Stacje robocze osób pełniących bardzo istotne funkcje i posiadających wysokie uprawnienia w środowisku IT muszą być szczególnie chronione. Chociaż wydaje się to nieprawdopodobne, włamanie do pilnie strzeżonych serwerów jest trudniejsze od przełamania zabezpieczeń w stacjach roboczych administratorów. Należy także pamiętać, że napastnicy kierują swoje działania tam, gdzie koszty będą najmniejsze, i tam, gdzie mogą wykorzystać dobrze znane technologie. Zamiast poszukiwania kosztownych podatności dnia zerowego przeciw systemom serwerowym lub narzędziom uwierzytelnienia, o wiele taniej i prościej kupić któryś z eksploitów wykorzystujących podatności stacji roboczej, powszechnie dostępnych na podziemnym rynku. Mając kontrolę nad stacją roboczą, z której korzysta administrator, włamywacz może skutecznie infiltrować sieć firmową, a w wielu przypadkach podobny atak przejdzie niezauważony.

Przejęcie słabo zabezpieczonej stacji roboczej administratora może być zatem prostsze od przełamywania zabezpieczeń firmowych serwerów, chronionych przez zapory sieciowe i systemy dwuskładnikowego uwierzytelnienia.

Fort Knox

Podstawowym sposobem ochrony, o którym przeważnie wspomina się przy okazji zabezpieczenia stacji administratora, jest hardening systemu operacyjnego. Administratorzy zazwyczaj korzystają z komputerów z systemem Microsoft Windows i stosują typowe procedury do utwardzenia systemu. Najczęściej dotyczy to ograniczenia uprawnień użytkownika – praca na poziomie uprawnień lokalnego administratora jest już przeszłością – ale także obejmuje usunięcie niepotrzebnych aplikacji i wyłączenie zbędnych usług. W systemie musi pracować oprogramowanie antywirusowe wyposażone w moduł analizy behawioralnej, a wszelkie logi generowane na tej stacji powinny być przekierowane do zdalnego serwera. Za pomocą odpowiednich opcji Active Directory należy wymusić ograniczenia związane z aplikacjami, które administrator może uruchamiać po zalogowaniu się na właściwe konto. W praktyce wymienione wyżej działania radykalnie zmniejszają prawdopodobieństwo udanego ataku za pomocą typowych eksploitów na stacji roboczej. Wadą takiej konfiguracji jest jednak ograniczenie wygody pracy, co może wpływać na produktywność działania.

Wszystko zdalnie

Ciekawym i od dawna stosowanym podejściem jest rezygnacja z instalacji oprogramowania do zarządzania zasobami wprost na stacji roboczej administratora. Osoba pełniąca obowiązki administratora będzie do tych zadań korzystać z bezdyskowego terminala, na którym wyświetla się sesja z dobrze zabezpieczonego serwera. Metoda może wykorzystywać zdalny pulpit Windows, rozwiązania firmy Citrix, VMware lub połączenie SSH i jest jedną z najprostszych w realizacji. Serwer zdalnego pulpitu lub podobnych usług, uruchomiony w strefie DMZ, jest chroniony zaporą sieciową, przy czym połączenie jest możliwe tylko z wybranych urządzeń. W takim przypadku często stosuje się dwuskładnikowe uwierzytelnienie, dzięki czemu nawet jeśli włamywacz przejmie kontrolę nad urządzeniem, z którego się administrator łączy, będzie musiał przełamać dalsze zabezpieczenia.

Przy zarządzaniu systemami IT za pomocą narzędzi zainstalowanych w zdalnej sesji warto korzystać z rozwiązań, które wykluczają użycie keyloggera. Jest to o tyle ważne, że administratorzy korzystają z kont o wysokich uprawnieniach i zalogowanie się na takie konto daje dostęp do różnych usług, z których nie wszystkie są chronione przez dwuskładnikowe uwierzytelnienie. Oznacza to, że do naprawdę ważnych zadań najlepiej nadają się bezdyskowe terminale, z których administratorzy korzystają tylko w szczególnych przypadkach. Niekiedy takie terminale są łączone za pomocą sieci światłowodów, by wykluczyć podsłuch.