности).
  • Политики безопасности: Настройка групповых политик на принудительное каждой сессии требование ввода пароля. Это может включать использование политик, таких как Windows Local Security Policy (настройка "Interactive logon: Require User Authentication for Remote Connections by Using Network Level Authentication").

3. Лучшие практики доступа к административным ресурсам

  • Минимизация использования администраторских учетных записей: Активно избегайте использования учетных записей с администраторскими полномочиями при доступе к ресурсам, которые не требуют таких привилегий. Кроме того, используйте отдельные учетные записи для повседневных задач и для управления системой.

  • Разграничение доступа: Применяйте ролевой подход (RBAC) для разграничения доступов к административным ресурсам. Убедитесь, что пользователи имеют доступ только к тем ресурсам, которые необходимы для выполнения их работы.

  • Обеспечение безопасного окружения: При проведении административных задач используйте защищенные конечные устройства (например, серверы управления или рабочие станции), которые находятся под строгим контролем безопасности. Это убережет вас от атак через пользовательские системы.

  • Регулярный аудит безопасности: Настройте систему для регулярного аудита доступа и использования административных ресурсов. Это может включать анализ логов событий Windows и событий доступа к файловым ресурсам.

  • Обучение сотрудников: Проводите обучение для сотрудников по вопросам безопасности, чтобы они осознавали риски, связанные с неправомерным доступом и использованием административных учетных записей.

  • Двухфакторная аутентификация (2FA): По возможности внедрите 2FA для повысения уровня безопасности при доступе к администраторским учетным записям и ресурсам.

Соблюдение этих лучших практик обеспечит надежную защиту ваших административных ресурсов и минимизирует риски безопасности, связанные с несанкционированным доступом. Принятие этих мер позволит вам значительно повысить уровень защиты и стабильности вашей ИТ-инфраструктуры.

administrative-privileges credentials network-share
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности