Как решить потенциальную угрозу информационной безопасности при переходе на VDI (ESXI) и тонкие клиенты?
Всем здравствуйте! Я младший сисадмин (по большей части эникей)
В общем суть такова: с прошлого года наша компания перешла на тонкие клиенты и VDI-инфраструктуру (в нашем офисе около 100+ человек, есть сервер виртуализации, VMware Vshpere на котором крутятся все виртуалки сотрудников)
Меня стал напрягать следующий момент касательно ИБ: если раньше был домен AD, все офисные ПК находились в домене, и чтобы добавить новый ssd в домен админу нужно было ручками добавлять и подтверждать его в в оснастке Active Directory
///Летом мы стали переходить на VDI и тонкие клиенты...
И прикол в том что по поручению старшего админа я вручную прошелся по офису и на каждый комп ПЕРЕУСТАНОВИЛ через PXE-сервер тонкий клиент с VMware Horizon Client.
Тонкий клиент представляет из себя обычную 11-ую винду (ПРИТОМ ОЧЕНЬ ВАЖНЫЙ МОМЕНТ!!! Сама операционная система на физическом компе НЕ НАХОДИТСЯ В НАШЕМ КОРПОРАТИВОМ ДОМЕНЕ (!!!), А НАХОДИТСЯ ПРОСТО В WORKGROUP!
Т.е. на офисном компе просто стоит 11-винда с заранее установленным Horizon Client (для подключения сотрудников к виртуальному рабочему месту), пользователи на физическом компе заходят на локальную учетку пользователя /kiosk БЕЗ ПАРОЛЯ, через автозагрузку запускаетcя Horizon Client и далее они подключаются к своей виртуалке по своим корпоративным учетным данным AD (логину и паролю).
Также для решения каких-то проблем связанных с физическим компом (драйвера, ПО и т.д.) есть еще локальная админская учетка (пароль знаем только мы, админы)
Недавно для себя обнаружил следующую потенциальную угрозу: абсолютно любой сотрудник (даже с самыми минимальными правами в домене) может организовать себе бекдор!!
Т.е. представьте следующую ситуацию: сотрудника берут к нам в офис на работу, сотруднику чето не нравится и спустя время он увольняется (или его увольняют), сотрудник обижается на компанию, открывает корпус компа, меняет ssd-диск на свой ssd-диск, и на его ssd установлена такая же 11-винда, с абсолютно такой же пользовательской учеткой kiosk, с таким же Horizon Client и (внимание) отключенным Defender и вирусом удаленного доступа (RAT) или кейлогер.
После увольнения УЖЕ НОВЫЙ сотрудник садится за комп СТАРОГО сотрудника, подключается к своей новой виртуалке, работает, но при этом у старого сотрудника есть удаленный доступ к его ФИЗИЧЕСКОМУ компу через заранее установленный ратник/кейлогер на его левом ssd (и, как следствие, в рабочей виртуалке нового сотрудника), ведь старый сотрудник заменил оригинальный ssd на свой подготовленный компрометированный ssd перед своим увольнением.
И при текущем подходе к инфраструктуре тонких клиентов отследить такое, как мне кажется, просто нереально
Подскажите, пожалуйста:
1. Может ли действительно быть такая потенциальная инсайдерская угроза?
2. Как можно от этого защититься? (я думаю что нужно обратно ввести все офисные ssd в AD домен, и уже через доменные ssd подключаться к рабочим виртуалкам).
А для удаленки сотрудникам нужно подключаться по VPN к их офисным ПК (как это было раньше до VDI), и уже с офсиных компов подключаться к VDI.
3. (Опционально) Можно ли как-то сделать запрет на смену ssd, вроде пароля администратора BIOS? Или единственный адекватный вариант - обратно вводить все офисные компы в домен, поскольку все офисные компы(тонкие клиенты) находятся просто в workgroup?
для начала вышеописанная ситуация лишь теоретическая и может воспроизвестись лишь потенциально хорошо подкованным человеком, а если бизнес не связан с it глубоко, это маловероятно.
второе, даже если начать капать в этой теме, сотрудник, который взял тупо хард организации с компа, уже наводит на некую дикость мышления.
для начала есть видеонаблюдение, с помощью которого можно все зафиксировать. Второе, так это то, что нужно под опечатку давать сотрудникам компы, и сразу после увольнения перепроверять рабочее место.
третье, если уж все равно комп используется лишь как тонкий клиент, то для потенциальных подобных сотрудников менять компы на железный тонкий клиент/миниПК/ноутбук
Dieman666, ну хз хз, на мой взгляд любой сотрудник который раньше когда-либо работал админом может на физическом компе жмякнуть "свойства ПК" и увидеть что физический комп не в домене, а в workgroup. Потом сложить 2+2 и понять что VDI-удаленка на его домашнем ПК работает абсолютно по такому же принципу как и в офисе, поставить ратник и уволиться. Учитывая что рат-билдеры найти и протестировать не так уж и сложно то... ¯\_(ツ)_/¯
А монитроить по камерам каждый день кто вскрывал корпусы и менял комплектующие слишком муторно, точно также как и ставить пломбы на корпуса (компы с тонкими клиентами ломаются и периодически приходится их чинить, так что насчет пломбы нуууу не знаю)
Аппаратные бекдоры программными методами не решаются, или решаются с понижением удобства. Например, злоумышленник может подменить клавиатуру/кабель (в зависимости от денежных затрат), в котором будет скрыт кейлогер плюс при должном старании, с удаленным управлением (способным набить программу для удаленной загрузки основного тела трояна).
Такие проблемы решаются другими методами, типа регламентом, видеонаблюденем, обысками...
p.s. 'нормальные' материнские платы позволяют загрузить свой ключ, которым можно подписывать загрузчик, т.е. в этом случае сменить жесткий диск не получится (нужно будет менять всю железку), сами данные на диске зашифрованы, ключ шифрования загружает сервер после проверки железа (не гарантия но очень много мест где злоумышленник споткнется и будет дороже атака), системы авторизации по личному карте-ключу (с железом не очень, а так системы есть по до все) или паролю
Сам по себе WORKGROUP не проблема, авторизация же на уровне Horizon/AD. Но локальная учётка без пароля при физическом доступе это дыра: любой может сесть и делать что хочет в самой винде. Минимум — настрой kiosk mode (Assigned Access) или shell replacement, чтобы кроме Horizon Client ничего не запускалось, плюс закрой BIOS паролем и отруби загрузку с USB. Ну и 802.1X на свитчах не помешает, чтобы левый ноут в сетку не воткнули.
Да, во многом ты прав, спасибо! 802.1X, kiosk mode и пароль BIOS норм идея)
1. Локальная учетка /kiosk без пароля - все-таки пользовательская как никак, скорее всего у злоумышленника не хватит прав поставить вредоносное ПО т.к. доступа к локальной админской учетке на физическом компе у него нет, а вот заменить офисный ssd на свой персональный (на котором сотрудник-злоумышленник уже сам настроит себе админскую учетку и вредонос - на мой взгляд более реально)
2. авторизация же на уровне Horizon/AD - если у злоумышленника будет ратник, то он может в рабочее время бахнуть экран-заглушку на физическом типа "Обновление винды, ждите полчаса" для нового сотрудника, а сам при этом удаленно управлять физическим компом и запущенным Horizon Client тоже (ведь новый сотрудник до этого залогинился в Horzion Client и зашел на виртуальное рабочее место)
3. Kiosk mode действительно надо сделать, спасибо) сейчас это просто локальная учетка с именем kiosk и отключенным проводником, так что сотрудник при запуске компа видит черный экран и спустя пару секунд запускается Horzion Client через автозагрузку. Проблема еще в том что через диспетчер задач без проблем можно запустить проводник через создание новой задачи "explorer.exe" в диспетчере задач )))
Secure Boot (Безопасная загрузка): Самый важный механизм. Он разрешает запуск только тех загрузчиков и драйверов, которые подписаны доверенными ключами (обычно Microsoft или производителя устройства). Если злоумышленник подменит диск на другой с вредоносной ОС или другим загрузчиком, UEFI просто откажется его запускать.
Связка с TPM и BitLocker: Это наиболее эффективный способ защиты именно от физической подмены.
TPM (Trusted Platform Module) хранит ключи шифрования в аппаратном чипе.
Если диск будет переставлен в другой компьютер или данные на нем будут изменены «снаружи», TPM заметит изменение конфигурации системы (хеша прошивки и настроек) и заблокирует доступ к ключам. Система потребует 48-значный ключ восстановления.
Пароль на BIOS/UEFI: Защищает сами настройки прошивки от изменений. Без него злоумышленник может просто отключить Secure Boot и загрузиться с любого устройства.
Пароль на HDD/SSD (ATA Password): Многие UEFI поддерживают установку пароля непосредственно на контроллер накопителя. Если такой диск переставить в другой компьютер, он останется заблокированным на аппаратном уровне и не даст прочитать данные без ввода пароля.
Что произойдет при подмене диска?
Если включен Secure Boot: Система выдаст ошибку «Security Violation» или «No Bootable Device», так как новый диск не содержит подписанного загрузчика, которому доверяет данная материнская плата.
Если включен BitLocker + TPM: Даже если вы поставите старый диск обратно после манипуляций, Windows может потребовать ключ восстановления, так как «доверенная цепочка» была нарушена.
Ps да и vdi у вас же не напрямую в инет торчит, нет же, ну нет...
Добавлю свои 5 копеек ко всему выше сказанному. В таких случаях у компов открыт доступ только к VDI серверу( или к белому списку внутреней инфраструктуре). Доступ можно закрыть на местной сетевой инфраструктуре (свич,роутер,фаервол). Так что никакого удаленного доступа у него быть не может. Чтобы провернуть ваш сценарий, ему еще потребуется 4g modem там поставить, если плохо ловит то еще и антену приставить к окну )) так что заменой ssd ничего не будет. Ну а могут ли вирусы с компа переходить в софт тонкого клиента этого мы уже не знаем, это уже другая история...
P.S. Нету одного решения этой проблемы, если вы сделаете то, что вам посоветовали ( я насчитал до 10 советов), то будете защищены от многих проблем, хотя я думаю, что вы и парочку отсюда не сделаете :). Как показывает практика, чем больше надо делать, чтобы защитить сеть/компы, тем меньше это делают.
Средний
Простой
