Pratici consigli per migliorare la sicurezza degli account privilegiati

Cosa sono gli account privilegiati?

Gli account privilegiati sono account utente con autorizzazioni estese per accedere a sistemi e a particolari dati, ad esempio l'account root nei sistemi UNIX e Administrator in Windows. A volte sono chiamati "le chiavi per il regno" perché avere un account privilegiato consente di fare cose che gli utenti ordinari non possono, come modificare la configurazione di un sistema o visualizzare ed eliminare i dati sensibili. Con tale accesso a portata di mano, gli utenti possono compiere sia azioni desiderate che indesiderate. Dipende da chi fa cosa e perché.

È necessario le procedure consigliate per la gestione degli account privilegiati?

Se si dispone solo di cinque PC, un router e un system administrator con un sacco di tempo libero, potrebbe non essere necessario disporre di rigorose pratiche di gestione degli account privilegiati, ma si sta assegnando una grande responsabilità su quella persona. Se si dispone di un ambiente più ampio è necessario seguire con attenzione le procedure consigliate, sia per garantire la sicurezza che per soddisfare gli standard di conformità per mantenere una rete sicura. Per essere in grado di tenere gli utenti privilegiati responsabili delle loro azioni è essenziale essere in grado di rispondere alle seguenti domande:

-Chi ha avuto accesso a un determinato sistema in un determinato momento?

-Chi ha effettivamente accesso al sistema e quali azioni specifiche sono state fatte?

Ad esempio, si supponga che le informazioni del database nel client siano trapelate nel DarkNet. Nei log si vedrà che l'account Administrator si è loggato nel database SQL e lo ha copiato - ma siccome 10 persone hanno la password per tale account, non c'è modo di trovare esattamente chi l'ha fatto. Inoltre, senza un controllo sugli account privilegiati non si può essere certi che si tratti di una di queste 10 persone, perché qualsiasi account potrebbe essere stato compromesso da un insider dannoso o da un attaccante esterno.

Come è possibile garantire la sicurezza degli account privilegiata nell'AD?

  • Controllare l'accesso alle risorse — l'utilizzo dei gruppi di Active Directory di Microsoft è il modo migliore per controllare l'accesso alle risorse e applicare un modello con privilegi minimi. Consente inoltre di enumerare facilmente le autorizzazioni a qualsiasi risorsa, sia esso un File Server di Windows o un database SQL.

  • Controllo delegato — la delega consente di concedere agli utenti o ai gruppi le autorizzazioni necessarie senza aggiungerle ai gruppi privilegiati come i Domain Admins o Account Operators. Il modo più semplice per eseguire la delega consiste nell'utilizzare il Delegation of Control Wizard nella Microsoft Management Console (MMC) Active Directory Users e Computer (ADUC) snap-in.

  • Utilizzare Password sicure — la funzionalità Microsoft Active Directory password policy consente alle organizzazioni di applicare l'utilizzo di password complesse tramite criteri appropriati per la password e il blocco degli account. È anche possibile definire criteri diversi per diversi insiemi di utenti in un dominio. È possibile applicare l'utilizzo di password complesse tramite un GPO nel vostro Windows Server; varie impostazioni consentono di controllare la complessità della password, la durata e altri requisiti. Ad esempio, è possibile richiedere agli amministratori di modificare regolarmente le proprie password; Idealmente, la password deve essere cambiata automaticamente ogni volta che viene utilizzato l'account.

  • Implementare un criterio di blocco degli account (account lockout policy) — un criterio di blocco dell'account disattiva un account utente se una password non corretta viene immessa un determinato numero di volte durante un determinato periodo di tempo. Questo criterio consente di impedire agli aggressori di indovinare le password degli utenti, riducendo in tal modo la possibilità di successo degli attacchi alla rete.

  • Auditing attivato — Il criterio di auditing di Windows definisce quali tipi di eventi vengono scritti nei registri di protezione dei server Windows. Il monitoraggio della creazione e della modifica degli oggetti consente di individuare potenziali problemi di protezione, di garantire la responsabilità dell'utente e di fornire elementi di prova in caso di violazione della protezione.

  • Configurare le autorizzazioni NTFS — i principali vantaggi delle autorizzazioni NTFS si basano sulle autorizzazioni concesse a ogni singolo utente all'accesso di Windows, indipendentemente dalla macchina da cui l'utente si connette.

  • Utilizzo dell'analisi del comportamento utente (UBA) — le strategie di difesa legacy sono in genere focalizzate sul perimetro, pertanto non possono identificare le minacce interne o gli attacchi in corso all'interno della rete. UBA offre visibilità nell'attività degli utenti attraverso i sistemi IT critici in modo da poter individuare questi problemi di sicurezza.

Cos'altro puoi fare?

Le soluzioni di terze parti consentono di implementare i controlli e i criteri necessari per migliorare la protezione degli account privilegiati. In particolare, le soluzioni di sicurezza per la gestione degli account consentono di fornire e disabilitare con precisione gli account privilegiati, inoltre i password vault possono archiviare le password i modo sicuro.