Doporučené postupy zabezpečení služby Active Directory
Útočníci se vytrvale snaží kompromitovat služby Active Directory kvůli jejich úloze při autorizaci přístupu ke kritickým a důvěrným datům.
S rozvojem organizací se jejich infrastruktura stává stále složitější, což je činí mnohem zranitelnějšími vůči útokům, protože je obtížnější sledovat důležité změny systému, události a oprávnění.
Pro organizace je také stále obtížnější určit, kde se nacházejí jejich citlivá data a jaký typ zásad zabezpečení je pro ochranu těchto dat nejvhodnější.
V tomto blogu si projdeme několik osvědčených postupů Active Directory, které vám pomohou zlepšit celkové zabezpečení vašeho prostředí Active Directory.
- Proč byste se měli starat o zabezpečení Active Directory?
- Obvyklé hrozby pro zabezpečení služby Active Directory
- Zranitelnosti systému Active Directory
- Insider Threats in Active Directory
- Překročení oprávnění
- Nejlepší postupy pro zabezpečení služby Active Directory
- Správa skupin zabezpečení adresáře Active Directory
- Odstranění neaktivních uživatelských účtů ve službě AD
- Sledování místních správců
- Nepoužívejte objekty GPO k nastavování hesel
- Audit přihlášení k řadiči domény (DC)
- Zajistěte ochranu LSASS
- Zajistěte přísnou politiku hesel
- Beware of Nested Groups
- Odstranění otevřeného přístupu
- Právo na přihlášení k auditnímu serveru
- Přijměte zásadu nejmenších oprávnění pro zabezpečení služby AD
- Zálohujte adresář Active Directory a mějte metodu obnovy
- Zprovozněte bezpečnostní monitorování služby Active Directory na známky kompromitace
- Audit změn ve službě Active Directory
- Jak zabezpečit službu Active Directory pomocí Lepide
Proč byste se měli starat o zabezpečení Active Directory?
Active Directory je v podstatě tepající srdce vašeho IT prostředí. Většina útoků nebo bezpečnostních hrozeb, kterým budete čelit, se bude nějakým způsobem, v nějaké podobě nebo formě týkat vaší služby Active Directory.
Cizí osoba, která chce získat přístup k vašim datům, může například chtít ukrást pověření nebo nainstalovat škodlivý software, aby kompromitovala účet. Jakmile se dostane do systému AD, může zvýšit svá oprávnění a postupovat systémem dále, čímž získá přístup k vašim citlivým datům.
Proto je nezbytné mít dobré zabezpečení služby Active Directory a zajistit důsledné monitorování a auditování změn v systému AD, abyste mohli odhalit potenciální útoky a včas reagovat.
Obvyklé hrozby pro zabezpečení služby Active Directory
Protože služba Active Directory existuje již tak dlouho, útočníci našli mnoho způsobů, jak zneužít zranitelnosti zabezpečení.
Microsoft aktivně odstraňuje mezery v zabezpečení služby Active Directory, ale útočníci vždy najdou různé způsoby, jak zneužít systém a lidi, kteří je používají.
Hrozby zabezpečení služby Active Directory spadají obecně do dvou kategorií: systémové zranitelnosti a vnitřní hrozby.
Zranitelnosti systému Active Directory
Active Directory používá ověřování Kerberos, které má řadu zranitelností, například Pass the Hash, Pass the Ticket, Golden Ticket a Silver Ticket. Služba AD také podporuje šifrování NTLM, což je pozůstatek z doby, kdy se šifrování NTLM ve službě AD skutečně používalo, přestože zabezpečení nebylo dostatečné. Útoky hrubou silou jsou také běžnou metodou, kterou se útočníci snaží proniknout do služby AD.
Insider Threats in Active Directory
Nejčastějším způsobem, jak může být zabezpečení služby Active Directory obejito, jsou vnitřní hrozby. Útoky typu phishing, sociální inženýrství a spear-phishing často uspějí u vašich uživatelů, kteří si nejsou vědomi bezpečnosti, a umožní útočníkům získat přístup do služby AD pomocí ukradených pověření.
Překročení oprávnění
Překročení oprávnění je také častou hrozbou pro zabezpečení služby Active Directory, kdy uživatelé buď neopatrně, nebo úmyslně škodlivě nakládají s daty, ke kterým by vůbec neměli mít přístup.
Nejlepší postupy pro zabezpečení služby Active Directory
Abyste mohli účinně čelit některým zranitelnostem a rizikům zabezpečení služby Active Directory, o kterých jsme hovořili ve výše uvedené části, sestavili odborníci na službu AD ve společnosti Lepide seznam osvědčených postupů, které si můžete osvojit.
Souhrn našeho kontrolního seznamu osvědčených postupů zabezpečení služby Active Directory najdete níže:
- Správa skupin zabezpečení služby Active Directory
- Čištění-Neaktivní uživatelské účty ve službě AD
- Monitorovat místní správce
- Nepoužívat objekty GPO k nastavení hesel
- Audit přihlášení k řadiči domény (DC)
- Zajistit LSASS Ochranu
- Zajistěte přísnou politiku hesel
- Dejte si pozor na vnořené skupiny
- Odstraňte otevřený přístup
- Audit přihlašovacích práv k serveru
- Přijměte zásadu nejmenších oprávnění pro zabezpečení služby AD
- Zálohujte adresář Active Directory a mějte metodu obnovy
- Zapněte bezpečnostní monitorování adresáře Active Directory na známky kompromitace
- Auditujte změny adresáře Active Directory
Správa skupin zabezpečení adresáře Active Directory
Členové přiřazení ke skupinám zabezpečení adresáře Active Directory, jako je doména, Enterprise a Schema Administrators, mají v prostředí Active Directory maximální úroveň oprávnění. Útočník nebo zlovolný zasvěcenec přiřazený k některé z těchto skupin tak bude mít volnou ruku nad vaším prostředím AD spolu s kritickými daty.
Dodržování osvědčených postupů pro skupiny zabezpečení služby Active Directory, jako je například omezení přístupu všude, kde je to možné, pouze na ty uživatele, kteří to vyžadují, přidá vaší službě AD další úroveň zabezpečení.
Ucelený seznam osvědčených postupů pro skupiny zabezpečení služby Active Directory naleznete zde.
Odstranění neaktivních uživatelských účtů ve službě AD
Neaktivní uživatelské účty představují pro prostředí služby Active Directory vážné bezpečnostní riziko, protože je často využívají nepoctiví správci a hackeři k získání přístupu ke kritickým datům, aniž by vzbudili podezření.
Vždy je dobré spravovat neaktivní uživatelské účty. Pravděpodobně byste mohli najít způsob, jak sledovat neaktivní uživatelské účty pomocí prostředí PowerShell nebo pomocí řešení, jako je Lepide Active Directory Cleanup.
Sledování místních správců
Pro organizace je velmi důležité vědět, co dělají místní správci a jak jim byl udělen přístup. Při udělování přístupu místním správcům je důležité dodržovat pravidlo „principu nejmenších privilegií“.
Nepoužívejte objekty GPO k nastavování hesel
Pomocí objektů zásad skupiny (GPO) je možné v rámci služby Active Directory vytvářet uživatelské účty a nastavovat hesla, včetně hesel místních správců.
Útočníci nebo zlomyslní zasvěcenci mohou tyto objekty GPO využít k získání a dešifrování údajů o heslech bez zvýšených přístupových práv. Takové případy mohou mít rozsáhlé následky v celé síti.
To zdůrazňuje, že je důležité zajistit, aby měli sysadminové prostředky pro odhalování a hlášení potenciálních zranitelností hesel.
Audit přihlášení k řadiči domény (DC)
Je velmi důležité, aby měli sysadminové možnost auditovat, kdo se přihlašuje k řadiči domény, a chránit tak privilegované uživatele a veškerá aktiva, ke kterým mají přístup.
Toto je časté slepé místo organizací, protože mají tendenci zaměřovat se na správce podniků a domén a zapomínají, že ostatní skupiny mohou mít nevhodná přístupová práva k řadičům domény.
Zajistěte ochranu LSASS
Pomocí hackerských nástrojů, jako je Mimikatz, mohou útočníci zneužít službu LSASS (Local Security Authority Subsystem Service) k získání přihlašovacích údajů uživatele, které pak mohou být použity k přístupu k prostředkům, které jsou s těmito přihlašovacími údaji spojeny.
Zajistěte přísnou politiku hesel
Vedení účinné politiky hesel je pro zabezpečení organizace klíčové. Je důležité, aby uživatelé svá hesla pravidelně měnili. Hesla, která jsou měněna jen zřídka nebo nikdy, jsou méně bezpečná, protože vytvářejí větší příležitost k jejich odcizení.
Ve vaší organizaci by měl být zaveden automatizovaný systém, který umožní vypršení platnosti hesel po určité době. Kromě toho je užitečným nástrojem Lepide User Password Expiration Reminder, který automaticky připomíná uživatelům služby Active Directory, když se blíží datum vypršení platnosti jejich hesel.
Jedním z problémů, který mnozí zřejmě nedokážou překonat, je to, že si složitá hesla nelze snadno zapamatovat. To vede k tomu, že si uživatelé hesla zapisují nebo je ukládají do svého počítače. K překonání tohoto problému používají organizace místo hesel heslové fráze, které zvyšují složitost, aniž by znemožňovaly zapamatování hesel.
Beware of Nested Groups
Běžně se stává, že správci vnořují skupiny do jiných skupin jako prostředek rychlého uspořádání členství ve skupinách. Takové vnořování skupin však představuje pro správce problém, protože je pro ně obtížnější zjistit, kdo má do které skupiny přístup a proč.
Je důležité, abyste dokázali určit, které skupiny mají nejvyšší počet vnořených skupin a kolik úrovní vnoření skupina má. Je také důležité vědět, kdo, co, kde a kdy mění zásady skupiny.
Odstranění otevřeného přístupu
Běžně se stává, že známé identifikátory zabezpečení, jako jsou Everyone, Authenticated Users a Domain Users, jsou používány k udělování nevhodných uživatelských oprávnění k síťovým prostředkům, jako jsou sdílené soubory. Použití těchto bezpečnostních identifikátorů může umožnit hackerům zneužít síť organizace, protože budou mít přístup k velkému počtu uživatelských účtů.
Právo na přihlášení k auditnímu serveru
Místní zásady zabezpečení jsou řízeny zásadami skupiny prostřednictvím řady přiřazení uživatelských práv, včetně:
- Povolit přihlášení lokálně
- Přihlášení jako dávková úloha
- Povolit přihlášení prostřednictvím služby Vzdálená plocha
- Přihlášení jako služba atd.
Tato přiřazení umožňují neadministrátorům provádět funkce, které jsou obvykle vyhrazeny pouze administrátorům. Pokud tyto funkce nejsou analyzovány, omezeny a pečlivě kontrolovány, mohou je útočníci využít ke kompromitaci systému krádeží pověření a dalších citlivých informací.
Přijměte zásadu nejmenších oprávnění pro zabezpečení služby AD
Zásada nejmenších oprávnění je myšlenka, že uživatelé by měli mít pouze minimální přístupová práva potřebná k výkonu svých pracovních funkcí – cokoli navíc je považováno za nadměrné.
Měli byste provést audit služby Active Directory, abyste zjistili, kdo má přístup k nejcitlivějším datům a kteří z uživatelů mají zvýšená oprávnění. Měli byste se snažit omezit oprávnění všem, kteří je nepotřebují.
Zálohujte adresář Active Directory a mějte metodu obnovy
Doporučuje se, abyste adresář Active Directory pravidelně zálohovali, a to v intervalech nepřesahujících 60 dní. Je to proto, že životnost objektů AD tombstone je ve výchozím nastavení 60 dní. Měli byste se snažit zahrnout zálohování služby AD do svého plánu obnovy po havárii, abyste se mohli připravit na případné katastrofické události. Obecně platí, že by měl být zálohován alespoň jeden řadič domény.
Možná budete chtít zvážit použití sofistikovanějšího řešení obnovy, které vám pomůže zálohovat a obnovit objekty AD do původního stavu. Použití řešení namísto spoléhání se na nativní metody obnovy vám nakonec ušetří spoustu času.
Zprovozněte bezpečnostní monitorování služby Active Directory na známky kompromitace
Schopnost proaktivního a průběžného auditu a monitorování služby Active Directory vám umožní odhalit známky narušení nebo kompromitace. Ve většině případů lze vážným narušením zabezpečení předejít použitím monitorovacích řešení.
Nedávné průzkumy naznačily, že navzdory důkazům, že monitorování pomáhá zlepšit zabezpečení, jej více než 80 % organizací stále aktivně neprovádí.
Audit změn ve službě Active Directory
Je nezbytné, abyste sledovali všechny změny provedené ve službě Active Directory. Jakákoli nechtěná nebo neautorizovaná změna může způsobit vážné škody na zabezpečení služby Active Directory.
Jak zabezpečit službu Active Directory pomocí Lepide
Naše řešení pro audit a monitorování služby Active Directory od společnosti Lepide vám umožní získat v reálném čase použitelný přehled o změnách prováděných ve službě Active Directory. Budete moci v reálném čase odhalit příznaky kompromitace a rychleji přijmout opatření, abyste předešli potenciálně katastrofálním incidentům.
Pokud hledáte řešení pro auditování služby Active Directory, které poskytuje upozornění v reálném čase a předdefinované sestavy, stojí za to vyzkoušet Lepide Active Directory Auditor. Dodává se s 15denní bezplatnou zkušební verzí, která vám pomůže toto řešení vyhodnotit.