Active Directory biztonsági legjobb gyakorlatok
A támadók kitartóan törekszenek az Active Directory szolgáltatások kompromittálására, mivel azok fontos és bizalmas adatokhoz való hozzáférés engedélyezésében játszanak szerepet.
Amint a szervezetek bővülnek, infrastruktúrájuk egyre összetettebbé válik, ami sokkal sebezhetőbbé teszi őket a támadásokkal szemben, mivel nehezebb nyomon követni a fontos rendszerváltozásokat, eseményeket és jogosultságokat.
A szervezetek számára az is egyre nehezebbé válik, hogy meghatározzák, hol találhatók az érzékeny adataik, és hogy milyen típusú biztonsági házirend a legalkalmasabb ezen adatok védelmére.
Ebben a blogban néhány Active Directory legjobb gyakorlatot tekintünk át, amelyek segítségével javíthatja Active Directory környezetének általános biztonságát.
- Miért kell törődnie az Active Directory biztonságával?
- Az Active Directory biztonságát fenyegető gyakori veszélyek
- Active Directory rendszer sebezhetőségei
- Belsős fenyegetések az Active Directoryban
- Túlzott engedélyek
- Az Active Directory biztonságának legjobb gyakorlatai
- Az Active Directory biztonsági csoportok kezelése
- Tisztítsa meg az inaktív felhasználói fiókokat az AD-ben
- A helyi rendszergazdák felügyelete
- Ne használjon GPO-kat jelszavak beállítására
- Tartományvezérlő (DC) bejelentkezések ellenőrzése
- Szigorú LSASS-védelem biztosítása
- Szigorú jelszószabályzat
- Vigyázz a fészkelt csoportokkal
- A nyílt hozzáférés megszüntetése
- Audit szerver bejelentkezési jogai
- A legkisebb jogosultság elvének alkalmazása az AD biztonságához
- Az Active Directory biztonsági mentése és a helyreállítás módszere
- Az Active Directory biztonsági felügyeletének engedélyezése a kompromittálódás jeleire
- Az Active Directory módosításainak ellenőrzése
- Hogyan védje az Active Directory-t a Lepide segítségével
Miért kell törődnie az Active Directory biztonságával?
Active Directory lényegében az informatikai környezet dobogó szíve. A legtöbb támadás vagy biztonsági fenyegetés, amellyel szembesülni fog, valamilyen módon, formában vagy formában érinti az Active Directory-t.
Az adatokhoz hozzáférni kívánó kívülálló például megpróbálhatja ellopni a hitelesítő adatokat vagy rosszindulatú szoftvereket telepíteni, hogy veszélyeztessen egy fiókot. Az AD-n belülre kerülve növelheti jogosultságait, és oldalirányban mozoghat a rendszerben, hozzáférve az Ön érzékeny adataihoz.
Ezért létfontosságú a jó Active Directory-biztonság, és annak biztosítása, hogy következetesen figyelemmel kísérje és auditálja az AD-ben bekövetkező változásokat, hogy időben észrevegye a potenciális támadásokat, és időben reagálhasson.
Az Active Directory biztonságát fenyegető gyakori veszélyek
Miatt, hogy az Active Directory már ilyen régóta létezik, a támadók számos módot találtak a biztonsági rések kihasználására.
A Microsoft proaktívan igyekezett betömni az Active Directory biztonsági réseit, de a támadók mindig találnak különböző módokat a rendszer és az azt használó emberek kihasználására.
Az Active Directory biztonsági fenyegetései nagyjából két kategóriába sorolhatók; a rendszer sebezhetőségei és a bennfentes fenyegetések.
Active Directory rendszer sebezhetőségei
Active Directory Kerberos hitelesítést használ, amely számos sebezhetőséggel rendelkezik, mint például a Pass the Hash, Pass the Ticket, a Pass the Ticket, a Golden Ticket és a Silver Ticket. Az AD támogatja az NTLM titkosítást is, ami egy maradvány abból az időből, amikor az NTLM titkosítást valóban használták az AD-ben, annak ellenére, hogy a biztonság nem volt megfelelő. A nyers erővel végrehajtott támadások szintén gyakori módszer a támadók számára, hogy bejussanak az AD-be.
Belsős fenyegetések az Active Directoryban
Az Active Directory biztonságának megkerülésének leggyakoribb módja valószínűleg a belső fenyegetések. Az adathalász-támadások, a social engineering és a spear-phishing gyakran sikerrel járnak a nem biztonságtudatos felhasználóknál, lehetővé téve a támadók számára, hogy lopott hitelesítő adatokkal hozzáférjenek az AD-hez.
Túlzott engedélyek
A túlzott engedélyek szintén gyakori veszélyt jelentenek az Active Directory biztonságára, mivel a felhasználók vagy figyelmetlenül, vagy szándékosan rosszindulatúan bánnak olyan adatokkal, amelyekhez eleve nem is lett volna szabad hozzáférniük.
Az Active Directory biztonságának legjobb gyakorlatai
A fenti részben tárgyalt Active Directory biztonsági sebezhetőségek és kockázatok némelyikének hatékony kiküszöbölése érdekében a Lepide AD-szakértői összeállítottak egy listát a legjobb gyakorlatokról, amelyeket elfogadhat.
Az alábbiakban összefoglaljuk az Active Directory biztonsági legjobb gyakorlatok ellenőrző listáját:
- Az Active Directory biztonsági csoportjainak kezelése
- Clean-Az AD-ben lévő inaktív felhasználói fiókok tisztítása
- A helyi rendszergazdák felügyelete
- Ne használjon GPO-kat jelszavak beállítására
- A tartományvezérlők (DC) bejelentkezések ellenőrzése
- Az LSASS biztosítása. Protection
- Have a Stringent Password Policy
- Buteed of Nested Groups
- Remove Open Access
- Audit Server Logon Rights
- Adopt the Principle a legkisebb jogosultság elve az AD biztonságához
- Biztonsági mentés az Active Directoryról és helyreállítási módszer
- Az Active Directory biztonsági felügyeletének engedélyezése a kompromittálódás jeleiért
- Az Active Directory módosításainak ellenőrzése
Az Active Directory biztonsági csoportok kezelése
Az Active Directory biztonsági csoportokhoz rendelt tagok, például a Domain, Enterprise és Schema Administratorok, a maximális jogosultsági szintet kapják az Active Directory környezetben. Így egy támadó vagy rosszindulatú bennfentes, akit e csoportok valamelyikéhez rendeltek, szabad kezet kap az AD-környezet és a kritikus adatok felett.
Az Active Directory biztonsági csoportokra vonatkozó legjobb gyakorlatok betartása, például a hozzáférés korlátozása, ahol csak lehetséges, csak azokra a felhasználókra, akiknek erre szükségük van, újabb biztonsági réteget ad az AD-hez.
Az Active Directory biztonsági csoportokra vonatkozó legjobb gyakorlatok átfogó listájáért kattintson ide.
Tisztítsa meg az inaktív felhasználói fiókokat az AD-ben
Az inaktív felhasználói fiókok komoly biztonsági kockázatot jelentenek az Active Directory környezetére, mivel azokat gyakran használják a csaló rendszergazdák és a hackerek arra, hogy gyanútlanul hozzáférjenek a kritikus adatokhoz.
Az inaktív felhasználói fiókokat mindig érdemes kezelni. Valószínűleg megtalálhatja a módját az inaktív felhasználói fiókok nyomon követésének a PowerShell segítségével vagy egy olyan megoldás segítségével, mint a Lepide Active Directory Cleanup.
A helyi rendszergazdák felügyelete
A szervezetek számára nagyon fontos, hogy tudják, mit csinálnak a helyi rendszergazdák, és hogyan kaptak hozzáférést. A helyi rendszergazdák hozzáférésének megadásakor fontos a “legkisebb kiváltság elve” szabály betartása.
Ne használjon GPO-kat jelszavak beállítására
A csoportházirend-objektumok (GPO-k) segítségével az Active Directoryban felhasználói fiókok hozhatók létre és jelszavak, köztük a helyi rendszergazdák jelszavainak beállítása lehetséges.
A támadók vagy rosszindulatú bennfentesek kihasználhatják ezeket a GPO-kat a jelszóadatok megszerzésére és visszafejtésére, emelt szintű hozzáférési jogok nélkül. Az ilyen esetek az egész hálózatra kiterjedő következményekkel járhatnak.
Ez rávilágít annak fontosságára, hogy a rendszergazdáknak legyen eszközük a potenciális jelszósebezhetőségek kiszűrésére és jelentésére.
Tartományvezérlő (DC) bejelentkezések ellenőrzése
A kiváltságos felhasználók és az általuk elérhető eszközök védelme érdekében nagyon fontos, hogy a rendszergazdák képesek legyenek ellenőrizni, hogy ki jelentkezik be egy tartományvezérlőre.
Ez egy gyakori vakfolt a szervezeteknél, mivel hajlamosak a vállalati és tartományi rendszergazdákra összpontosítani, és elfelejtik, hogy más csoportok is rendelkezhetnek nem megfelelő hozzáférési jogokkal a tartományvezérlőkhöz.
Szigorú LSASS-védelem biztosítása
A hackereszközök, például a Mimikatz segítségével a támadók kihasználhatják a Local Security Authority Subsystem Service (LSASS) szolgáltatást a felhasználói hitelesítő adatok kinyerésére, amelyeket aztán a hitelesítő adatokhoz kapcsolódó eszközökhöz való hozzáférésre használhatnak.
Szigorú jelszószabályzat
A hatékony jelszószabályzat létfontosságú a szervezet biztonsága szempontjából. Fontos, hogy a felhasználók rendszeresen megváltoztassák jelszavaikat. A ritkán vagy soha nem változtatott jelszavak kevésbé biztonságosak, mivel nagyobb lehetőséget teremtenek arra, hogy ellopják őket.
A szervezetnek rendelkeznie kell egy olyan automatizált rendszerrel, amely lehetővé teszi, hogy a jelszavak egy adott idő után lejárjanak. Emellett a Lepide User Password Expiration Reminder egy hasznos eszköz, amely automatikusan emlékezteti az Active Directory felhasználókat, ha jelszavaik lejárati ideje közeledik.
Az egyik probléma, amelyet sokan úgy tűnik, nem tudnak leküzdeni, hogy az összetett jelszavakat nem lehet könnyen megjegyezni. Ez ahhoz vezet, hogy a felhasználók leírják a jelszót, vagy a gépükön tárolják. Ennek kiküszöbölésére a szervezetek jelszavak helyett jelszókifejezéseket használnak a komplexitás növelésére anélkül, hogy a jelszavak megjegyezhetetlenné válnának.
Vigyázz a fészkelt csoportokkal
A rendszergazdák gyakran fészkelnek csoportokat más csoportokba, a csoporttagság gyors rendszerezésének eszközeként. A csoportok ilyen fészkelődése azonban kihívást jelent az adminok számára, mivel nehezebben tudják kitalálni, hogy kinek milyen csoporthoz van hozzáférése, és miért.
Nem mindegy, hogy melyik csoportban van a legtöbb fészkelődő csoport, és hány fészkelődési szintje van egy csoportnak. Az is fontos, hogy tudja, ki, mit, hol és mikor változtat a csoportházirendeken.
A nyílt hozzáférés megszüntetése
Egyáltalán nem ritka, hogy a jól ismert biztonsági azonosítókat, mint például a Mindenki, a Hitelesített felhasználók és a Tartományi felhasználók, arra használják, hogy nem megfelelő felhasználói jogosultságokat adjanak hálózati erőforrásokhoz, például fájlmegosztásokhoz. Ezeknek a biztonsági azonosítóknak a használata lehetővé teheti a hackerek számára, hogy kihasználják a szervezet hálózatát, mivel nagyszámú felhasználói fiókhoz férhetnek hozzá.
Audit szerver bejelentkezési jogai
A helyi biztonsági házirendeket a csoportházirend szabályozza számos felhasználói jog hozzárendelésén keresztül, többek között:
- Lokális bejelentkezés engedélyezése
- Bejelentkezés kötegelt munkaként
- Távoli asztali szolgáltatásokon keresztül történő bejelentkezés engedélyezése
- Bejelentkezés szolgáltatásként stb.
Ezek a hozzárendelések lehetővé teszik a nem rendszergazdák számára, hogy olyan funkciókat hajtsanak végre, amelyek jellemzően csak a rendszergazdák számára engedélyezettek. Ha ezeket a funkciókat nem elemzik, nem korlátozzák és nem ellenőrzik gondosan, a támadók felhasználhatják őket a rendszer veszélyeztetésére a hitelesítő adatok és más érzékeny információk ellopásával.
A legkisebb jogosultság elvének alkalmazása az AD biztonságához
A legkisebb jogosultság elve azt az elképzelést jelenti, hogy a felhasználóknak csak a munkaköri feladataik ellátásához szükséges minimális hozzáférési jogokkal kell rendelkezniük – minden ennél több jogosultság túlzottnak minősül.
Az Active Directory-t auditálnia kell, hogy meghatározza, ki fér hozzá a legkényesebb adatokhoz, és mely felhasználók rendelkeznek megnövelt jogosultságokkal. Arra kell törekednie, hogy korlátozza a jogosultságokat mindazok számára, akiknek erre nincs szükségük.
Az Active Directory biztonsági mentése és a helyreállítás módszere
Az Active Directoryról ajánlott rendszeresen, legfeljebb 60 napos időközönként biztonsági mentést készíteni. Ennek oka, hogy az AD tombstone objektumok élettartama alapértelmezés szerint 60 nap. Törekedjen arra, hogy az AD biztonsági mentését beépítse a katasztrófa utáni helyreállítási tervébe, hogy felkészülhessen a katasztrofális eseményekre. Általános szabályként legalább egy tartományvezérlőről biztonsági mentést kell készíteni.
Elképzelhető, hogy érdemes megfontolni egy kifinomultabb helyreállítási megoldás használatát, amely segít az AD objektumok biztonsági mentésében és eredeti állapotuk visszaállításában. A megoldások használata ahelyett, hogy a natív helyreállítási módszerekre hagyatkozna, végül rengeteg időt takaríthat meg.
Az Active Directory biztonsági felügyeletének engedélyezése a kompromittálódás jeleire
Az Active Directory proaktív és folyamatos ellenőrzése és felügyelete lehetővé teszi, hogy észrevegye a sérülés vagy kompromittálódás jeleit. A legtöbb esetben a súlyos biztonsági sérülések elkerülhetők a felügyeleti megoldások használatával.
A legutóbbi felmérések szerint annak ellenére, hogy bizonyított, hogy a felügyelet segít a biztonság javításában, a szervezetek több mint 80%-a még mindig nem foglalkozik ezzel aktívan.
Az Active Directory módosításainak ellenőrzése
Elkerülhetetlen, hogy nyomon kövesse az Active Directoryban végrehajtott összes módosítást. Bármilyen nem kívánt vagy jogosulatlan változtatás komoly károkat okozhat az Active Directory biztonságában.
Hogyan védje az Active Directory-t a Lepide segítségével
A Lepide Active Directory Auditing és Monitoring megoldásunk lehetővé teszi, hogy valós idejű, cselekvőképes betekintést nyerjen az Active Directoryban végrehajtott változtatásokba. Képes lesz valós időben észrevenni a kompromittálódás jeleit, és gyorsabban intézkedni a potenciálisan katasztrofális incidensek megelőzése érdekében.
Ha olyan Active Directory auditálási megoldást keres, amely valós idejű riasztásokat és előre definiált jelentéseket biztosít, érdemes megnéznie a Lepide Active Directory Auditor-t. A megoldás értékeléséhez 15 napos ingyenes próbaidőszakot biztosítunk.