«Разработка стратегии резервного копирования и восстановления AD» (5 дней)

• Сбор данных специализированными инструментами (конфигурация инфраструктуры, производительность, требования по SLA/OLA).
• Выравнивание стратегии резервного копирования и восстановления с SLA.
• Генерация тестовой среды для имитации аварийных ситуаций.
• Проведение учений по аварийному восстановлению для ключевых сценариев аварий (повреждение отдельных объектов, потеря данных и пр.).
• Разработка рекомендации по стратегии резервного копирования и восстановления (методы и расписание резервного копирования с учетом требований бизнеса и возможностей инфраструктуры).
• Разработка документа по аварийному восстановлению (паспорт сервиса, пошаговые инструкции по восстановлению для каждого сценария).
• Работа с документацией заказчика (учитывается специфика работы стороннего ПО резервного копирования, инструкции администраторов ПО резервного копирования\восстановления и другие документы).
• Замеры скорости восстановления\копирования данных и протоколирование.
• В рамках работ предусматриваются проработка следующих сценариев восстановления:
• Восстановление после полной потери всех контроллеров домена и запуск рядовых членов домена в работу после восстановления.
• Восстановление случайно или злонамеренно измененных или поврежденных логически данных в базе данных Active Directory с использованием резервных копий.
• Авторитативное и не-авторитативное восстановление и выравнивание реплик DFS-R.
• Доступ к архивным данным в Active Directory и к состоянию контроллеров домена в архивной копии, в рамках расследования инцидента по безопасности.
• Восстановление выборочных значений или выбранных групповых политик.
• Составление списка изменений, произошедших в базе Active Directory с момента архивной копии.
• Помощь в проведении испытаний в продуктивной среде.

«Обследование безопасности инфраструктуры Windows» (5 дней)

• Сбор данных специализированными инструментами с контроллеров домена, базы данных Active Directory и с некоторых важных серверов и рабочих станций администраторов (конфигурация OS, права и привилегии в базе данных Active Directory и в ОС, данные по гигиене привилегированных учетных данных, проверка на распространенные проблемы при конфигурации систем, журналы, операционный опросник).
• Автоматический анализ собранных данных на соответствие мировым практикам информационной безопасности и лучшим практикам вендора.
• Проведение глубокого интервью со специалистами компании на выявление существующих процессов администрирования в обследуемой организации.
• Разбор результатов инженером и дополнительный углубленный анализ.
• Подготовка и проведение Executive презентации, детального технического отчета и плана исправлений.
• Передача знаний специалистам заказчика во время обследования систем.

«Пилотное внедрение и адаптация MFA и Windows Hello for Business» (5 дней)

• Передача знаний в виде минисеминара по следующим темам:
  • Основные векторы атак на примерах из реальной практики.
  • Привилегированные учетные записи и способы их инвентаризации и защиты.
  • Основы аутентификации Windows и слабости, используемые атакующими.
  • Windows ADFS Server и его роль при многофакторной аутентификации.
  • MFA адаптер от Noventiq для Windows ADFS Server, принципы работы, его настройка и внедрение.
  • Windows Hello for Business как способ многофакторной аутентификации и сценарии развертывания Windows Hello For Business на предприятие.
  • Как, используя полученные знания и технологии Microsoft, построить более защищенную среду для привилегированных учетных записей.
• Предварительное обследование перед внедрением решений для многофакторной аутентификации:
  • Операционный опросник, который покажет, как выстроены текущие процессы администрирования, и кто в них задействован. Проводится с привлечением как системных администраторов и пользователей с высокими привилегиями, так и сотрудников отдела информационной безопасности.
  • С помощью технических средств (скрипты PowerShell) собирается дополнительная информация из следующих источников:
    • База данных AD.
    • Настройки безопасности из реестра.
    • Настройки привилегий и аудита.
    • Журнал событий с контроллеров домена.
    • Информация из результирующей групповой политики.
    • Информация из хранилища доменных групповых политик.
    • Если есть, конфигурационная информация с серверов ADFS.
  • Если сервера ADFS нет, то обсуждение и создание плана развертывания ADFS.
• Внедрение аутентификации Windows Hello For Business на пилотной группе систем (до 5 систем):
  • Развертывание и настройка ADFS сервера:
    • Установка ADFS.
    • Проверка работоспособности после установки.
    • Установка и конфигурирование MFA адаптера от Noventiq.
      • В случае если необходим специфический канал подтверждения пользователем «второго фактора», производится обучение заказчика том, как написать расширение для MFA адаптера.Конфигурирование системы для работы Windows Hello for business в соответствии с выбранным сценарием внедрения.
  • Конфигурирование системы для работы Windows Hello for business в соответствии с выбранным сценарием внедрения.
  • Запуск в работу пилотной группы систем для аутентификации через Windows Hello for Business (до 5 систем).
• Разработка технического описания внедренной системы с описанием всех шагов, какие были выполнены, и какие настройки и системы были развернуты.

«Ограниченное рабочее пространство (Restricted runspaces) (5 дней)»

• Комплекс мер по противодействию Ransomware и ограничение запуска других нежелательных приложений.
• Противодействие «горизонтальному распространению» атакующего, когда из-за недостатков в безопасности, после компрометации, атакующий может легко скомпрометировать целый слой рабочих станций.
• Разработка процесса быстрого изменения конфигурации ограниченной рабочей станции, для реагирования на обновление программного обеспечения, используемого на станциях.
• Внедрение системы управления паролями локальных администраторов (LAPS) и модификация процесса работы с этой системой, для устранения основных недостатков LAPS.