Анатолий Лысов, 22/09/25
Несколько резонансных инцидентов последнего времени показали, что в отношении субъектов КИИ злоумышленники перешли от компрометации информационных систем к их полному уничтожению. Давление на ИТ-инфраструктуру российских компаний будет нарастать, поэтому многие предприятия, опасаясь атак со стороны зарубежных вендоров, уже отказались от установки обновлений иностранных систем или ввели длительный период карантина. Все это повышает важность проектов импортозамещения и ответственность российских разработчиков системного ПО.
Автор: Анатолий Лысов, менеджер продукта ALD Pro
Например, операционная система Astra Linux Special Edition изначально создавалась с акцентом на информационную безопасность, что подтверждается в том числе сертификатами ФСТЭК России, ФСБ России и Минобороны России. Для больших инфраструктур значительный вклад в ИБ может внести служба каталога ALD Pro, которая обеспечит централизованное управление учетными записями, единую точку входа и автоматическую настройку компьютеров. Именно об этой возможности мы и расскажем.
При разработке ALD Pro одним из наиболее сложных решений стал выбор технологической базы для службы каталога -- Samba AD или FreeIPA. Мы тщательно исследовали этот вопрос и пришли к выводу, что Samba разрабатывалась в большей степени для управления Windows-компьютерами, поэтому не учитывает многие особенности Linux-систем, в то время как конечной целью импортозамещения является переход на отечественные ОС, основанные как раз на Linux. Использование службы Samba опасно еще и тем, что она использует условно совместимый с Microsoft Active Directory протокол репликации, что создает неправильные ожидания о возможности ее безопасного использования вместе с контроллерами MS в одном домене.
На самом деле Samba существенно уступает MS AD по функциональности, поэтому при совместном использовании в одном домене будут постоянно возникать сложно диагностируемые проблемы, которые невозможно будет решить без внесения доработок в системных компонентах. Например, глобальный каталог Samba не собирает информацию из леса, поэтому в Kerberos-билетах пользователей не окажется идентификаторов универсальных групп. Подобных отличий десятки, поэтому в большой инфраструктуре заменить все контроллеры MS AD окажется невозможным, и всегда будут оставаться риски, связанные с вероятностью взлома через контроллеры MS AD, а в таком сценарии развертывания компрометация контроллеров MS AD автоматически приведет к компрометации всей замещенной на Samba инфраструктуры.
Учитывая вышеизложенное, единственно правильным сценарием замещения мы считаем развертывание еще одного домена и интеграцию с Microsoft через доверительные отношения, поэтому сделали ставку на службу FreeIPA, у которой есть тесная интеграция с Linux, в том числе с нативными технологиями безопасности этой системы. Вот несколько ключевых моментов:
- Служба FreeIPA назначает пользователям и группам POSIX-идентификаторы, в то время как Samba использует идентификаторы SID в стиле Windows, которые нужно пересчитывать в UID/GID, что может привести к ошибкам в предоставлении прав доступа.
- Интеграция с PAM-стеком обеспечивает централизованное управление правилами доступа к хостам (HBAC), что позволяет не просто разрешить доступ к компьютеру, а указать точный список сервисов, которые будут доступны пользователю.
- Интеграция с утилитой sudo позволяет через службу каталога гранулярно делегировать права суперпользователя на выполнение отдельных задач администрирования.
- Интеграция с OpenSSH исключает возможность MITM-атак за счет автоматического управления SSH-ключами хостов.
В продукте ALD Pro мы существенно расширяем возможности FreeIPA и позволяем управлять в том числе и встроенными средствами защиты информации ОС Astra Linux: можно настраивать уровни и категории конфиденциальности, определять допустимые классификационные метки для пользователей. Доступно также управление учтенными USB-накопителями для предотвращения утечек и проникновения вредоносных программ.
Управление параметрами безопасности с помощью групповых политик
Одной из очень важных функций ALD Pro для обеспечения безопасности больших инфраструктур являются групповые политики, которые позволяют упростить конфигурирование и снизить дрейф настроек. За работу политик отвечает агент, который безопасно извлекает параметры из каталога по протоколу LDAP с шифрованием STARTTLS и Kerberos-аутентификацией, выполняет суммирование параметров и применяет их на рабочей станции с использованием скриптов одной из лучших систем конфигурирования SaltStack.
Администраторам из коробки доступны сотни настроек операционной системы и прикладных приложений, а вместе c продуктом поставляется также комплект дополнительных параметров, с помощью которых можно обеспечить выполнение требований ИАФ.1, ИАФ.3, ИАФ.4, УПД.1, УПД.6, УПД.13, РСБ.2, РСБ.3, АНЗ.3, АНЗ.4, ОЦЛ.1, ЗИС.15, ЗИС.16 и др. по приказам ФСТЭК России (№ 17, № 21, № 31, № 239). Одним из очень востребованных дополнительных параметров является решение LAPS, которое позволяет обеспечить регулярное обновление паролей локальных администраторов и загрузчика GRUB с сохранением информации в LDAP-каталоге.
Интеграции с ИБ-продуктами
Однако для обеспечения комплексной защиты инфраструктуры наших заказчиков продуктовая команда ALD Pro не ограничивается собственными решениями и активно сотрудничает с лидерами российского рынка информационной безопасности. В настоящий момент у службы каталога уже более 50 готовых интеграций, в том числе с продуктами из категорий SIEM, PKI, NGFW, IDM, PAM, DLP, и мы продолжаем активно развивать наше технологическое сотрудничество.
Совместно с командами разработчиков MaxPatrol и KUMA мы проанализировали потенциал аудита компонентов технологического стека ALD Pro. Коллеги опирались на свой многолетний опыт работы с Microsoft Active Directory и подготовили комплекты экспертизы, которые позволяют нормализовать события и автоматически выявлять инциденты безопасности в упомянутых SIEM-системах.
Интеграция с удостоверяющими центрами Aladdin eCA и SafeTech CA позволяет автоматизировать выдачу пользовательских сертификатов и настройку USB-токенов за счет получения информации о сотрудниках напрямую из службы каталога. Полученный сертификат может быть автоматически записан в учетную запись пользователя в LDAP-каталоге для обеспечения двухфакторной аутентификации по протоколу Kerberos V5 с использованием расширения PKINIT.
Интеграция с межсетевым экраном нового поколения NGFW обеспечит защиту внутреннего периметра корпоративной сети на уровне приложений и позволит управлять доступами во внешнюю сеть для конкретных пользователей и/или групп из домена. Вы сможете вести базу пользователей в каталоге ALD Pro и обеспечить безопасную аутентификацию пользователей по протоколу Kerberos V5.
Интеграции c системами из категорий IGA ( Identity Governance Administration) и IDM (Identity Management) позволят автоматизировать процесс управления жизненным циклом учетных записей пользователей. Доверенным источником для этих продуктов является информация из кадровой системы, а со службой каталога ALD Pro продукты интегрированы с помощью коннекторов. Интеграции позволят создавать, изменять, удалять пользователей и группы пользователей, структурные подразделения; устанавливать пользователю пароль; активировать/деактивировать пользователей и др.
Интеграция с системой для управления привилегированным доступом из категории PAM (Privileged Access Management) позволит проксировать удаленные подключения привилегированных администраторов к серверам по протоколам SSH, RDP и др., обеспечивая детальный контроль, мониторинг и аудит выполняемых действий с возможностью принудительного прерывания сессии.
Интеграция с приложением для защиты удаленного доступа позволит обеспечить сотрудникам защищенный доступ из веб-браузера к корпоративным приложениям, доступным по протоколам RDP, VNC, SSH, Telnet и др. Интеграция позволит обеспечить аутентификацию пользователей с использованием их доменных учетных записей. При публикации приложений администраторы смогут предоставлять доступ пользователям с учетом информации об их участии в группах.
Интеграция с системой для предотвращения утечек данных из категории DLP (Data Leak Prevention) позволит обеспечить контроль коммуникаций сотрудников, блокировку отправки нежелательных сообщений, содержащих конфиденциальную информацию. Это формирует единую управляемую экосистему безопасности без разрозненных интеграций. В результате снижаются риски и сроки внедрения, ускоряется реакция на инциденты и повышается операционная эффективность ИБ.
Правильный сценарий развертывания
Выбор службы каталога может помочь также и с выбором правильного сценария развертывания. Контроллеры Samba используют совместимый с Microsoft Active Directory протокол репликации, и это создает неправильные ожидания, что контроллеры Samba можно безопасно использовать вместе с контроллерами Microsoft в существующем лесе Active Directory. По нашему мнению, Samba существенно уступает Microsoft Active Directory по функциональности, поэтому в таком сценарии развертывания будут постоянно возникать сложно диагностируемые проблемы, которые зачастую будет невозможно решить без внесения существенных доработок в системные компоненты.
Например, глобальный каталог Samba не собирает информацию из всех доменов леса, а просто перенаправляет запросы на основной каталог, поэтому при попытке использовать эту службу в лесе доменов администраторы не смогут находить пользователей из других доменов, а в Kerberos-билетах будет отсутствовать информация об участии пользователей в универсальных группах из-за чего пользователи будут терять доступ к нужным ресурсам. Еще один пример можно привести со службой DNS, которая не умеет изменять очередность A-записей в домене в зависимости от IP-адреса клиента из-за чего не будет работать географическая балансировка групповых политик при обращении к общей папке SYSVOL. И подобных отличий очень много.
Но более опасным является даже не это. Учитывая ограниченную функциональность, заменить все контроллеры Microsoft Active Directory на Samba в большой инфраструктуре не представляется возможным, поэтому в таком сценарии развертывания всегда будут оставаться риски, связанные с вероятностью взлома через контроллеры MS AD по причине отсутствия последних обновлений или наличия преднамеренных закладок. При этом контроллеры Samba будут использовать общую базу каталога с MS AD, поэтому вероятность взлома будет определяться даже не просто самым слабым звеном, а суммой вероятностей, и компрометация любого контроллера Microsoft AD будет автоматически приводить компрометации всей замещенной инфраструктуры.
Вместо заключения
В этой статье мы рассмотрели вопрос о том, что домен может стать одним из ключевых компонентов безопасности импортозамещенной ИТ-инфраструктуры, и раскрыли особенности службы каталога ALD Pro, которые позволяют ей в полной мере использовать нативные технологии безопасности Linux и встроенной СЗИ Astra Linux.
Стоит отметить, что ALD Pro является единственной службой каталога, сертифицированной в системе сертификации ФСТЭК России на соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) — по 2-му уровню доверия и на соответствие техническим условиям (сертификат ФСТЭК России № 4830). Продукт успешно прошел нагрузочное тестирование на 400 контроллеров с базой на 1 млн пользователей, что подтверждает возможность управления ИТ-инфраструктурой предприятия любого масштаба.
