Best Practices für die Sicherung der Benutzer-ID Bereitstellungen
Resolution
Übersicht
Benutzer-ID Dienstleistungen ermöglicht, die Zuordnung von IP-Adressen für Benutzer und aktivierter Netzwerk-Administratoren granulare Kontrolle bietet über was verschiedenen Benutzern erlaubt, zu tun, wenn nach einem Palo Alto Networks Next-Generation Firewall gefiltert. Wie bei der Aktivierung alle Netzwerkdienste, nach best Practices und Konfigurationsrichtlinien beim Einsatz von User-ID zur Verringerung und Beseitigung potenzieller Risiken helfen kann. Dieser Artikel soll helfen, Netzwerk und Sicherheitsadministratoren Fehlkonfiguration zu vermeiden und sicher ermöglichen Benutzer-ID in Netzwerkumgebungen.
Details
Aktivieren Sie nur die User-ID auf vertrauenswürdige Zonen
Nur User-ID auf interne und vertrauenswürdige Zonen aktivieren, gibt es keine Exposition dieser Dienste für das Internet, das hilft, um diesen Service gegen alle möglichen Angriffe geschützt zu halten. Wenn User-ID und WMI sondieren auf eine externe nicht vertrauenswürdigen Zone (z. B. das Internet) aktiviert sind, konnte Sonden außerhalb des geschützten Netzwerks, wodurch eine Offenlegung von Informationen von User-ID Agent-Dienst-Account-Namen, Domain-Namen und verschlüsselte Passwort-Hash gesendet werden. Diese Informationen hat das Potenzial, rissig und von einem Angreifer unberechtigten Zugriff auf geschützte Ressourcen ausgebeutet werden. Aus diesem wichtigen Grund sollten User-ID nie auf einer nicht vertrauenswürdigen Zone aktiviert werden.
.
Geben Sie im Preis inbegriffen und ausgeschlossenen Netzwerke beim Konfigurieren der User-ID
Die Include und Exclude Listen zur Verfügung, auf der User-ID-Agent sowie agentenlose, die User-ID auf PAN-Firewalls, können verwendet werden, Einschränkung des Geltungsbereichs des Benutzer-ID. Administratoren sind in der Regel nur mit den Teil des IP-Adressraums in ihrer Organisation verwendet. Durch explizite Angabe Netzwerke im Lieferumfang oder User-ID ausgeschlossen werden, können wir helfen, um sicherzustellen, dass nur vertrauenswürdige und firmeneigenen Anlagen sondiert werden und keine unerwünschten Zuordnungen unerwartet erstellt werden.
.
Deaktivieren Sie WMI sondieren in Hochsicherheits-Netzwerken
WMI oder Windows Management Instrumentation, ist ein Mechanismus, der verwendet werden kann, um aktiv Sonde verwaltet Windows-Systemen um IP-Benutzer Zuordnungen zu erfahren. Da WMI sondieren Vertrauensstellungen Daten vom Endpunkt zurückgemeldet, ist es keine empfohlene Methode zur Gewinnung von Benutzer-ID-Informationen in einem Hochsicherheits-Netzwerk. Es ist auch in der Regel nicht notwendig. In Umgebungen mit relativ statische IP-Benutzer Zuordnungen, wie Sie gemeinsam Büroumgebungen mit festen Arbeitsplätzen aktiv WMI sondieren ist nicht erforderlich. Roaming und anderen mobilen Clients leicht identifiziert werden können, auch wenn zwischen richtet sich durch die Integration von User-ID mit Syslog oder die XML-API und IP-Benutzer Zuordnungen von anderen Plattformen als Windows so gut erfassen kann. Auf empfindliche und Sicherheitsnetzwerke WMI sondieren erhöht die allgemeine Angriffsfläche und Administratoren sollten WMI sondieren zu deaktivieren und stattdessen verlassen sich auf User-ID Zuordnungen von isolierten und vertrauenswürdigen Quellen, wie z. B. Domänencontroller erhalten. Wenn Sie die User-ID-Agent verwenden, um zu analysieren, AD Sicherheitsereignisprotokolle, Syslog-Meldungen oder die XML-API, um Zuordnungen der Benutzer-ID zu erhalten, sollte dann WMI sondieren deaktiviert werden. Captive Portal kann als fallback Mechanismus verwendet zum Authentifizieren von Benutzern neu wo Security Event Log-Daten veraltet sein.
Wenn WMI sondieren verwendet wird, sollte es nicht auf externe nicht vertrauenswürdigen Schnittstellen aktiviert werden, dadurch WMI Sonden außerhalb Ihres Netzwerks gesendet werden würde, die sensible Daten wie Benutzername, Domain-Namen und Passwort-Hash des Dienstkontos für den Gebrauch durch die Benutzer-ID-Agent konfiguriert enthalten. Diese Informationen könnten möglicherweise von einem Angreifer ausgenutzt werden, die dann das Netzwerk Zugang zu durchdringen konnte.
.
Verwenden Sie ein dediziertes Dienstkonto für User-ID-Dienstleistungen mit den minimalen erforderlichen Berechtigungen
Benutzer-ID Bereitstellungen können durch nur einschließlich das Mindestangebot an erforderlichen Berechtigungen für den Dienst ordnungsgemäß gehärtet werden. Dazu gehören DCOM Benutzer, Ereignisprotokoll Leser und Server-Operatoren. Würden die User-ID-Dienstkonto von einem Angreifer gefährdet werden, würde mit Verwaltungs- und andere unnötige Privilegien die Enterprise, um zusätzliche Gefahr der Zerstörung oder Diebstahl sensibler Daten ausgesetzt. Domain-Admin und Enterprise-Admin-Rechte sind nicht erforderlich, um Sicherheits-Ereignisprotokolle zu lesen und sollten daher nicht gewährt werden.
.
Interaktive Anmeldung für das Dienstkonto User-ID zu verweigern
Während die User-ID-Service-Konto bestimmte Berechtigungen zum Lesen und Active Directory-Sicherheit-Event-Logs zu analysieren erfordert, erfordert es nicht die Möglichkeit, Server oder Domain-Systeme interaktiv anmelden. Dieses Privileg kann über Gruppenrichtlinien eingeschränkt werden oder mithilfe eines Managed Service Account mit User-ID (siehe Microsoft Technet für weitere Informationen zum Konfigurieren von Gruppenrichtlinien und Managed Service Accounts.) Würden die User-ID-Dienstkonto von einem böswilligen Benutzer beeinträchtigt werden, würde die potenzielle Angriffsfläche erheblich reduziert werden, indem Sie interaktive Anmeldung verweigern.
.
Remote-Zugriff für die Benutzer-ID-Dienstkonto zu verweigern
In der Regel sollte Dienstkonten nicht Mitglieder von Sicherheitsgruppen, die verwendet werden, um remote-Zugriff zu gewähren. Würden die User-ID Dienstanmeldeinformationen Konto kompromittiert werden, dies würde verhindern, dass den Angreifer mit dem Konto für den Zugriff auf Ihr Netzwerk von außen über ein VPN.
.
Egress Filterung auf ausgehenden internen Datenverkehr zu konfigurieren
Verhindern Sie, dass unerwünschten Datenverkehr (einschließlich potenziell unerwünschte User-ID Agent Verkehr) weglassen Ihre geschützte Netzwerke mit dem Internet durch die Implementierung von Ausstieg am Perimeter-Firewalls filtern. In sensiblen Umgebungen Whitelisting vertraut und wesentliche Geschäftsanwendungen vermindert die Möglichkeit unerwünschten Datenverkehr und hilft auch, mögliche Vektoren zu reduzieren, die zum Ziehen von Daten verwendet werden könnte.
.
Siehe auch
Weitere Informationen zum Einrichten und Konfigurieren von Benutzer-ID finden Sie hier:
- User-ID-Sektion der Pan-OS 7,1 Web-Interface -Referenz
- Benutzer-ID Best Practices
- Agentenlose Benutzer-ID konfigurieren
.
Besitzer: Ggarrison