«Разработка стратегии резервного копирования и восстановления AD» (5 дней)
Сбор данных специализированными инструментами (конфигурация инфраструктуры, производительность, требования по SLA/OLA).
Выравнивание стратегии резервного копирования и восстановления с SLA.
Генерация тестовой среды для имитации аварийных ситуаций.
Проведение учений по аварийному восстановлению для ключевых сценариев аварий (повреждение отдельных объектов, потеря данных и пр.).
Разработка рекомендации по стратегии резервного копирования и восстановления (методы и расписание резервного копирования с учетом требований бизнеса и возможностей инфраструктуры).
Разработка документа по аварийному восстановлению (паспорт сервиса, пошаговые инструкции по восстановлению для каждого сценария).
Работа с документацией заказчика (учитывается специфика работы стороннего ПО резервного копирования, инструкции администраторов ПО резервного копирования\восстановления и другие документы).
Замеры скорости восстановления\копирования данных и протоколирование.
В рамках работ предусматриваются проработка следующих сценариев восстановления:
Восстановление после полной потери всех контроллеров домена и запуск рядовых членов домена в работу после восстановления.
Восстановление случайно или злонамеренно измененных или поврежденных логически данных в базе данных Active Directory с использованием резервных копий.
Авторитативное и не-авторитативное восстановление и выравнивание реплик DFS-R.
Доступ к архивным данным в Active Directory и к состоянию контроллеров домена в архивной копии, в рамках расследования инцидента по безопасности.
Восстановление выборочных значений или выбранных групповых политик.
Составление списка изменений, произошедших в базе Active Directory с момента архивной копии.
Помощь в проведении испытаний в продуктивной среде.
«Обследование безопасности инфраструктуры Windows» (5 дней)
Сбор данных специализированными инструментами с контроллеров домена, базы данных Active Directory и с некоторых важных серверов и рабочих станций администраторов (конфигурация OS, права и привилегии в базе данных Active Directory и в ОС, данные по гигиене привилегированных учетных данных, проверка на распространенные проблемы при конфигурации систем, журналы, операционный опросник).
Автоматический анализ собранных данных на соответствие мировым практикам информационной безопасности и лучшим практикам вендора.
Проведение глубокого интервью со специалистами компании на выявление существующих процессов администрирования в обследуемой организации.
Разбор результатов инженером и дополнительный углубленный анализ.
Подготовка и проведение Executive презентации, детального технического отчета и плана исправлений.
Передача знаний специалистам заказчика во время обследования систем.
«Пилотное внедрение и адаптация MFA и Windows Hello for Business» (5 дней)
Передача знаний в виде минисеминара по следующим темам:
Основные векторы атак на примерах из реальной практики.
Привилегированные учетные записи и способы их инвентаризации и защиты.
Основы аутентификации Windows и слабости, используемые атакующими.
Windows ADFS Server и его роль при многофакторной аутентификации.
MFA адаптер от Noventiq для Windows ADFS Server, принципы работы, его настройка и внедрение.
Windows Hello for Business как способ многофакторной аутентификации и сценарии развертывания Windows Hello For Business на предприятие.
Как, используя полученные знания и технологии Microsoft, построить более защищенную среду для привилегированных учетных записей.
Предварительное обследование перед внедрением решений для многофакторной аутентификации:
Операционный опросник, который покажет, как выстроены текущие процессы администрирования, и кто в них задействован. Проводится с привлечением как системных администраторов и пользователей с высокими привилегиями, так и сотрудников отдела информационной безопасности.
С помощью технических средств (скрипты PowerShell) собирается дополнительная информация из следующих источников:
База данных AD.
Настройки безопасности из реестра.
Настройки привилегий и аудита.
Журнал событий с контроллеров домена.
Информация из результирующей групповой политики.
Информация из хранилища доменных групповых политик.
Если есть, конфигурационная информация с серверов ADFS.
Если сервера ADFS нет, то обсуждение и создание плана развертывания ADFS.
Внедрение аутентификации Windows Hello For Business на пилотной группе систем (до 5 систем):
Развертывание и настройка ADFS сервера:
Установка ADFS.
Проверка работоспособности после установки.
Установка и конфигурирование MFA адаптера от Noventiq.
В случае если необходим специфический канал подтверждения пользователем «второго фактора», производится обучение заказчика том, как написать расширение для MFA адаптера.Конфигурирование системы для работы Windows Hello for business в соответствии с выбранным сценарием внедрения.
Конфигурирование системы для работы Windows Hello for business в соответствии с выбранным сценарием внедрения.
Запуск в работу пилотной группы систем для аутентификации через Windows Hello for Business (до 5 систем).
Разработка технического описания внедренной системы с описанием всех шагов, какие были выполнены, и какие настройки и системы были развернуты.
«Ограниченное рабочее пространство (Restricted runspaces) (5 дней)»
Комплекс мер по противодействию Ransomware и ограничение запуска других нежелательных приложений.
Противодействие «горизонтальному распространению» атакующего, когда из-за недостатков в безопасности, после компрометации, атакующий может легко скомпрометировать целый слой рабочих станций.
Разработка процесса быстрого изменения конфигурации ограниченной рабочей станции, для реагирования на обновление программного обеспечения, используемого на станциях.
Внедрение системы управления паролями локальных администраторов (LAPS) и модификация процесса работы с этой системой, для устранения основных недостатков LAPS