Active Directory -tietoturvan parhaat käytännöt
Hyökkääjät pyrkivät sinnikkäästi vaarantamaan Active Directory -palvelut, koska niillä on tärkeä rooli kriittisten ja luottamuksellisten tietojen käyttöoikeuksien myöntämisessä.
Organisaatioiden laajentuessa niiden infrastruktuuri muuttuu yhä monimutkaisemmaksi, mikä tekee niistä paljon haavoittuvaisempia hyökkäyksille, koska tärkeiden järjestelmämuutosten, -tapahtumien ja -oikeuksien seuraaminen on vaikeampaa.
Organisaatioiden on myös yhä vaikeampi määrittää, missä niiden arkaluonteiset tiedot sijaitsevat ja minkälainen tietoturvakäytäntö soveltuu parhaiten näiden tietojen suojaamiseen.
Tässä blogissa käymme läpi joitakin Active Directory -ympäristön parhaita käytäntöjä, joiden avulla voit parantaa Active Directory -ympäristösi yleistä tietoturvaa.
- Miksi sinun pitäisi välittää Active Directory -tietoturva-asioista?
- Active Directory -tietoturvan yleiset uhat
- Active Directory -järjestelmän haavoittuvuudet
- Insider Threats in Active Directory
- Ylisuuret käyttöoikeudet
- Best Practices for Active Directory Security
- Manage Active Directory Security Groups
- Puhdista AD:n inaktiiviset käyttäjätilit
- Lähiverkonvalvojien valvonta
- Älä käytä GPO:ita salasanojen asettamiseen
- Toimialueen ohjaimen (DC) kirjautumisten valvonta
- Varmista LSASS-suojaus
- Hae tiukka salasanakäytäntö
- Varoittelen sisäkkäisiä ryhmiä
- Remove Open Access
- Auditointipalvelimen kirjautumisoikeudet
- Vähemmän etuoikeuden periaatteen omaksuminen AD:n tietoturvaa varten
- Varmuuskopioi Active Directory ja ota käyttöön palautusmenetelmä
- Aktiivihakemiston tietoturvaseurannan ottaminen käyttöön tietoturvaloukkauksen merkkien varalta
- Auditoi Active Directory -muutokset
- How to Secure Active Directory with Lepide
Miksi sinun pitäisi välittää Active Directory -tietoturva-asioista?
Activehakemisto (Active Directory) on pohjimmiltaan tietotekniikkaympäristösi sykkivä sydän. Useimmat kohtaamasi hyökkäykset tai tietoturvauhat liittyvät Active Directoryyn jollakin tavalla tai muodossa.
Tietoihin pääsyä tavoitteleva ulkopuolinen voi esimerkiksi pyrkiä varastamaan tunnistetiedot tai asentamaan haittaohjelman vaarantaakseen tilin. Kun hän on päässyt AD:n sisälle, hän voi laajentaa oikeuksiaan ja liikkua järjestelmässä sivusuunnassa ja päästä käsiksi arkaluonteisiin tietoihin.
Sentähden on tärkeää, että Active Directory -turva on hyvä ja että AD:n muutoksia seurataan ja auditoidaan jatkuvasti, jotta mahdolliset hyökkäykset voidaan havaita ja niihin voidaan reagoida ajoissa.
Active Directory -tietoturvan yleiset uhat
Koska Active Directory on ollut olemassa jo niin kauan, hyökkääjät ovat löytäneet useita tapoja hyödyntää tietoturva-aukkoja.
Microsoft on ollut ennakoiva paikkaamaan Active Directoryn tietoturva-aukkoja, mutta hyökkääjät löytävät aina erilaisia tapoja hyödyntää järjestelmää ja niitä käyttäviä ihmisiä.
Active Directoryn tietoturvauhat jakautuvat karkeasti kahteen kategoriaan; järjestelmän haavoittuvuudet ja sisäpiirin uhat.
Active Directory -järjestelmän haavoittuvuudet
Active Directory käyttää Kerberos-todennusta, jossa on lukuisia haavoittuvuuksia, kuten Pass the Hash, Pass the Ticket, Golden Ticket ja Silver Ticket. AD tukee myös NTLM-salausta, joka on jäänne ajalta, jolloin NTLM-salausta todella käytettiin AD:ssä, vaikka tietoturva oli ala-arvoista. Brute force -hyökkäykset ovat myös yleinen tapa, jolla hyökkääjät pääsevät väkisin AD:hen.
Insider Threats in Active Directory
Yleisin tapa, jolla Active Directoryn tietoturvaa todennäköisesti kierretään, on sisäpiirin uhat. Phishing-hyökkäykset, sosiaalinen manipulointi ja spear-phishing onnistuvat usein sellaisten käyttäjien kanssa, jotka eivät ole tietoturvatietoisia, jolloin hyökkääjät pääsevät AD:hen varastetuilla tunnistetiedoilla.
Ylisuuret käyttöoikeudet
Ylisuuret käyttöoikeudet ovat myös yleinen uhka Active Directoryn tietoturvalle, kun käyttäjät joko huolimattomasti tai tarkoituksellisesti pahansuovasti käyttävät dataa, johon heillä ei alun alkaenkaan olisi pitänyt olla pääsyä.
Best Practices for Active Directory Security
Voidaksemme tehokkaasti torjua joitakin Active Directoryn tietoturvaheikkouksia ja -riskejä, joita olemme käsitelleet edellä olevassa osiossa, Lepiden AD-asiantuntijat ovat koonneet luettelon parhaista käytännöistä, jotka voit ottaa käyttöön.
Yhteenveto Active Directory -turvan parhaiden käytäntöjen tarkistuslistastamme on alla:
- Hallitse Active Directoryn suojausryhmiä
- Puhdista-Up Inactive User Accounts in AD
- Monitor Local Administrators
- Don’t Use GPOs to Set Passwords
- Audit Domain Controller (DC) Logons
- Ensure LSASS Protection
- Have a Stringent Password Policy
- Bware of Nested Groups
- Remove Open Access
- Audit Server Logon Rights
- Adopt the Principle of Least Privilege for AD Security
- Backup Your Active Directory and Have a Method for Recovery
- Enable Security Monitoring of Active Directory for Signs of Compromise
- Audit Active Directory Changes
Manage Active Directory Security Groups
Members assigned to Active Directory security groups such as Domain, Enterprise ja Schema Administrators -ryhmiin kuuluville henkilöille myönnetään enimmäisoikeudet Active Directory -ympäristössä. Näin ollen hyökkääjällä tai pahantahtoisella sisäpiiriläisellä, joka on määritetty johonkin näistä ryhmistä, on vapaat kädet AD-ympäristössäsi ja kriittisissä tiedoissasi.
Aktiivisen hakemiston suojausryhmiä koskevien parhaiden käytäntöjen noudattaminen, kuten käyttöoikeuksien rajoittaminen mahdollisuuksien mukaan vain niille käyttäjille, jotka sitä tarvitsevat, lisää AD:n turvallisuuden lisäämistä.
Luettelon Active Directory -turvaryhmien parhaista käytännöistä löydät täältä.
Puhdista AD:n inaktiiviset käyttäjätilit
Inaktiiviset käyttäjätilit muodostavat vakavan tietoturvariskin Active Directory -ympäristöllesi, sillä epärehelliset järjestelmänvalvojat ja hakkerit käyttävät niitä usein päästäkseen käsiksi kriittisiin tietoihin ilman, että ne herättävät epäilyksiä.
Ilman aktiivisia käyttäjätilejä on aina hyvä hallita. Löydät luultavasti keinon seurata inaktiivisia käyttäjätilejä PowerShellin avulla tai käyttämällä Lepide Active Directory Cleanupin kaltaista ratkaisua.
Lähiverkonvalvojien valvonta
Organisaatioiden on erittäin tärkeää tietää, mitä lähiverkonvalvojat puuhailevat ja miten heidän käyttöoikeutensa on myönnetty. Kun paikallisille järjestelmänvalvojille myönnetään käyttöoikeuksia, on tärkeää noudattaa ”vähimmän etuoikeuden periaatetta”.
Älä käytä GPO:ita salasanojen asettamiseen
Ryhmäkäytäntöobjektien (Group Policy Objects, GPO:t) avulla on mahdollista luoda käyttäjätilejä ja asettaa salasanoja, mukaan lukien paikallisen järjestelmänvalvojan salasanoja, Active Directoryssa.
Hyökkääjät tai pahansuopaiset sisäpiiriläiset pystyvät käyttämään hyväksi kyseisiä Ryhmäkäytäntöobjektin (Group Policy Objects, GPO:t) salasanatietoja hankkiakseen salasanatiedot haltuunsa ja purkaakseen salauksen niihin ilman ylempiä käyttöoikeuksia. Tällaisilla tapahtumilla voi olla laajoja vaikutuksia koko verkossa.
Tässä korostuu, kuinka tärkeää on varmistaa, että järjestelmänvalvojilla on keino havaita ja raportoida mahdollisista salasanahaavoittuvuuksista.
Toimialueen ohjaimen (DC) kirjautumisten valvonta
On erittäin tärkeää, että järjestelmänvalvojilla on mahdollisuus valvoa, ketkä kirjautuvat toimialueen ohjaimeen, jotta voidaan suojella etuoikeutettuja käyttäjiä ja kaikkia omaisuuslajeja, joihin heillä on pääsy.
Tämä on yleinen sokea piste organisaatioissa, sillä ne keskittyvät yleensä yritys- ja toimialueen ylläpitäjiin ja unohtavat, että muilla ryhmillä voi olla epäasianmukaisia käyttöoikeuksia toimialueen ohjaimiin.
Varmista LSASS-suojaus
Hyökkääjät voivat Mimikatzin kaltaisilla hakkerointityökaluilla hyödyntää LSASS-palvelua (Local Security Authority Subsystem Service) poimimalla käyttäjän tunnistetiedot, joita voidaan sitten käyttää kyseisiin tunnistetietoihin liittyvien omaisuuserien käyttämiseen.
Hae tiukka salasanakäytäntö
Tehokkaan salasanakäytännön käyttäminen on ratkaisevaa organisaatiosi turvallisuuden kannalta. On tärkeää, että käyttäjät vaihtavat salasanansa säännöllisesti. Salasanat, joita vaihdetaan harvoin tai joita ei vaihdeta koskaan, ovat vähemmän turvallisia, koska ne luovat suuremman mahdollisuuden varastaa ne.
Organisaatiollasi tulisi olla automaattinen järjestelmä, joka sallii salasanojen vanhentumisen tietyn ajan kuluttua. Lisäksi Lepide User Password Expiration Reminder on hyödyllinen työkalu, joka muistuttaa automaattisesti Active Directory -käyttäjiä, kun heidän salasanojensa vanhenemispäivä on lähellä.
Yksi ongelmaksi, jota monet eivät tunnu pystyvän ratkaisemaan, on se, että monimutkaisia salasanoja ei voi muistaa helposti. Tämä johtaa siihen, että käyttäjät kirjoittavat salasanan ylös tai tallentavat sen koneelleen. Tämän ongelman ratkaisemiseksi organisaatiot käyttävät salasanojen sijasta salasanoja, joilla lisätään monimutkaisuutta tekemättä salasanoista mahdottomia muistaa.
Varoittelen sisäkkäisiä ryhmiä
Ylläpitäjät käyttävät usein ryhmiä sisäkkäin toisten ryhmien sisällä keinona järjestää ryhmän jäsenyys nopeasti. Tällainen ryhmien sisäkkäisyys on kuitenkin haaste ylläpitäjille, koska heidän on vaikeampi selvittää, kenellä on pääsy mihinkin ryhmään ja miksi.
On tärkeää, että pystyt tunnistamaan, missä ryhmissä on eniten sisäkkäisiä ryhmiä ja kuinka monta sisäkkäistasoa ryhmässä on. On myös tärkeää tietää, kuka, mitä, missä ja milloin ryhmäkäytäntöjä muutetaan.
Remove Open Access
On tavallista, että tunnettuja suojaustunnuksia, kuten Everyone (Kaikki), Authenticated Users (Autentikoidut käyttäjät) ja Domain Users (Toimialueen käyttäjät), käytetään myöntämään sopimattomille käyttäjille oikeuksia verkkoresursseihin, kuten tiedostojakoihin. Näiden suojaustunnisteiden käyttö voi antaa hakkereille mahdollisuuden hyödyntää organisaation verkkoa, koska heillä on pääsy suureen määrään käyttäjätilejä.
Auditointipalvelimen kirjautumisoikeudet
Lokaaleja tietoturvakäytäntöjä ohjataan ryhmäkäytännöllä useilla käyttäjäoikeuksien määrityksillä, kuten:
- Salli sisäänkirjautuminen paikallisesti
- Kirjautuminen erätyönä
- Salli sisäänkirjautuminen etätyöpöytäpalveluiden kautta
- Kirjautuminen palveluna jne.
Nämä määritykset sallivat muiden kuin järjestelmänvalvojien suorittaa toimintoja, jotka on yleensä rajoitettu järjestelmänvalvojille. Jos näitä toimintoja ei analysoida, rajoiteta ja tarkasteta huolellisesti, hyökkääjät voivat käyttää niitä järjestelmän vaarantamiseen varastamalla tunnistetietoja ja muita arkaluonteisia tietoja.
Vähemmän etuoikeuden periaatteen omaksuminen AD:n tietoturvaa varten
Vähäisemmän etuoikeuden periaatteella tarkoitetaan ajatusta, jonka mukaan käyttäjillä tulisi olla vain vähimmäiskäyttöoikeudet, joita heidän työtehtäviensä suorittaminen edellyttää – kaikkea tätä suurempaa pidetään liiallisena.
Aktiivihakemisto kannattaa tarkastaa, jotta voidaan määrittää, kenellä on pääsy arkaluonteisimpiin tietoihin ja millä käyttäjillä on korotettuja käyttöoikeuksia. Sinun tulisi pyrkiä rajoittamaan käyttöoikeudet kaikilta niiltä, jotka eivät niitä tarvitse.
Varmuuskopioi Active Directory ja ota käyttöön palautusmenetelmä
Suositellaan, että varmuuskopioit Active Directory -hakemistosi säännöllisesti, enintään 60 päivän välein. Tämä johtuu siitä, että AD:n hautakiviobjektien käyttöikä on oletusarvoisesti 60 päivää. Sinun tulisi pyrkiä sisällyttämään AD:n varmuuskopiointi osaksi katastrofista toipumista koskevaa suunnitelmaasi, jotta voit varautua mahdollisiin katastrofitilanteisiin. Yleissääntönä on, että vähintään yksi toimialueen ohjain tulisi varmuuskopioida.
Voit harkita kehittyneemmän palautusratkaisun käyttämistä, jonka avulla voit varmuuskopioida ja palauttaa AD-objektit alkuperäiseen tilaansa. Käyttämällä ratkaisuja sen sijaan, että luottaisit alkuperäisiin palautusmenetelmiin, säästät lopulta ämpäreittäin aikaa.
Aktiivihakemiston tietoturvaseurannan ottaminen käyttöön tietoturvaloukkauksen merkkien varalta
Kykenemällä ennakoivaan ja jatkuvaan tarkastukseen ja valvontaan Active Directory -hakemistossasi pystyt havaitsemaan tietoturvaloukkauksen tai tietoturvaloukkauksen merkit. Useimmissa tapauksissa vakavat tietoturvaloukkaukset voidaan välttää valvontaratkaisujen avulla.
Uudemmat tutkimukset ovat osoittaneet, että vaikka on näyttöä siitä, että valvonta auttaa parantamaan tietoturvaa, yli 80 prosenttia organisaatioista ei edelleenkään tee sitä aktiivisesti.
Auditoi Active Directory -muutokset
On ratkaisevan tärkeää, että seuraat kaikkia Active Directoryyn tehtyjä muutoksia. Mikä tahansa ei-toivottu tai luvaton muutos voi aiheuttaa vakavaa vahinkoa Active Directory -tietoturvalle.
How to Secure Active Directory with Lepide
Lepiden Active Directory -auditointi- ja seurantaratkaisun avulla saat reaaliaikaista ja käyttökelpoista tietoa Active Directoryyn tehdyistä muutoksista. Pystyt havaitsemaan kompromissin merkit reaaliajassa ja ryhtymään toimiin nopeammin ehkäistäksesi mahdollisesti tuhoisat tapahtumat.
Jos etsit Active Directory -valvontaratkaisua, joka tarjoaa reaaliaikaisia hälytyksiä ja ennalta määritettyjä raportteja, kannattaa tutustua Lepide Active Directory Auditoriin. Sen mukana tulee 15 päivän ilmainen kokeilujakso, jonka avulla voit arvioida ratkaisua.