私たちの著者の1人であるActive Directory CookBookの著者であるBrian Svidergolのアイデアを引き続き共有しています。 ADセキュリティ管理のパート2の紹介。
管理タスク専用のサブネット。
ブライアンが引用する良い例は、オンラインバンキングシステムです:ほとんどの銀行は、例えば、そのような試みが非標準デバイスから行われたり、コンピューターに異常な地域設定が存在する場合、オンラインクライアントへの不審な試みを追跡するリスク監視システムを使用します。
休暇中や出張中など、不明なサブネットからオンラインクライアントを入力しようとすると、銀行システムは確認コード付きのSMSなどの追加の認証メカニズムを有効にします。ただし、異なる国からのログイン試行が1時間以内に記録される場合-銀行システムは、すべての状況が明らかになるまでアカウントをブロックする可能性があります。
同様の方法で管理タスクを編成することをお勧めします。通常のサブネットから管理リソース(コンソール、サーバーなど)に接続しようとした場合、IS担当者に通知を送信する必要があります。 アイデアは非常に単純ですが、実際に実装するのは非常に困難です。 TCPポート443を使用する管理タスクのWebインターフェイスは問題を表しており、このポートへのトラフィックがサブネット間を通過するのをブロックするのは面倒な作業です。 しかし、成功した場合、結果はあなたを待たせません。
最初の肯定的な結果はアラートです。 たとえば、誰かが通常のネットワークまたはゲストWi-FiからRDPを介してドメインコントローラーに接続しようとすると、すぐに通知を受け取ります(状況に応じて行動できます)。 多くの組織では、このような接続はどのネットワークからでも可能ですが、一部のネットワークではインターネットを介しても可能です。
専用サブネットを使用する2番目の利点は、追加のセキュリティ対策を提供できることです。 たとえば、トークンまたはワンタイムコード付きSMSを使用した多要素識別。
管理タスク専用のサーバーとクライアントマシン。
専用サブネットを整理できない場合-少なくとも専用サーバーと個別のワークステーションを使用して管理タスクを実行します。 利点は同じです-追加のセキュリティ対策、二要素認証、可能性のあるインシデントの監視と通知。 また、特別なクライアントマシンを使用すると、リスクのある日常のタスク(メールの表示、Webサイトの訪問)を管理タスクから分離し、フィッシング攻撃の可能性を減らすことができます。 専用マシンで特別な管理アカウントを使用すると、最良の結果が得られます。
主なアイデアを強調しようとしました。 元のテキストはこちらから入手できます。