Bedste praksis for Active Directory-sikkerhed
Angrebsmænd er ihærdige i deres bestræbelser på at kompromittere Active Directory-tjenesterne på grund af deres rolle i forbindelse med godkendelse af adgang til kritiske og fortrolige data.
I takt med at organisationer vokser, bliver deres infrastruktur mere og mere kompleks, hvilket gør dem meget mere sårbare over for angreb, da det er sværere at holde styr på vigtige systemændringer, hændelser og tilladelser.
Det bliver også meget sværere for organisationer at afgøre, hvor deres følsomme data befinder sig, og hvilken type sikkerhedspolitik der er bedst egnet til at beskytte disse data.
I denne blog gennemgår vi nogle Active Directory best practices, som vil hjælpe dig med at forbedre den overordnede sikkerhed i dit Active Directory-miljø.
- Hvorfor skal du bekymre dig om Active Directory-sikkerhed?
- Fælles trusler mod Active Directory-sikkerheden
- Sårbarheder i systemet i Active Directory
- Insidertrusler i Active Directory
- Udviklede tilladelser
- Best Practices for Active Directory Security
- Håndter Active Directory-sikkerhedsgrupper
- Ryd op i inaktive brugerkonti i AD
- Overvågning af lokale administratorer
- Brug ikke GPO’er til at angive adgangskoder
- Audit Domain Controller (DC) Logons
- Sørg for LSASS-beskyttelse
- Har en streng adgangskodepolitik
- Pas på med indlejrede grupper
- Fjern åben adgang
- Audit Server Logon Rights
- Adoptere princippet om mindste privilegier for AD-sikkerhed
- Backup af dit Active Directory og have en metode til genoprettelse
- Aktiver sikkerhedsovervågning af Active Directory for tegn på kompromittering
- Audit Active Directory-ændringer
- Sådan sikrer du Active Directory med Lepide
Hvorfor skal du bekymre dig om Active Directory-sikkerhed?
Active Directory er i bund og grund det bankende hjerte i dit it-miljø. De fleste angreb eller sikkerhedstrusler, du vil blive udsat for, vil involvere dit Active Directory på en eller anden måde.
En outsider, der ønsker at få adgang til dine data, kan f.eks. forsøge at stjæle legitimationsoplysninger eller installere malware for at kompromittere en konto. Når de først er inde i dit AD, kan de eskalere deres privilegier og bevæge sig sideløbende gennem systemet og få adgang til dine følsomme data.
Det er derfor vigtigt at have en god Active Directory-sikkerhed og sikre, at du konsekvent overvåger og reviderer ændringer i AD, så du kan opdage potentielle angreb og reagere i tide.
Fælles trusler mod Active Directory-sikkerheden
Da Active Directory har eksisteret i så lang tid, har angribere fundet flere måder at udnytte sikkerhedssårbarheder på.
Microsoft har været proaktiv i forhold til at lukke huller i Active Directory-sikkerheden, men angribere vil altid finde forskellige måder at udnytte systemet og de mennesker, der bruger dem.
Sikkerhedstrusler i Active Directory falder overordnet set inden for to kategorier; sårbarheder i systemet og insidertrusler.
Sårbarheder i systemet i Active Directory
Active Directory anvender Kerberos-godkendelse, som har adskillige sårbarheder, f.eks. Pass the Hash, Pass the Ticket, Golden Ticket og Silver Ticket. AD understøtter også NTLM-kryptering, et levn fra dengang NTLM-kryptering rent faktisk blev brugt i AD, selv om sikkerheden var underlegen. Brute force-angreb er også en almindelig metode for angribere til at tvinge sig ind i AD.
Insidertrusler i Active Directory
Den mest almindelige måde, hvorpå din Active Directory-sikkerhed sandsynligvis vil blive omgået, er gennem insidertrusler. Phishing-angreb, social engineering og spear-phishing lykkes ofte hos dine brugere, der ikke er sikkerhedsbevidste, hvilket giver angribere mulighed for at få adgang til dit AD med stjålne legitimationsoplysninger.
Udviklede tilladelser
Udviklede tilladelser er også en almindelig trussel mod Active Directory-sikkerheden, idet brugere enten er uforsigtige eller bevidst ondsindede med data, som de slet ikke burde have haft adgang til i første omgang.
Best Practices for Active Directory Security
For effektivt at imødegå nogle af de Active Directory-sikkerhedssårbarheder og -risici, som vi har diskuteret i ovenstående afsnit, har AD-eksperterne her hos Lepide udarbejdet en liste over bedste praksis, som du kan anvende.
Nedenfor finder du en oversigt over vores tjekliste over bedste praksis for Active Directory-sikkerhed:
- Håndter Active Directory Security Groups
- Rens-Up Inactive User Accounts in AD
- Monitor Local Administrators
- Don’t Use GPOs to Set Passwords
- Audit Domain Controller (DC) Logons
- Ensure LSASS Protection
- Have a Stringent Password Policy
- Beware of Nested Groups
- Remove Open Access
- Audit Server Logon Rights
- Adopt the Principle af mindste privilegier for AD-sikkerhed
- Sikke din Active Directory og have en metode til gendannelse
- Aktiver sikkerhedsovervågning af Active Directory for tegn på kompromittering
- Audit Active Directory-ændringer
Håndter Active Directory-sikkerhedsgrupper
Medlemmer, der er tildelt Active Directory-sikkerhedsgrupper såsom Domain, Enterprise- og Skemaadministratorer tildeles det maksimale niveau af rettigheder i et Active Directory-miljø. En angriber eller en ondsindet insider, der er tildelt en af disse grupper, vil derfor have frit spil i dit AD-miljø sammen med dine vigtige data.
Hold dig til bedste praksis for Active Directory-sikkerhedsgrupper, f.eks. ved så vidt muligt at begrænse adgangen til kun de brugere, der har brug for den, vil tilføje endnu et lag af sikkerhed til dit AD.
Klik her for at få en omfattende liste over bedste praksis for Active Directory-sikkerhedsgrupper.
Ryd op i inaktive brugerkonti i AD
Inaktive brugerkonti udgør en alvorlig sikkerhedsrisiko for dit Active Directory-miljø, da de ofte bruges af useriøse administratorer og hackere til at få adgang til vigtige data uden at vække mistanke.
Det er altid en god idé at administrere inaktive brugerkonti. Du kan sandsynligvis finde en måde at holde styr på inaktive brugerkonti ved hjælp af PowerShell eller ved at bruge en løsning som Lepide Active Directory Cleanup.
Overvågning af lokale administratorer
Det er meget vigtigt for organisationer at vide, hvad lokale administratorer foretager sig, og hvordan deres adgang er blevet tildelt. Når der gives adgang til lokale administratorer, er det vigtigt at følge reglen om “princippet om mindste privilegier”.
Brug ikke GPO’er til at angive adgangskoder
Med Group Policy Objects (GPO’er) er det muligt at oprette brugerkonti og angive adgangskoder, herunder adgangskoder for lokale administratorer, i Active Directory.
Angrebsmænd eller ondsindede insidere kan udnytte disse GPO’er til at opnå og dekryptere adgangskodeoplysninger uden forhøjede adgangsrettigheder. Sådanne eventualiteter kan have vidtrækkende konsekvenser i hele netværket.
Dette understreger vigtigheden af at sikre, at sysadmins har mulighed for at opdage og rapportere potentielle adgangskode-sårbarheder.
Audit Domain Controller (DC) Logons
Det er meget vigtigt, at sysadmins har mulighed for at auditere, hvem der logger på en Domain Controller, for at beskytte privilegerede brugere og alle aktiver, de har adgang til.
Dette er et almindeligt blindt punkt for organisationer, da de har en tendens til at fokusere på virksomheds- og domæneadministratorer og glemmer, at andre grupper kan have uhensigtsmæssige adgangsrettigheder til domænecontrollere.
Sørg for LSASS-beskyttelse
Med hackerværktøjer som Mimikatz kan angribere udnytte Local Security Authority Subsystem Service (LSASS) til at udtrække brugerens legitimationsoplysninger, som derefter kan bruges til at få adgang til aktiver, der er knyttet til disse legitimationsoplysninger.
Har en streng adgangskodepolitik
Det er afgørende for sikkerheden i din organisation at have en effektiv adgangskodepolitik. Det er vigtigt, at brugerne ændrer deres adgangskoder med jævne mellemrum. Adgangskoder, der sjældent eller aldrig ændres, er mindre sikre, da det skaber større mulighed for, at de kan blive stjålet.
Det er vigtigt, at din organisation har et automatiseret system, der lader adgangskoderne udløbe efter et bestemt tidsrum. Derudover er Lepide User Password Expiration Reminder et nyttigt værktøj, der automatisk minder Active Directory-brugere om, når deres adgangskoder er tæt på udløbsdatoen.
Et problem, som mange tilsyneladende ikke er i stand til at overvinde, er, at komplekse adgangskoder ikke kan huskes nemt. Dette fører til, at brugerne skriver adgangskoden ned eller gemmer den på deres maskine. For at løse dette problem bruger organisationer adgangsfraser i stedet for adgangskoder for at øge kompleksiteten uden at gøre adgangskoderne umulige at huske.
Pas på med indlejrede grupper
Det er almindeligt for administratorer at indlejre grupper i andre grupper som et middel til hurtigt at organisere gruppemedlemskab. En sådan indlejring af grupper udgør imidlertid en udfordring for administratorer, da det er sværere for dem at finde ud af, hvem der har adgang til hvilken gruppe og hvorfor.
Det er vigtigt for dig at kunne identificere, hvilke grupper der har det højeste antal indlejrede grupper, og hvor mange niveauer af indlejring en gruppe har. Det er også vigtigt at vide, hvem, hvad, hvor og hvornår gruppepolitikændringer finder sted.
Fjern åben adgang
Det er almindeligt, at velkendte sikkerhedsidentifikatorer som Alle, Autentificerede brugere og Domænebrugere bruges til at tildele uhensigtsmæssige brugerrettigheder til netværksressourcer som f.eks. filfildele. Brugen af disse sikkerhedsidentifikatorer kan give hackere mulighed for at udnytte organisationens netværk, da de vil have adgang til et stort antal brugerkonti.
Audit Server Logon Rights
Lokale sikkerhedspolitikker styres af gruppepolitikken via en række tildelinger af brugerrettigheder, herunder:
- Tillad logon lokalt
- Logon som et batchjob
- Tillad logon via Remote Desktop Services
- Logon som en tjeneste osv.
Disse tildelinger giver ikke-administratorer mulighed for at udføre funktioner, der typisk er begrænset til administratorer. Hvis disse funktioner ikke analyseres, begrænses og kontrolleres omhyggeligt, kan angribere bruge dem til at kompromittere systemet ved at stjæle legitimationsoplysninger og andre følsomme oplysninger.
Adoptere princippet om mindste privilegier for AD-sikkerhed
Princippet om mindste privilegier er ideen om, at brugere kun bør have de minimale adgangsrettigheder, der er nødvendige for at udføre deres arbejdsfunktioner – alt andet anses for at være overdrevet.
Du bør foretage en revision af dit Active Directory for at fastslå, hvem der har adgang til dine mest følsomme data, og hvilke af dine brugere der har forhøjede rettigheder. Du bør tilstræbe at begrænse tilladelser til alle dem, der ikke har brug for dem.
Backup af dit Active Directory og have en metode til genoprettelse
Det anbefales, at du sikkerhedskopierer dit Active Directory regelmæssigt med intervaller, der ikke overstiger 60 dage. Dette skyldes, at levetiden for AD-gravstensobjekter som standard er 60 dage. Du bør tilstræbe at inkludere din AD-backup i din katastrofeberedskabsplan for at hjælpe dig med at forberede dig på eventuelle katastrofale hændelser. Som en generel regel bør der tages backup af mindst én domænecontroller.
Du kan overveje at bruge en mere sofistikeret genoprettelsesløsning, der hjælper dig med at tage backup af AD-objekter og gendanne dem til deres oprindelige tilstand. Hvis du bruger løsninger i stedet for at stole på de oprindelige genoprettelsesmetoder, vil du i sidste ende spare masser af tid.
Aktiver sikkerhedsovervågning af Active Directory for tegn på kompromittering
Det vil sætte dig i stand til proaktivt og løbende at revidere og overvåge dit Active Directory, så du kan opdage tegn på et brud eller en kompromittering. I de fleste tilfælde kan alvorlige sikkerhedsbrud undgås ved brug af overvågningsløsninger.
Den seneste undersøgelse har vist, at på trods af beviser for, at overvågning bidrager til at forbedre sikkerheden, gør mere end 80 % af organisationerne det stadig ikke aktivt.
Audit Active Directory-ændringer
Det er afgørende, at du skal holde styr på alle ændringer, der foretages i Active Directory. Enhver uønsket eller uautoriseret ændring kan forårsage alvorlig skade på din Active Directory-sikkerhed.
Sådan sikrer du Active Directory med Lepide
I Lepide giver vores Active Directory Auditing and Monitoring Solution dig mulighed for at få indsigt i de ændringer, der foretages i dit Active Directory, i realtid og med mulighed for handling. Du vil være i stand til at opdage tegn på kompromittering i realtid og træffe foranstaltninger hurtigere for at forhindre potentielt katastrofale hændelser.
Hvis du leder efter en Active Directory-auditingløsning, der giver advarsler i realtid og foruddefinerede rapporter, er det værd at tjekke Lepide Active Directory Auditor. Den leveres med en 15-dages gratis prøveperiode, så du kan evaluere løsningen.