Этап 1. Знай свою инфраструктуру

Какую информацию необходимо защищать. Где в вашей сети хранится самая важная информация

• Кредитные карты, банковская и финансовая информация;
• Персональные данные;
• Базы данных клиентов, цены на закупку/поставку;
• Коммерческие секреты компании, формулы, методологии, модели, интеллектуальная собственность.

• Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
• Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»;
• Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 29.11.2010 N 326-ФЗ («Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

Какие устройства подключены к вашей сети

Действия:

• Если у вас есть беспроводная сеть, проверьте на своем маршрутизаторе (контроллере беспроводного доступа) какие устройства подключены, и применяется ли надежное шифрование (WPA2).
• Для более крупных организаций предлагается применение сетевого сканера (коммерческий или бесплатный) для идентификации всех устройств в вашей сети.
• Включите логирование событий, связанных с подключением сетевых устройств, которые получают ip-адрес по протоколу DHCP. Логирование таких событий обеспечит удобное отслеживание всех устройств, которые были в вашей сети. (Если вам нужна помощь, обратитесь к вашим ИТ-специалистам.)
• В небольших организациях можно хранить список вашего оборудования (компьютеры, серверы, ноутбуки, принтеры, телефоны и т. д.) и перечень защищаемой информации в электронной таблице, которую необходимо обновлять при появлении нового оборудования или данных.

• Nmap: известный многоцелевой сетевой сканер, используемый системными администраторами и хакерами по всему миру, чтобы определить, какие устройства подключены к вашей сети
• ZenMap: удобный графический интерфейс для Nmap
• Spiceworks: бесплатное программное обеспечение инвентаризации и управления ресурсами (устройства и установленное программное обеспечение) вашей сети

Действия:

• Создайте перечень приложений, веб-сервисов или облачных решений, которые использует ваша организация:
• Ограничьте число пользователей с правами администратора до минимально возможного значения. Не позволяйте обычным пользователям работать в системе с правами администратора.
• Используйте сложные пароли для административных учетных записей, так как администраторы могут вносить серьезные изменения в систему. Разработайте инструкцию для сотрудников по составлению сложных паролей .
• Убедитесь, что системные администраторы используют отдельную пользовательскую учетную запись для чтения электронной почты, доступа в Интернет и составления документов.
• Разработайте процедуру установки программного обеспечения в вашей сети и запретите установку неодобренных приложений с помощью, например, Applocker.

Инструменты:

• Applocker: бесплатный инструмент Microsoft Windows для определения и ограничения программного обеспечения, которое разрешено запускать
• Netwrix: множество бесплатных инструментов для идентификации информации об административном доступе в ваших системах
• OpenAudIT: инвентаризация программного обеспечения на серверах, рабочих станциях и сетевых устройствах

Антивирус Microsoft Security Essentials — теперь и для российских пользователей!

В дополнение к перечисленным выше технологиям безопасности, Microsoft также предлагает Microsoft Security Essentials — бесплатное антивирусное решение, которое обеспечивает надежную защиту компьютера от всех возможных угроз, в том числе от вирусов, шпионских программ, руткитов и троянов. Microsoft Security Essentials работает тихо и незаметно в фоновом режиме, не ограничивая действия пользователей и не замедляя работу любых, даже низкопроизводительных компьютеров. Предлагаемый компанией Microsoft антивирус прост в использовании, оснащён интуитивно понятным интерфейсом, содержит самые современные технологии для защиты от вирусов и соответствует всем нормам в области компьютерной безопасности.

Кибератаки, нацеленные на привилегированные учетные записи

Привилегированные учетные записи с расширенными полномочиями, необходимыми для установки нового аппаратного и программного обеспечения, конфигурации и обслуживания инфраструктуры, предоставляют права суперпользователя для работы практически с любым ресурсом в сети. Эти записи могут использоваться не только штатным и внештатным персоналом, но также бизнес-приложениями и компьютерными службами.

Последняя линия обороны организации, она же главное препятствие на пути
злоумышленников к ее информации, – это пароли доступа к привилегированным учетным записям.

Киберпреступники, как правило, сначала рассылают грамотно составленные фишинговые электронные письма, предлагающие ничего не подозревающим пользователям из организации-жертвы открыть вредоносное вложение, или же применяют более сложную «стратегию водопоя» (watering hole), заранее заражая сайты, которые, по мнению злоумышленников, с высокой долей вероятности пользователи могут посетить. Заполучив учетные данные пользователя, злоумышленники проникают в сеть организации через его компьютер и затем внедряют вредоносное ПО, разработанное самостоятельно или построенное на использовании уязвимостей таких популярных программ, как Microsoft Internet Explorer, Adobe Flash Player или Oracle Java. Взломав таким образом сеть организации, они могут найти слабо защищенные общие привилегированные учетные записи и через них получить контроль над широким кругом систем в сети, увидеть всю ее инфраструктуру и украсть конфиденциальную информацию. Это простая, но крайне эффективная стратегия.

Риск заражения сети организации вредоносным ПО постоянно растет. Последний ежегодный отчет об инцидентах с кражами данных показал, что количество случаев взлома (81%) и применения вредоносных программ (69%) выросло на 31 и 20% соответственно, а в 85% случаев факт кражи становился известным лишь спустя несколько недель.

Вывод очевиден: последняя линия обороны организации, она же главное препятствие на пути злоумышленников к ее информации, — это пароли доступа к привилегированным учетным записям. Где хранятся ваши привилегированные учетные данные и как ими могут воспользоваться злоумышленники?

Требования к приложениям

При включении Credential Guard в Защитнике Windows блокируются определенные средства проверки подлинности, поэтому приложения, которым требуются заблокированные средства, прекратят работу. Приложения должны быть протестированы перед развертыванием, чтобы обеспечить совместимость с уменьшенными функциональными возможностями.

Предупреждение

Включение Credential Guard в Защитнике Windows на контроллерах домена не поддерживается.
На контроллере домена размещаются службы проверки подлинности, которые интегрируются с процессами, изолируемыми при включении Credential Guard в Защитнике Windows, что приводит к сбоям.

Примечание

Credential Guard в Защитнике Windows не обеспечивает защиту для базы данных Active Directory или диспетчера учетных записей безопасности (SAM). Учетные данные, защищенные с помощью Kerberos и NTLM при включенном Credential Guard в Защитнике Windows, также находятся в базе данных Active Directory (на контроллерах домена) и SAM (для локальных учетных записей).

Предложения прекратят работу, если потребуется приведенное ниже:

• Поддержка шифрования Kerberos DES
• Неограниченное делегирование Kerberos
• Извлечение Kerberos TGT
• NTLMv1

Приложения будут запрашивать учетные данные и подвергать их риску, если для них требуется приведенное ниже.

• Дайджест-проверка подлинности
• Делегирование учетных данных
• MS-CHAPv2

Приложения могут приводить к проблемам с производительностью, когда пытаются подключить изолированный процесс Credential Guard в Защитнике Windows.

Службы и протоколы, зависящие от Kerberos, например общие файловые ресурсы, удаленный рабочий стол и BranchCache, продолжают работать и не попадают под действие Credential Guard в Защитнике Windows.

Технологии биометрической безопасности

Устройства, предназначенные для идентификации пользователей по отпечаткам пальцев, можно было использовать и в прежних версиях операционных систем компании Microsoft. Для этого приходилось довольствоваться программными решениями сторонних разработчиков. В Windows 7 имеются собственные биометрические драйверы и программные компоненты, которые могут использовать не только владельцы компьютеров, оснащённых устройствами чтения отпечатков пальцев, но и разработчики сторонних софтверных организаций. Для настройки биометрических устройств предусмотрено одноимённое меню в панели управления операционной системы.

Контроль учётных записей пользователей

В Windows 7 эволюционировал вызывавший много споров среди продвинутых пользователей механизм контроля учётных записей, известный также как User Account Control. В «семёрке» UAC стал гораздо менее навязчивым и обзавелся дополнительными параметрами, руководствуясь которыми можно гибко настраивать функцию контроля учётных записей и значительно сокращать количество запросов на подтверждение тех или иных действий, требующих администраторских полномочий в системе. User Account Control помогает предотвратить незаметное проникновение вредоносного кода на компьютер и поэтому отключать систему защиты (а такая опция предусмотрена) не рекомендуется.

Этап 3: Подготовь свою организацию

• Знаете ли вы, когда последний раз была создана резервная копия ваших ценных файлов?
• Регулярно ли вы проверяете правильность резервных копий?
• Знаете ли вы, с кем из коллег связаться, если произошел инцидент?

Управление резервными копиями

Действия:

• Автоматически выполнять еженедельные резервные копии всех компьютеров, содержащих важную информацию;
• Периодически проверяйте свои резервные копии, восстанавливая систему с использованием резервной копии;
• Убедитесь, что, хотя бы одна резервная копия недоступна по сети. Это поможет защитить от атак программ-вымогателей, поскольку данная резервная копия не будет доступна для вредоносного ПО.

Инструменты:

• Microsoft «Резервное копирование и восстановление»: утилита резервного копирования, встроенная в операционную систему Microsoft
• Apple Time Machine: инструмент резервного копирования, установленный в операционных системах Apple
• Amanda Network Backup: бесплатный инструмент резервного копирования с открытым исходным кодом
• Bacula: сетевое решение для резервного копирования и восстановления информации с открытым исходным кодом

Действия:

• Определите сотрудников вашей организации, которые будут принимать решения и давать указания в случае инцидента.
• Предоставьте контактную информацию для ИТ-персонала и / или сторонних организаций.
• Присоединяйтесь к ассоциациям, которые сосредоточены на обмене информацией и продвижении информационной безопасности.
• Храните список внешних контактов как часть вашего плана. К ним могут относиться юрисконсульты, страховые агенты, если вы застраховали риски по информационной безопасности, консультанты по вопросам безопасности.
• Ознакомьтесь с законами, связанными с нарушениями в сфере информационной безопасности в вашей стране.

Что делать, если произошел инцидент:

• Рассмотрите возможность обращения к консультанту по информационной безопасности, если характер и масштаб инцидента вам непонятен.
• Рассмотрите возможность обращения к юристу, если окажется, что в инциденте была скомпрометирована конфиденциальная информация третьей стороны.
• Подготовьтесь к уведомлению всех затронутых лиц, чья информация была раскрыта в результате нарушения.
• По мере необходимости информируйте сотрудников правоохранительных органов.

Защита доступа от хакеров

Существует множество способов защитить свой аккаунт. Первый и до сих пор самый важный — это пароль. Согласно мнению специалистов по IT-безопасности, не обязательно встраивать в него специальные символы, заглавные буквы и цифры — достаточно прописных. Но, пожалуйста, не менее 15-20.

Также нельзя использовать связанное предложение — лучше просто объедините случайные слова, к примеру «apartmentspoonlamp». Кроме того, для каждого сервиса необходимо использовать совершенно иной пароль, поскольку современные атаки методом «грубой силы» перебирают также варианты ставших известными паролей. То есть нельзя просто изменить два последних символа пароля, так как если при утечке данных с какого-либо сервиса будет взломан один код, злоумышленники при самом плохом сценарии развития событий способны вычислить и его варианты для других аккаунтов.

Чтобы не забивать себе голову таким множеством паролей, стоить установить специальный менеджер. Единственный код, который вам придется запомнить, это мастер-пароль к этому сейфу.

На следующем этапе речь пойдет о маркерах доступа к сервисам. Подобно куки, все устройства, на которых сохранен подобный ключ, получают доступ к аккаунту — даже после смены пароля. Все устройства и приложения, подключенные через токен к Gmail, вы увидите в меню «Действия на устройствах и безопасность аккаунта» в разделе «Приложения, у которых есть доступ к аккаунту». Зачастую, чтобы удалить маркер доступа, нужно зайти в настройки аккаунта и в разделе безопасности выбрать опцию «Сбросить автовход сейчас».

Осталось прикрыть от хакеров «заднюю дверь» восстановления паролей — секретный вопрос. Обычно он необходим для сброса пароля, если вы его забыли. Для того чтобы считаться легитимным пользователем, зачастую необходимо ответить на такие вопросы, как имя домашнего питомца или девичья фамилия матери. Эти сведения преступники получают быстро и с минимальными усилиями, например из социальных сетей. Еще один источник информации также может заинтересовать хакера: опубликованный в открытом доступе список желаний на сайте Amazon. Сведения из него могут сообщить, есть ли у вас домашнее животное и какими устройствами вы пользуетесь.

С учетом сказанного, в качестве ответа на секретный вопрос следует вводить отдельный короткий пароль. Он не обязан содержать специальные символы, однако ни в коем случае не должен представлять собой слово — только случайную комбинацию букв.

Три инструмента для работы с блокировками учетных записей Active Directory

Программные средства Account Lockout Status

• EventCombMT.exe собирает и фильтрует события из журналов событий контроллеров домена. Этот инструмент имеет встроенный поиск блокировок учетных записей. Он собирает идентификаторы событий, связанных с определенными блокировками учетных записей, в отдельном текстовом файле, который затем можно экспортировать.
• LockoutStatus.exe проверяет все контроллеры домена в домене и сообщает вам, когда в последний раз была заблокирована целевая учетная запись и с какого контроллера домена. Кроме того, этот инструмент дает информацию о текущем статусе заблокированной учетной записи и количестве попыток ввода неверного пароля.
• Ведение журнала Netlogon используется для отслеживания событий Netlogon и NT LAN Manager (NTLM). Включение регистрации событий в журнале Netlogon на всех контроллерах домена — это эффективный способ изолировать заблокированную учетную запись и увидеть причину блокировки. Для анализа журналов Netlogon используется NLParse.exe, который является одним из инструментов блокировки учетной записи.
• Acctinfo предоставляет дополнительные свойства в ADUC (пользователи и компьютеры Active Directory), например lastLogon (последний вход) и Password Expires (истечение пароля). В частности, с этой надстройкой вы получите дополнительную вкладку в ADUC, которая называется «Дополнительная информация об учетной записи». Она помогает определять и устранять проблемы с блокировкой учетных записей, а также изменять пароль пользователя на контроллере домена на сайте этого пользователя.

PowerShell

• Это можно сделать с помощью командлета Get-EventLog и следующей команды:
• Либо вы можете использовать функцию Get-UserLockoutStatus для устранения проблем с постоянной блокировкой учетных записей. Функция ищет на всех контроллерах домена такую информацию о пользователях, как статус блокировки учетной записи, количество вводов неверных паролей, время последнего ввода неверного пароля и время, когда последний раз устанавливался пароль.

Используйте специальное аппаратное обеспечение для защиты пароля

Более надежной, чем двухфакторная аутентификация, является защита с помощью USB-токена U2F (Universal Second Factor) стоимостью от 700 рублей, к примеру Key-ID FIDO. И если в случае с атаками «человек посередине» существует теоретическая возможность считать пароль при использовании двухэтапной защиты, то защита U2F неуязвима.

Структура обеспечения безопасности выстроена совершенно иным образом: при первом подключении сервис, для которой требуется ключ, создает пару кодов (открытый/закрытый) и сохраняет закрытый ключ на USB-накопителе. В дальнейшем пользователю для входа в свой аккаунт придется всегда подключать этот USB-токен.

В ответ на это сервер отправляет клиенту последовательность битов для расшифровки такого кода. В свою очередь код шифруется клиентом с помощью закрытого ключа и пересылается на сервер, где информация расшифровывается с помощью открытого ключа. Доступ предоставляется лишь при полном совпадении кодов.

Область применения

• Windows 10
• Windows 11
• Windows Server 2016
• Windows Server 2019

Чтобы Защитник Windows безопасности учетных данных, компьютеры, которые вы защищаете, должны соответствовать определенным базовым требованиям к оборудованию, прошивке и программному обеспечению, которые мы будем называть требованиями к оборудованию и программному обеспечению. Кроме того, Credential Guard в Защитнике Windows блокирует определенные средства проверки подлинности, поэтому приложения, которым требуются заблокированные средства, прекратят работу. Мы будем ссылаться на эти требования как Помимо этих требований, компьютеры могут соответствовать дополнительным требованиям к оборудованию и прошивке и получать дополнительные средства защиты. Эти компьютеры будут более защищены от определенных угроз. Подробные сведения о базовой защите, а также средствах защиты для повышения уровня безопасности, связанные с параметрами оборудования и встроенного ПО, доступные в 2015-2017 годах см. в таблицах в разделе .

Настройка двухэтапной аутентификации

Двухфакторная аутентификация является дополнительной мерой защиты ваших персональных данных. Если хакеру удастся узнать пароль входа в ваш аккаунт Google, он не сможет его взломать и получить доступ, так как потребуется ввести одноразовый код проверки, присланный на ваш номер телефона.

Если вы используете двухэтапную аутентификацию, это означает, что Гугл будет генерировать специальный шифр через приложение Google Authenticator, который требуется вводить для подтверждения входа в учетку.

Двухэтапная идентификация — один из самых надежных способов защиты учетной записи

Рекомендуется пользоваться дополнительной защитой от фишинга благодаря электронному ключу. Он хранится на внешнем носителе и активируется через порт USB, чип NFC или Bluetooth.

Шкала зрелости управления привилегированными учетными записями: каков уровень безопасности вашей организации на сегодняшний день?

Предлагаем вам самостоятельно оценить управление привилегированными учетными записями (РАМ — Privileged Account Management) в вашей организации, ответив на следующие вопросы, и определить, к какой стадии зрелости можно отнести ее по шкале зрелости РАМ :

• Известны ли вам все привилегированные учетные записи, которые существуют в сети организации? Как часто проверяется добавление новых устройств и учетных записей?
• Оформлены ли документально факты предоставления привилегированных учетных записей конкретным лицам?
• Возможно ли выяснить, кто, когда и с какой целью обращался под привилегированными учетными записями к IT-ресурсам организации?
• Возможно ли проверить, насколько криптографически сложны, уникальны и как часто меняются пароли привилегированных учетных записей? Можно ли считать их надежными?

С большой долей уверенности можно предположить, что ваша организация, как и большинство других современных предприятий, находится в левой части шкалы зрелости РАМ.

Пароль — основа для всего

Прежде всего — не записывайте пароли на стикерах и не прикрепляйте их к вашему офисному монитору. Это очень плохая идея. А теперь перейдём к советам.

1. Используйте надёжный пароль

Для составления паролей лучше всего пользоваться генераторами. Они помогут создать сложный и надёжный пароль, на взлом которого брутфорсом (методом полного перебора) могут уйти годы.

Старайтесь также использовать разные пароли для разных сайтов. Если произойдёт взлом или утечка на одном сервисе, то доступ к другим сервисам не пострадает.

2. Установите менеджер паролей для хранения

Если вы выполнили рекомендации из предыдущего пункта, то у вас должно получиться очень много сложных и длинных паролей. Запомнить и постоянно держать в голове просто невозможно. Поэтому для их хранения нужно использовать менеджер паролей, например KeePass.

Ни в коем случае не храните пароли в текстовых файлах на рабочем столе, и тем более в онлайн-документах (Google, «Яндекс», VK и других). Даже если хакер получит доступ к вашему устройству, он столкнётся с проблемой, как достать эти пароли из менеджера. Если вы не будете использовать менеджер паролей, то взломщик легко получит доступ ко всем вашим сервисам.

3. Используйте двухфакторную аутентификацию везде, где это возможно

Так выглядит настройка двухэтапной аутентификации в сервисах Google

Если вы не будете использовать двухфакторную аутентификацию, то, получив ваш пароль, злоумышленник сможет получить доступ к вашему аккаунту в социальной сети, почте или в любом другом веб-сервисе.

Кроме того, сервисы с возможностью двухфакторной аутентификации (Google, Microsoft, Вконтакте и другие) предоставляют также резервные коды подтверждения, которые необходимо распечатать и сохранить в надёжном месте. Лучше об этом позаботиться заранее, так как в результате потери устройства может быть также потерян доступ к аккаунту.

Обзор

• Знаете ли вы, что ваши сотрудники подключают к своим компьютерам? Какие устройства подключены внутри локальной сети?
• Знаете ли вы, какое программное обеспечение используется в ваших информационных системах?
• Вы настраивали компьютеры с учетом требований по информационной безопасности?
• Вы контролируете доступ сотрудников к конфиденциальной информации или тех, у кого есть повышенные права доступа в системах?
• Ваши сотрудники хорошо понимают свою роль в защите вашей организации от угроз информационной безопасности?

Этап 1 позволяет понять, что находится в вашей сети, и определяет базовые требования по информационной безопасности;

Этап 2 уделяет основное внимание обеспечению базовых требований безопасности и обучению сотрудников вопросам информационной безопасности.

Этап 3 помогает вашей организации подготовиться к инцидентам по информационной безопасности.

Центр поддержки Windows 7

Владельцы компьютеров с Vista наверняка успели оценить удобство центра обеспечения безопасности Windows. В новой версии операционной системы специалисты компании Microsoft существенно расширили возможности этого инструмента и присвоили ему новое говорящее название — центр поддержки. В отличие от «Висты», обновленный компонент информирует пользователя не только о проблемах безопасности Windows 7, но и обо всех других событиях, степень значимости которых можно оценивать по цветовой окраске сообщений. С помощью центра поддержки не составит труда убедиться, что система функционирует без ошибок, брандмауэр включен, антивирусные приложения обновлены и компьютер настроен для автоматической установки обновлений и резервного копирования важных данных. В случае выявления неполадок центр обновления Windows 7 выполнит поиск доступных решений в Интернете и приведёт ссылки на программные средства для устранения возникших ошибок.

Требования к оборудованию и программному обеспечению

Чтобы обеспечить базовую защиту от попыток на уровне ОС считать учетные данные домена диспетчера учетных данных, а также учетные данные, извлеченные из NTLM и Kerberos, в Credential Guard в Защитнике Windows используются приведенные ниже функции.

• Поддержка системы безопасности на основе виртуализации (обязательно)
• Безопасная загрузка (обязательно)
• Доверенный модуль платформы (TPM, предпочтительный — обеспечивает привязку к оборудованию) версии 1.2 и 2.0 поддерживаются как дискретными, так и прошивками.
• Блокировка UEFI (предпочитаемая— защита от злоумышленника с помощью простого изменения раздела реестра)

Требования к безопасности на основе виртуализации.

• 64-разрядный ЦП
• Расширения виртуализации в ЦП, а также расширенные таблицы страниц
• Windows (не требует установки Hyper-V Windows функции)

Развертывание Credential Guard в Защитнике Windows на виртуальных машинах

Credential Guard может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Развертывание Credential Guard на виртуальной машине обеспечивает защиту секретных сведений от атак внутри виртуальной машины. Credential Guard не обеспечивает дополнительный уровень защиты от атак привилегированной системы, исходящих с узла.

Требования для запуска Credential Guard в Защитнике Windows на виртуальных машинах Hyper-V

• Для узла Hyper-V требуется модуль IOMMU и по крайней мере операционная система Windows Server 2016 или Windows 10 версии 1607.
• Виртуальная машина Hyper-V должна быть 2 поколения с включенным виртуальным модулем TPM и Windows Server 2016 или Windows 10.

Сведения о других платформах для хостов см. в Windows Server 2016 и Hyper-V на основе функций безопасности на других платформах.

Сведения о требованиях к оборудованию и программному обеспечению Защитник Windows remote Credential Guard см. в Защитник Windows требования к удаленной

Как еще усилить защиту

Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.

Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.

Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.

Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.

Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.

Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.

Решение проблемы блокировки учетных записей

систему для отслеживания количества пользователей доменном лесу

Первые шаги

1. Убедитесь, что на контроллерах доменов и клиентских компьютерах установлены самые новые пакеты обновлений и исправлений.
2. Настройте компьютеры для сбора данных:
   • включите аудит на доменном уровне;
   • включите ведение журнала Netlogon;
   • включите ведение журнала Kerberos.
3. Анализируйте данные из файлов журналов событий и файлов журнала Netlogon. Это поможет определить, где и по какой причине происходят блокировки.
4. Проанализируйте журналы событий на компьютере, который генерирует блокировки учетной записи, чтобы определить причину.

Сочетаем классику и проактивность

Надеясь на классические технологии борьбы с известными
зловредами (например, поиск по сигнатуре вирусов, который гарантирует
100-процентную защиту), не стоит забывать о проактивных системах (скажем, эвристические
анализаторы и поведенческие блокираторы). Они способны находить неведомые ранее
вирусы. Однако есть небольшой недостаток – эти системы пока еще имеют ложные
срабатывания.

Обезопасить себя от подобного рода нежелательных результатов
можно, используя новейшие облачные технологии детектирования еще неизвестных
образцов вирусов и паттернов спам-сообщений. До занесения этих объектов в
вирусные базы применяйте обе технологии

Также важно обеспечить защиту в режиме
реального времени и мгновенно блокировать вредоносные рассылки, эксплойты и
уязвимости нулевого дня

Преимущества входа в домен по токену

PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.

PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.

При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.

Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.

Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.

Используйте специальное аппаратное обеспечение для защиты пароля

Более надежной, чем двухфакторная аутентификация, является защита с помощью USB-токена U2F (Universal Second Factor) стоимостью от 700 рублей, к примеру Key-ID FIDO. И если в случае с атаками «человек посередине» существует теоретическая возможность считать пароль при использовании двухэтапной защиты, то защита U2F неуязвима.

Структура обеспечения безопасности выстроена совершенно иным образом: при первом подключении сервис, для которой требуется ключ, создает пару кодов (открытый/закрытый) и сохраняет закрытый ключ на USB-накопителе. В дальнейшем пользователю для входа в свой аккаунт придется всегда подключать этот USB-токен.

В ответ на это сервер отправляет клиенту последовательность битов для расшифровки такого кода. В свою очередь код шифруется клиентом с помощью закрытого ключа и пересылается на сервер, где информация расшифровывается с помощью открытого ключа. Доступ предоставляется лишь при полном совпадении кодов.

Защитник Windows

Для защиты от шпионского программного обеспечения в состав Windows 7 включён специальный модуль, автоматически запускаемый при каждой загрузке операционной системы и выполняющий сканирование файлов как в режиме реального времени, так и по заданному пользователем расписанию. В целях регулярного обновления сигнатур вредоносных приложений защитник Windows использует центр обновления для автоматической загрузки и установки новых определений по мере их выпуска. Кроме того, защитник Windows может быть настроен на поиск обновлённых определений в Интернете перед началом проверки хранящихся на диске компьютера данных. Любопытной особенностью антишпионского модуля является умение работать в тандеме с сетевым сообществом Microsoft SpyNet, призванным научить пользователей адекватно реагировать на угрозы, исходящие от шпионских программ. Например, если защитник Windows обнаруживает подозрительное приложение или внесенное им изменение, которые ещё не получили оценки степени опасности, можно просмотреть, как другие участники сообщества отреагировали на такое же предупреждение, и принять верное решение.

Authy

Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.

В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.

Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.

Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.

Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.

Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.