Как защитить Active Directory от подбора пароля с помощью сторонних приложений?

Question

[long_skinny_boy]

Добрый день, подскажите пожалуйста.
Как может быть устроена защита учетных записей в AD от подбора паролей, а именно например есть злоумышленник, который пытается подобрать пароль от пользователя. И делает он это допустим не просто при входе на компьютер, или же каким то ПО на компьютере, которое перебирает пароли.
А например, каким то веб-приложением, которое использует какой либо ldap модуль.
Тут вопрос в том, внутри AD есть какая то внутренняя политика безопасности (которые применяется не на клиентскую Windows машину), которая может отслеживать действия над учетными записями, и в случае допустим 5 неудачных попыток - блокирует учетку

Просто групповую политику находил с описанным выше, но ведь она применяется на Windows машину, а если пользователь скажем так подбирает пароль допустим с умного какого-нибудь холодильника

Comments

[Drno]

Обычно АД находится только в локалке. Откуда в локалке злоумышленник?

[CityCat4]

А например, каким то веб-приложением

Тот, кто выставляет AD голой #опой в тырнет - ССЗБ, и когда его ломают - так ему и надо.

AD всегда изолируется от тырнета. Это раз.
Юзера не должны иметь прав установки ПО на компе. Это два.
В конторе должен работать СМП, чтобы вовремя блокировать ПО, которое подбирает пароли. Это три.

Если ничего этого не сделано - это не сеть, а друшлаг.

[long_skinny_boy]

CityCat4, Спасибо, я с вами полностью согласен, и всё выше перечисленное и практикуется, тут больше вопрос, интересно как устроена AD
может ли она внутри себя сама блокировать пользователей. Или это контролируется на уровне групповых политик, т.е. со стороны клиентской машине на винде

[Роман Безруков]

long_skinny_boy, Групповые политики могут применяться к пользователям, компьютерам, подразделениям, доменами и сайтам AD

может ли она внутри себя сама блокировать пользователей.

- она может это сделать в соответствии с настройками политики блокировки УЗ - пользователи будут блокироваться при срабатывании установленных лимитов.
Либо блокировка выполняется средствами сторонних систем контроля и обнаружения атак (подозрительной активности)

Answer 1

[Владимир Коротенко]

ад имеет политику по блокировке после нескольких неудачных входов.
так же есть Fail2ban и его аналоги для виндоуз в части iis, rdp https://alternativeto.net/software/fail2ban/?platf...

Answer 2

[Роман Безруков]

Хм...простого решения нет.
Такие задачи - это всегда комплекс бюрократических и технических мер, проактивных и реактивных, включая корпоративные стандарты безопасности, политики паролей, корректно настроенные фаирволы на входе в вашу сеть и между подсетями внутри, средства мониторинга сетевой активности, аудит действий администраторов и пользователей на разных сервисах (AD, почта, файловые и т.д.), регулярные задачи по проверке ключевых доменных групп, SIEM система для сбора и анализа активностей всей инфраструктуры и т.д.
Для примера:
Аудит доменных служб Active Directory в Windows Se...
Политики аудита изменений в Active Directory

Из простых действий:
- документы: корпоративная политика безопасности, правила работы в корпоративной сети и прочее; каждый пользователь знакомится с ними под роспись
- пользователь уровня Enterprise Admin и/или Domain Admin должен иметь несколько учетных записей, а УЗ с повышенными привилегиями использовать только для выполнения административных задач. В остальное время он работает с УЗ обычного пользователя
- административные УЗ со сложным паролем не менее 16 символов
- сервисные УЗ со сложным паролем не менее 20-25 символов, смена раз в год
- доменные политики паролей и блокировки УЗ
- доступ к критичным серверам (DC, почта, файловые и т.д.) разрешен только определенным пользователям, определенным подсетям/IP и т.д.
- аудит действий администраторов
- антиспам и антивирусы (файловые и почтовые)
- запрет использования внешних почтовых систем и облачных хранилищ (GMail, Yandex Disk и т.д.)
...

P.S. умный холодильник должен включаться только в одну сеть - электрическую 220В
Взлом и защита Active Directory