Специалист по безопасности доменных архитектур Windows

Мы разрабатываем инженерное программное обеспечение для роста промышленности и строительства, признаны системообразующей организацией российской экономики, входим в реестр аккредитованных ИТ-компаний Минцифры России и ТОП-100 крупнейших ИТ-компаний России в рейтинге Cnews.

Сейчас мы расширяем команду технического отдела и находимся в поиске Специалиста по безопасности доменных архитектур Windows.

Обязанности:

• Планирование и проведение миграций между доменами, повышения функциональных уровней леса/домена, миграции с наследуемых инфраструктур;

• Разработка стратегии гибридной идентификации и бесшовной аутентификации для приложений и устройств в период изменений;

• Аудит и повышение безопасности Active Directory: внедрение защищённых административных рабочих станций (PAW / SAW), настройка Tiering (многоуровневая модель администраторов), развёртывание LAPS, управление средствами аутентификации;

• Разработка и сопровождение групповых политик (GPO) для унификации конфигураций и обеспечения безопасности конечных устройств в условиях одновременного использования локальных и облачных методов управления;

• Автоматизация развёртывания и аудита доменной инфраструктуры (PowerShell, Ansible, скрипты) для ускорения внесения изменений и обеспечения воспроизводимости конфигураций.

Требования:

• Приветствуется наличие сертификатов :Microsoft (SC-100, SC-300, AZ-305); сертификаты по СЗИ (Secret Net, Dallas Lock, КриптоПро);

• Системная инфраструктура и Hardening ОС Kernel & Boot Security: настройка Secure Boot, TPM 2.0, внедрение Virtualization-Based Security (VBS), Credential Guard и Device Guard.

  Windows Internals: глубокое понимание механизмов аутентификации (LSASS, SAM, NTLM/Kerberos), управления процессами и системными вызовами; защита памяти (DEP, ASLR, CFG);

• Application Control & ASR: минимизация поверхности атаки через AppLocker или WDAC; внедрение правил Attack Surface Reduction (ASR);

• Криптография и защита данных (Encryption) Disk & Data Encryption: проектирование и внедрение BitLocker (XTS-AES); управление ключами через MBAM, AD DS или Intune; настройка Network Unlock и защита токенов восстановления;

• Tiered Administration & Clean Source: реализация трехуровневой модели администрирования (Tier 0/1/2); развертывание станций привилегированного доступа (PAW) и Jump-серверов;

• Forest & Domain Security: аудит доверительных отношений (Trusts); защита от атак на подделку билетов (Golden/Silver Ticket) и захват объектов AD (контроль ACL/ACE);

• Identity Attacks Defense: минимизация рисков Kerberoasting, AS-REP Roasting и атак типа DCSync/DCShadow; аудит критических изменений в NTDS;

• Hardening протоколов: отказ от NTLM, переход на Kerberos (AES-only); настройка FAST, Restricted Admin mode и управление группой Protected Users;

• System Hardening: экспертное владение Microsoft Security Compliance Toolkit (SCT), внедрение политик на базе CIS Benchmarks, STIG и Microsoft Security Baselines;

• Service & CLI Hardening: защита критических служб (DNS, DHCP, Print Spooler); настройка безопасного окружения PowerShell (Constrained Language Mode, логирование Script Block);

Условия:

• Официальное трудоустройство, соблюдение компанией всех социальных гарантий. Являемся аккредитованной IT компанией;

• ДМС, доплата больничных до 100%, компенсация спорта, посещение профильных конференций за счет компании;

• График работы: с 9.00-18.00 или с 10.00-19.00;

• Релокационный пакет для иногородних кандидатов;

• У нас отдельное здание офиса и собственная охраняемая авто- и вело- парковка;

• В офисе: фрукты, кофе и чай;

• Возможность приобретения необходимого вам софта и техники.