Како побољшати безбедност ваше компаније помоћу ЛАН мрежа у оперативном систему Windows

  • Дизајнирање сегментиране и ажуриране локалне мреже у оперативном систему Windows смањује утицај напада и ограничава латерално кретање.
  • Интеграција Microsoft Entra, Global Secure Access и Conditional Access доноси приступ Zero Trust мрежи.
  • Веб филтрирање, TLS инспекција и обавештајне информације о претњама јачају приступ интернету од злонамерног софтвера и крађе података.
  • Резервне копије, контрола домена и обука особља употпуњују робусну безбедносну стратегију.
Pablo

КСНУМКС Минутос

Безбедност ЛАН мреже у оперативном систему Windows

Локална мрежа ваше компаније постала је срце скоро свега што радите.Приступ апликацијама, дељеним датотекама, услугама у облаку, видео позивима, штампачима, интернету ствари, ип камере...и, наравно, Windows као доминантан оперативни систем на рачунарима. Проблем је што је иста та локална мрежа сада примамљива мета за сваког чак и мало искусног нападача.

Није довољно само „инсталирати антивирус и то је то“Побољшање безбедности ваше компаније коришћењем Windows LAN мрежа подразумева комбиновање добрих пракси дизајна мреже, контроле приступа, заштите периметра, правилне конфигурације Microsoft Entra услуга (раније Azure AD) и - нешто што често заборављамо - дисциплине са... резервне копије и управљање акредитивима. Хајде да видимо, корак по корак, како заиста обезбедити модерну корпоративну локалну мрежу, а да притом не изгубите разум.

Шта је ЛАН мрежа у модерном Виндоус пословању?

ЛАН (локална мрежа) је мрежа која повезује уређаје у вашој канцеларији или преко више спратова/оближњих зграда, омогућавајући дељење података, апликација, штампача, приступа интернету и услуга у облаку. Типично Windows окружење укључује рачунаре, сервере, мрежне штампаче, VoIP телефоне, Wi-Fi приступне тачке, IP камере и све већи број IoT уређаја.

Већина тренутних пословних локалних мрежа користи Етернет као своју основну технологију.комбиновање бакарних или оптичких каблова и, у многим случајевима, Wi-Fi (WLAN). Када се уређаји повезују бежично, и даље то називамо локалном мрежом, али по стандарду IEEE 802.11, са свим додатним ризицима бежичне повезаности.

У средњим и великим компанијама, уобичајено је да локална мрежа (LAN) није једна „равна чорба“

Неколико подмрежа и VLAN мрежа је распоређено у одвојена одељења, критичне сервисе (сервере, контролере домена, камере, IP телефонију…) и гостујуће зоне, а управљани рутери и прекидачи се користе за контролу протока саобраћаја и спровођење безбедносних политика.

Кључне компоненте локалне мреже и како оне утичу на безбедност

Безбедност ваше локалне мреже у оперативном систему Windows зависи и од хардвера и од конфигурације.Ово су основни елементи које морате имати под контролом и добро конфигурисане како бисте избегли остављање врата отвореним за унутрашње или спољашње нападаче.

  • Каблови и физички медијумСтарији каблови (категорија 5/5e за велике удаљености) не само да ограничавају брзину, већ могу проузроковати и грешке у преносу и прекиде везе који маскирају безбедносне проблеме или отежавају праћење. Миграција на Cat6, Cat6A или више каблове побољшава перформансе и стабилност и смањује уска грла у критичним сегментима.
  • ПрекидачиТо су уређаји који повезују сву опрему на локалној мрежи (LAN). Добро конфигурисан управљани прекидач вам омогућава да креирате VLAN мреже, примените QoS, ограничите портове, детектујете петље, омогућите 802.1X аутентификацију и још много тога. Јефтин, неуправљани прекидач значи мању контролу над оним што се повезује и који саобраћај тече кроз њега.
  • Рутери и заштитни зидовиРутер је обично капија ка интернету и често укључује функције заштитног зида (фајервола). За предузеће, идеално решење је имати наменски заштитни зид (физички или виртуелни) који јасно одваја интерну локалну мрежу од интернета, дефинише који су портови изложени и примењује инспекцију саобраћаја и филтрирање садржаја.
  • Wi-Fi приступне тачке (WAP)Ово су улазне тачке за мобилне телефоне, лаптопове и IoT уређаје. Требало би да буду конфигурисани са робусним шифровањем (WPA2-Enterprise или WPA3), централизованом аутентификацијом, одвојеним мрежама за госте и, ако је могуће, интеграцијом са вашим Microsoft Entra Conditional Access политикама.
  • Мостови и репетиториМостови, Wi-Fi екстендери и репетитори сигнала проширују домет мреже, али ако су погрешно конфигурисани, могу створити неконтролисане и ненадгледане „фантомске“ сегменте. Кључно је да поштују сегментацију и наслеђују исте безбедносне политике као и остатак локалне мреже.
  • Windows сервери и контролери доменаДатотечни сервер и, посебно, контролери домена Active Directory концентришу акредитиве, групне политике и осетљиве податке. Ако неко добије RDP приступ контролеру домена са слабим акредитивима, буквално може преузети контролу над целом организацијом.
  • Клијентски рачунари са оперативним системом WindowsОни су веза где се технички и људски фактори највише комбинују. Застарели системиСтари драјвери, застарели антивирусни софтвер или корисници са локалним администраторским привилегијама су савршен рецепт да било који злонамерни софтвер претвори мањи инцидент у катастрофу.

Уобичајене врсте напада на корпоративне локалне мреже

напади на корпоративне локалне мреже

Корпоративна локална мрежа са оперативним системом Windows може патити од било чега, од веома бучних напада до прикривених упада. који остају неоткривени месецима. Разумевање најчешћих вектора је кључно за дизајнирање ефикасне одбране.

  • Напади скенирања и извиђањаНападач истражује који уређаји су на мрежи, који су портови отворени и који су сервиси изложени. Могу користити TCP скенирање, прегледање портова и технике фрагментације пакета како би покушали да заобиђу неке филтере. Иако ови напади у почетку делују „безопасно“, они су прелиминарна фаза за стварну експлоатацију.
  • Њушкање и шпијунирање саобраћајаСа уређајем повезаним на погрешно конфигурисан порт свича или искоришћавањем отворене или лоше обезбеђене Wi-Fi мреже, нападач може да сними LAN саобраћај, посматра акредитиве у отвореном тексту (ако се TLS не користи), сесије, интерне адресе и обрасце понашања. У режиму „шпијунирања“, они такође могу да манипулишу или извлаче податке за каснију експлоатацију.
  • Злонамерни софтвер и напади модификације или оштећењаРансомвер, тројанци и црви искоришћавају застареле Windows системе, налоге са прекомерним привилегијама и недостатак сегментације за шифровање датотека, крађу података или манипулацију критичним информацијама. Напади попут неовлашћеног мењања или преправљања података омогућавају нападачима да мењају рачуноводствене евиденције, базе података или платне спискове без тренутног откривања.
  • Крађа лозинке (крековање лозинке)Ако су лозинке за домен слабе или се поново користе на различитим системима, алати за грубу силу или речник могу их брзо провалити. Нападачи такође траже хешеве лозинки на контролерима домена или компромитованим радним станицама како би извршили нападе „pass-the-hash“. Користите менаџере лозинки као што су менаџери лозинки како би се смањила поновна употреба и олакшало коришћење јединствених акредитива по услузи.
  • DNS лажно представљање и злонамерна преусмеравањаТровање интерног или екстерног DNS-а вам омогућава да преусмерите кориснике на лажне веб странице чак и ако укуцају исправну URL адресу. Ово се може користити за хватање акредитива, ширење злонамерног софтвера или лажно представљање корпоративних апликација.

Основне најбоље праксе за обезбеђивање Windows LAN мреже

Полазна тачка за обезбеђивање ваше локалне мреже је имплементација веома јасних мера дигиталне хигијене. који утичу на лозинке, ажурирања, сегментацију мреже и физичку и логичку контролу приступа опреми.

  • Политика јаких лозинкиОва политика захтева употребу дугих лозинки (минимум 12 знакова) са великим и малим словима, бројевима и симболима, избегава употребу очигледних личних података и конфигурише разуман периодични рок трајања. У Windows окружењима, ово се лако имплементира путем објеката групних политика (GPO) на домену. Допуните ову политику менаџерима лозинки као што је [овде уметните име менаџера лозинки]. КеепассКСЦ.
  • Јака аутентификација и верификација идентитетаКомбинује корисничко име и лозинку са вишеструким факторима аутентификације (MFA) и, где је то потребно, биометријским подацима (отисак прста, препознавање лица) интегрисаним у Windows Hello for Business. Што је теже лажно представљати се као корисник, то је мање опција које нападач има да украде податке за пријаву.
  • Ажурирани системиОдржавање Windows-а, мрежних драјвера, фирмвера за прекидаче, рутере и приступне тачке, као и серверског софтвера, ажурираним је од кључне важности. Многи напади и даље користе старе рањивости за које су закрпе доступне месецима или годинама. Препоручљиво је искористити предности добављача који нуде закрпе и ревизије.
  • Сегментација локалне мрежеНије добра идеја да цела компанија буде на једној подмрежи. Користите VLAN мреже да бисте одвојили кориснике, сервере, VoIP, камере, IoT уређаје, госте и тест окружења. Ово отежава нападачу који је компромитовао једну машину да се креће бочно.
  • Шифровање осетљивог саобраћајаНамеће употребу TLS-а у интерним и екстерним апликацијама (HTTPS, SMTPS, LDAPS, итд.), штити удаљене везе робусним VPN мрежама и користи безбедне протоколе за управљање уређајима (нпр. SSH уместо Telnet-а). Ово спречава да снифер на локалној мрежи „види“ акредитиве или податке у отвореном тексту.

Безбедност без поверења: Заштитите приступ мрежи помоћу Microsoft Entra и Global Secure Access-а

Филозофија нултог поверења заснива се на веома једноставној идеји.Не верујте аутоматски ниједном уређају, кориснику или локацији, чак и ако је „унутар“ локалне мреже. Мајкрософт је овај приступ отелотворио у својој иницијативи за безбедну будућност, тачније у стубу „Безбедне мреже“.

За предузећа која користе Windows и Microsoft услуге, Entra (раније Azure AD)Ово се претвара у додавање неколико слојева заштите мреже и приступа: континуирано праћење сесија, контрола над тим одакле се корисник повезује, коју мрежну руту користи и коју врсту саобраћаја генерише. Ту долазе до изражаја функције попут глобалног безбедног приступа, приватног приступа за Microsoft пријаву и политика условног приступа.

Конфигуришите именоване локације у Microsoft Login ID-у Омогућава вам да одредите које су корпоративне мреже, филијале и региони легитимни и поуздани. Без ових дефиниција, детекције ризика засноване на локацији знатно лошије функционишу и повећавају број лажно позитивних резултата, што отежава разликовање нормалног пријављивања у канцеларију од сумњивог покушаја који потиче са анонимне ВПН мреже или земље у којој ваша компанија чак ни не послује.

Ограничења за закупце v2 (TRv2) Они су још један кључни стуб: спречавају неовлашћене кориснике на вашој локалној мрежи и корпоративним уређајима да се аутентификују код екстерних Microsoft Entra закупаца. Без њих, неко са украденим акредитивима могао би да се повеже са закупцем под својом контролом и да цури податке путем екстерних OneDrive, SharePoint или Teams, а да ваши традиционални DLP алати то не открију.

Универзална континуирана евалуација приступа и детаљна контрола сесија

У Windows окружењима интегрисаним са Microsoft Entra, неопходно је контролисати животни век приступних токена.Са континуираном проценом универзалног приступа (Universal CAE), свака мрежна веза заштићена системом Global Secure Access се динамички поново валидира на основу критичних догађаја.

Ако Универзални CAE није омогућенУкрадени токен може остати важећи 60 до 90 минута чак и након што корисник промени лозинку, налог буде онемогућен или је откривен висок ризик. Ово даје нападачима времена да се крећу по мрежи, повежу се са интерним апликацијама и украду податке.

Активирање Универзалног CAE-а у режиму строгог спровођењаБило какво опозивање сесије, сигнал високог ризика или промена статуса корисника приморавају готово тренутну поновну аутентификацију. Штавише, покушаји поновне употребе токена са различитих IP адреса се ефикасније блокирају, елиминишући уобичајени вектор напада у Windows локалним мрежама.

Важно је прегледати све политике условног приступа како би се осигурало да не онемогућавају CAE на одређеним радним оптерећењима. Неке компаније, из разлога компатибилности, креирају изузетке који потом постају трајне рупе у закону.

Глобални клијент за безбедан приступ: Доношење безбедне локалне мреже на све Windows рачунаре

Да би заштита мреже Zero Trust била ефикасна, сви управљани уређаји морају да користе Global Secure Access клијент.Ако корпоративни Windows рачунар нема инсталиран овај клијент, његов саобраћај може ићи директно на интернет или интерне ресурсе без проласка кроз контроле периметра или провере усклађености.

Без клијента распоређеног на свим управљаним крајњим тачкама Нападачи могу да искористе ове „подигнуте слушалице“ да би добили почетни приступ, кретали се бочно преко локалне мреже или извукли информације. Штавише, ови уређаји немају користи од мрежних провера у политикама условног приступа, враћању изворне IP адресе или ограничењима закупца.

Када је клијент активан, Windows уређаји се могу безбедно повезати. Приступ и SaaS апликацијама и интерним ресурсима је обезбеђен путем Microsoft Entra Private Access-а, увек примењујући исте политике идентитета и мреже. Контролна табла Global Secure Access-а вам омогућава да пратите статус клијента, проверите повезаност и предузмете корективне мере ако се открију проблеми.

Још једна кључна ствар су лиценце за глобални безбедни приступ.Да бисте користили Microsoft Entra Internet Access и Microsoft Entra Private Access, потребан је Microsoft Entra ID P1. Ако ваш закупац нема одговарајуће лиценце или оне нису додељене корисницима, њихов саобраћај неће бити усмерен кроз Global Secure Access и остаће незаштићен. Препоручљиво је користити лиценцирање засновано на групама и пратити истеке како бисте избегли ненамерни губитак покрића.

Профили за прослеђивање саобраћаја и контрола онога што улази и излази из ваше локалне мреже

Преусмеравање саобраћаја је механизам који осигурава да ЛАН саобраћај пролази кроз безбедносне слојеве. из Глобалног безбедног приступа и не „бежи“ директно кроз интернет врата.

Мајкрософт дефинише три врсте профила за прослеђивањеједан за Microsoft саобраћај (M365, Microsoft Entra ID, Graph, SharePoint, Exchange…), други за приватни приступ (интерни ресурси) и трећи за општи приступ интернету (јавни веб, SaaS који није од Microsoft-а, итд.).

Ако ови профили нису омогућениБезбедносне политике, филтрирање садржаја, заштита од претњи и CAE не могу се применити. Било који сајбер криминалац са важећим акредитивима може се повезати са вашим ресурсима са било које мреже, без проласка кроз ваш модерни периметар.

Такође је важно јасно дефинисати обим сваког профилаАко доделите прослеђивање „свим корисницима“ без претходног тестирања са пилот групама, грешка у конфигурацији може довести целу компанију до ван мреже. С друге стране, ако дефинишете преузак опсег, корисници ће радити ван заштите, а да нико то не примети.

На крају, проверите да ли се Microsoft 365 саобраћај активно одвија кроз Global Secure Access.Ако се део тог саобраћаја изостави (због старих клијената, ручних конфигурација или уређаја без клијената), губите увид у радна оптерећења која су најкритичнија за продуктивност и сарадњу, и постаје теже повезати стварне ИП адресе са пријавама и упозорењима.

Безбедни веб пролаз, филтрирање садржаја и TLS у Windows окружењима

Безбедна корпоративна локална мрежа у Windows-у не значи само блокирање портова у заштитном зиду (фајерволу).Такође је важно прегледати одлазни HTTP/HTTPS саобраћај, јер већина модерних претњи путује шифровано.

Профил за преусмеравање приступа интернету Овај профил приморава веб захтеве ваших корисника да пролазе кроз Безбедни веб пролаз (SWG) компаније Global Secure Access. Ако овај профил није омогућен, корисници могу директно да прегледају и преузимају злонамерни софтвер, повезују се са доменима команде и контроле или да краду податке без икаквог централизованог филтрирања.

Директиве за филтрирање веб садржаја су основа ове контролеБез њих, приступ било којој категорији сајтова (злонамерни, фишинг, пиратски софтвер, неприкладан садржај итд.) је отворен. Најефикаснији приступ је коришћење правила заснованих на категоријама (злонамерни софтвер, превара, пиратерија, криминалне активности итд.), уместо ослањања искључиво на листе одређених URL-ова, који брзо застаревају.

Ове директиве морају бити повезане са безбедносним профилимаАко су ове функције креиране, али нису повезане ни са једним профилом или референтним профилом, оне се уопште не примењују и стварају лажни осећај сигурности. Штавише, интеграција са условним приступом омогућава строже филтрирање када се открије већи ризик (на пример, ако уређај није у складу са прописима или се корисник пријављује са необичне локације).

Критична компонента је TLS инспекцијаПошто је скоро сав веб саобраћај шифрован, ако се HTTPS сесије не дешифрују на контролној тачки, многе функције филтрирања, DLP-а и откривања претњи ће престати да раде. То се постиже коришћењем посредничког CA сертификата који динамички генерише сертификате за сајтове са којима се ваши Windows рачунари повезују.

Будите опрезни са TLS изузецима и управљањем сертификатима

TLS инспекција није ситуација „подеси једном и заборави“.Постоје две посебно осетљиве тачке: правила заобилажења и истека сертификата о инспекцији.

Правила заобилажења TLS-а Оне вам омогућавају да искључите одређене домене или апликације које не подржавају инспекцију (на пример, сервисе са закачивањем сертификата или међусобним TLS-ом). Проблем настаје када се ови изузеци временом акумулирају, престану да се проверавају и постану слепе тачке које нападачи намерно траже да би тунелирали своју комуникацију командовања и контроле.

Препоручљиво је периодично преиспитати правила заобилажења и уклоните сва сувишна или дуплирана одредишта која се већ налазе на листи прескакања система. Глобални безбедни приступ ограничава број правила и одредишта по закупцу, тако да одржавање чисте и безбедне конфигурације олакшава администрацију.

У вези са TLS сертификатом о инспекцијиКада истекне, TLS терминација одмах престаје да функционише. Губите филтрирање URL-ова, откривање претњи и било какву контролу над HTTPS саобраћајем. Није неуобичајено да нападачи покушавају да темпирају своје кампање са периодима када знају да неке организације ублажавају своје контроле током обнављања сертификата.

Идеално би било да се одржи временски оквир од најмање 90 дана пре истека.Користите сертификате са минималним роком важења од шест месеци и планирајте обнављање користећи вашу PKI инфраструктуру (ADCS, OpenSSL, итд.). Поред тога, пратите стопу грешака при TLS инспекцији и држите је испод 1%, јер веће стопе често указују на системске проблеме са поверењем, некомпатибилности или чак намерне покушаје изазивања кварова у инспекцији.

Обавештење о претњама, заштитни зид у облаку и заштита филијала

Поред филтрирања по категоријама, коришћење обавештајних података о претњама Динамичке листе познатих злонамерних домена и URL-ова су неопходне за блокирање веза са активном инфраструктуром напада. Ако не омогућите ово филтрирање у Global Secure Access-у, уређаји могу наставити да комуницирају са командним и контролним серверима чак и након што буду откривени на другим слојевима.

Основни безбедносни профил Глобалног безбедног приступа Нуди генеричку заштиту за целог закупца, али је добра идеја креирати прилагођене профиле повезане са политикама условног приступа како би се узео у обзир контекст (ко је корисник, са ког уређаја се повезује, одакле се повезује итд.).

За филијале повезане преко IPsec тунелаКлауд фајервол компаније Global Secure Access је одговоран за контролу одлазног саобраћаја ка интернету. Ако не конфигуришете смернице заштитног зида за ове удаљене мреже, сав њихов одлазни саобраћај ће проћи без икаквог филтрирања на мрежном слоју, што ће нападачу који угрози радну станицу филијале омогућити да се повеже са било којом спољном дестинацијом без ограничења.

Дефинисање става „одбијање по подразумеваним подешавањима“ А онда отварање само неопходног саобраћаја из гранчица значајно смањује шансе за ексфилтрацију и бочно кретање у друга окружења, као што је облак.

Спречавање губитка података, пренос датотека и генеративна вештачка интелигенција заштита

Један од најлакших начина за извлачење информација из локалне мреже То подразумева коришћење легитимних сервиса за пренос датотека, складиштења у облаку или чак генеративних вештачких интелигенција за отпремање осетљивих докумената.

Политике филтрирања садржаја мреже у програму Global Secure Access омогућити праћење и контролу преношење датотека путем прегледача, апликација и API-ја. Без ових смерница, злонамерни корисник или угрожени налог могли би да отпреме поверљиве документе, акредитиве или интелектуалну својину на спољне сервисе практично без трага на вашим крајњим системима.

У области вештачке интелигенције, вештачке интелигенције (AI Gateway) и њене заштите Prompt Shield-ом. Они додају још један слој: спречавају да апликације за вештачку интелигенцију у предузећима трпе нападе убризгавањем команди (брзи џејлбрејкови, злонамерне инструкције скривене у спољном садржају итд.) који би могли да доведу до тога да модел игнорише интерне политике, открије интерне податке или генерише фишинг садржај.

Имплементирајте ове контроле на нивоу мреже уместо апликације по апликације То обезбеђује доследан став: не зависите од сваког развојног тима да независно имплементира безбедносне мере против брзог убризгавања и губитка података у својим вештачким интелигенцијалним решењима.

Условни приступ и сигнализација засновани на мрежи глобалног безбедног приступа

Мајкрософтове политике условног приступа Они су веза између идентитета и мреже. За компанију која жели да извуче максимум из своје Windows LAN мреже, кључно је захтевати да се корисници аутентификују на корпоративним ресурсима само ако њихов саобраћај пролази кроз Global Secure Access.

Контроле „компатибилне мреже“ у условном приступу Они омогућавају управо то: проверу да ли аутентификација долази од Мајкрософтове безбедносне службе, а не са било које интернет ИП адресе. Без ових контрола, нападач који украде акредитиве може се повезати са било ког места, заобилазећи ваше филтере садржаја, обавештајне податке о претњама или CAE.

Глобална сигнализација безбедног приступа за условни приступ Ово решава још један проблем: када саобраћај пролази кроз прокси, изворна IP адреса коју види Microsoft Entra ID је обично прокси, а не стварна IP адреса корисника. Омогућавање ове сигнализације омогућава убацивање додатних информација у захтев како би политике засноване на локацији и детекција ризика (немогућа путовања, анонимне IP адресе, непозната својства пријављивања) наставиле да исправно функционишу.

Ако ова сигнализација није активиранаЕвиденције пријављивања ће приказивати само одлазне прокси ИП адресе, што компликује било какву форензичку истрагу или реаговање на инциденте и смањује тачност аутоматизованог откривања ризика.

Microsoft Private Access: Унесите: Нулта поверења за интерне ресурсе

Многе компаније се и даље ослањају на традиционалне VPN-ове за приступ интерним ресурсима (фајл сервери, ЕРП-ови, интерне апликације). Мајкрософтов модел приватног приступа Entra настоји да замени тај модел моделом нултог поверења, у којем се сваки захтев аутентификује и овлашћује детаљно.

Конектори приватних мрежа су „брокери“ који повезују вашу локалну мрежу са глобалним безбедним приступом (Global Secure Access).Ако су неактивни или застарели, корисници могу бити у искушењу да прибегну мање безбедним алтернативним методама приступа или ћете бити приморани да изложите услуге директно интернету.

Свака група конектора би идеално требало да има најмање две активне инстанце ажуриране.Да би се избегле појединачне тачке отказа, један конектор у групи значи да софтверски проблем, несрећно ажурирање или чак локална злонамерна радња могу оставити све приватне апликације које зависе од те групе без приступа.

Сегментација апликација у приватном приступу Ово је још једна критична тачка. Ако дефинишете прешироке сегменте (огромни опсези IP адреса, вишеструки нефилтрирани портови, неселективно коришћење брзог приступа), у суштини реплицирате пермисивни модел традиционалних VPN-ова. Препоручени приступ је сегментирање по апликацији, коришћење FQDN-ова или одређених IP адреса и портова, и повезивање сваког сегмента са политикама условног приступа на основу ризика и типа ресурса.

Приватни DNS, интерни саобраћај и перформансе у удаљеном приступу

Интерно разрешавање имена је од виталног значаја за правилно функционисање приватног приступа.Ако не конфигуришете одговарајући приватни ДНС, удаљени корисници неће моћи да разрешају интерне FQDN-ове кроз безбедни тунел, а њихове Windows машине ће се вратити на јавне ДНС сервере, где та имена једноставно не постоје.

Када је профил приватног приступа омогућен, али DNS портови нису објављени (53 UDP/TCP) на одговарајућим сегментима, или ако приватни DNS суфикси нису дефинисани, клијент Global Secure Access не може да усмерава интерне DNS упите. Због тога се сегменти засновани на FQDN-у не примењују, а корисник се на крају повезује директно, ван мрежних политика.

Да бисте побољшали перформансе без жртвовања безбедностиФункције као што је Интелигентни локални приступ (ILA) омогућавају локално усмеравање приватног саобраћаја када се корисник физички налази на корпоративној мрежи, избегавајући непотребна путовања у облак уз одржавање условних контрола приступа.

Брзи приступ, са своје стране, мора бити правилно повезан са групама активних конектора Политике условног приступа су већ на снази. У супротном, корисници неће моћи да приступе интерним ресурсима када им затребају, или, још горе, моћи ће то да ураде без икаквих додатних MFA, провера усаглашености уређаја или локације.

Контролери домена, RDP и безбедносни сензори у Windows окружењу

У локалној мрежи заснованој на оперативном систему Windows, контролери домена су крајњи циљ.Ко год контролише домен, контролише налоге, политике, групе и, у пракси, целу мрежу.

Када администратори приступају контролерима домена путем RDP-а Користећи Microsoft Private Sign-In, морају то да ураде са аутентификацијом отпорном на фишинг: на пример, FIDO2 безбедносни кључеви, Виндовс Хелло фор Бусинесс са јаком подлогом или еквивалентним методама које захтевају криптографски доказ власништва.

Без ових отпорних методаНападач који успе да украде акредитиве или отме токене сесије могао би да их поново репродукује како би успоставио RDP сесије са контролером домена, извршио DCSync нападе како би извукао хешеве свих налога, креирао Kerberos златне тикете и одржао дугорочну перзистентност или модификовао GPO-ове како би распоредио масивни малвер.

Сензори приватног приступа распоређени на контролерима домена Они омогућавају примену строгих политика на Kerberos захтеве који потичу из локалне мреже. Без ових сензора, било који уређај са приступом локалној мрежи може захтевати сервисне карте за привилеговане ресурсе без MFA контрола, усклађености или контекста, одржавајући имплицитни модел поверења заснован искључиво на томе да је „унутар“ мреже.

Резервне копије, одржавање и оперативно управљање локалне мреже

Безбедност локалне мреже није ограничена само на спречавање неовлашћеног приступа.То такође значи могућност опоравка ако нешто крене наопако. Пожар у дата центру, ransomware који шифрује фајл сервер или квар хардвера могу парализовати компанију ако нема добро осмишљених резервних копија.

Препоручује се централизација пословних података на фајл серверу. или на безбедним сервисима за складиштење са јасном политиком прављења резервних копија, укључујући резервне копије ван локације (ван канцеларије или у другом региону) за екстремне сценарије катастрофе. Консултујте се са Поређење метода прављења резервних копија да изабере најбољу стратегију.

Добро управљан Windows домен Поједностављује доделу дозвола, спровођење политика лозинки, имплементацију софтвера и управљање ажурирањима. Осигурава да сви рачунари на мрежи користе професионалне верзије оперативног система Windows које се могу правилно интегрисати у Active Directory или Microsoft Entra.

Поред ажурираног антивирусног софтвера на свим рачунарима и серверимаПрепоручљиво је успоставити редовно одржавање: преглед логова, проверу статуса резервних копија, примену критичних закрпа, инвентаризацију лиценци и праћење инцидената. Додељивање ове одговорности интерној особи или екстерном добављачу помаже у спречавању да се проблеми заташкају.

На крају, никада не потцењујте људски факторФилтрирање MAC адреса, онемогућавање неискоришћених Ethernet портова, ограничавање инсталације софтвера и сегментирање по VLAN-у смањује штету коју може проузроковати и грешка запосленог и намерна акција незадовољне особе унутар организације.

Добро дизајнирана и управљана LAN мрежа у Windows окружењу, побољшана Microsoft Entra могућностима, Global Secure Access-ом, сегментацијом, веб филтрирањем и обавештајним подацима о претњамаПостаје много робуснији од једноставног сета каблова и прекидача: постаје безбедна платформа на којој ваша компанија може да настави да расте, укључујући Интернет ствари, услуге у облаку, па чак и генеративну вештачку интелигенцију, без непотребног излагања сајбер нападима који су данас, нажалост, уобичајени.

мапа топологије локалне мреже
Повезани чланак:
Мапирајте топологију ваше локалне мреже (LAN) помоћу бесплатних, визуелних алата