Active Directory Security Best Practices
Gli aggressori sono persistenti nella loro ricerca di compromettere i servizi di Active Directory a causa del loro ruolo nell’autorizzare l’accesso a dati critici e riservati.
Come le organizzazioni si espandono, la loro infrastruttura diventa sempre più complessa, il che le rende molto più vulnerabili agli attacchi poiché è più difficile tenere traccia di importanti cambiamenti di sistema, eventi e autorizzazioni.
Sta diventando anche molto più difficile per le organizzazioni determinare dove si trovano i loro dati sensibili e il tipo di politica di sicurezza più adatto a proteggere questi dati.
In questo blog, esamineremo alcune best practice di Active Directory che vi aiuteranno a migliorare la sicurezza generale del vostro ambiente Active Directory.
- Perché dovreste preoccuparvi della sicurezza di Active Directory?
- Minacce comuni alla sicurezza di Active Directory
- Vulnerabilità di sistema di Active Directory
- Minacce interne in Active Directory
- Permessi eccessivi
- Migliori pratiche per la sicurezza di Active Directory
- Gestite i gruppi di sicurezza di Active Directory
- Pulire gli account utente inattivi in AD
- Monitorare gli amministratori locali
- Non usare i GPO per impostare le password
- Audit Domain Controller (DC) Logons
- Assicurare la protezione LSASS
- Avere una politica rigorosa sulle password
- Attenzione ai gruppi annidati
- Rimuovi l’accesso aperto
- Diritti di accesso al server di audit
- Adotta il Principio del Minimo Privilegio per la sicurezza AD
- Fate il backup della vostra Active Directory e abbiate un metodo di recupero
- Abilitare il monitoraggio della sicurezza di Active Directory per i segni di compromissione
- Audit Active Directory Changes
- Come proteggere Active Directory con Lepide
Perché dovreste preoccuparvi della sicurezza di Active Directory?
Active Directory è essenzialmente il cuore pulsante del vostro ambiente IT. La maggior parte degli attacchi o delle minacce alla sicurezza che affronterete coinvolgeranno la vostra Active Directory in qualche modo, in qualche forma.
Un estraneo che cerca di accedere ai vostri dati, per esempio, potrebbe cercare di rubare le credenziali o installare malware per compromettere un account. Una volta all’interno del vostro AD, possono aumentare i loro privilegi e muoversi lateralmente attraverso il sistema, ottenendo l’accesso ai vostri dati sensibili.
Questo è il motivo per cui è fondamentale avere una buona sicurezza di Active Directory e assicurarsi di monitorare e controllare costantemente le modifiche ad AD in modo da poter individuare potenziali attacchi e reagire in modo tempestivo.
Minacce comuni alla sicurezza di Active Directory
Perché Active Directory esiste da così tanto tempo, gli aggressori hanno trovato diversi modi per sfruttare le vulnerabilità della sicurezza.
Microsoft è stata proattiva nel colmare le lacune nella sicurezza di Active Directory, ma gli aggressori troveranno sempre modi diversi per sfruttare il sistema e gli esseri umani che lo utilizzano.
Le minacce alla sicurezza di Active Directory rientrano ampiamente in due categorie: vulnerabilità del sistema e minacce interne.
Vulnerabilità di sistema di Active Directory
Active Directory utilizza l’autenticazione Kerberos che ha numerose vulnerabilità, come Pass the Hash, Pass the Ticket, Golden Ticket e Silver Ticket. AD supporta anche la crittografia NTLM, un residuo di quando la crittografia NTLM era effettivamente utilizzata in AD, nonostante la sicurezza sia inferiore. Anche gli attacchi a forza bruta sono un metodo comune per gli aggressori per farsi strada in AD.
Minacce interne in Active Directory
Il modo più comune in cui la sicurezza di Active Directory può essere aggirata è attraverso minacce interne. Gli attacchi di phishing, social engineering e spear-phishing spesso hanno successo con gli utenti che non sono consapevoli della sicurezza, permettendo agli aggressori di ottenere l’accesso all’AD con credenziali rubate.
Permessi eccessivi
I permessi eccessivi sono anche una minaccia comune alla sicurezza di Active Directory, con gli utenti che sono negligenti o intenzionalmente maliziosi con i dati a cui non dovrebbero nemmeno avere accesso.
Migliori pratiche per la sicurezza di Active Directory
Per contrastare efficacemente alcune delle vulnerabilità e dei rischi per la sicurezza di Active Directory che abbiamo discusso nella sezione precedente, gli esperti di AD qui a Lepide hanno compilato una lista di migliori pratiche che potete adottare.
Un riassunto della nostra lista di controllo delle migliori pratiche di sicurezza di Active Directory è qui sotto:
- Gestire i gruppi di sicurezza di Active Directory
- Pulireinattivi in AD
- Monitorare gli amministratori locali
- Non usare GPO per impostare le password
- Audit dei logon dei controller di dominio (DC)
- Assicurare la protezione LSASS Protezione
- Avere una politica delle password rigorosa
- Attenzione ai gruppi annidati
- Rimuovere l’accesso aperto
- Trollare i diritti di accesso al server
- Adottare il principio Least Privilege for AD Security
- Fate il backup di Active Directory e disponete di un metodo di ripristino
- Abilitate il monitoraggio della sicurezza di Active Directory per i segni di compromissione
- Audite le modifiche di Active Directory
Gestite i gruppi di sicurezza di Active Directory
I membri assegnati ai gruppi di sicurezza di Active Directory come Domain, Enterprise, e Schema Administrators sono concessi il massimo livello di privilegi all’interno di un ambiente Active Directory. Come tale, un aggressore, o un malintenzionato, assegnato a uno di questi gruppi, avrà campo libero sul vostro ambiente AD insieme ai vostri dati critici.
Aderendo alle migliori pratiche per i gruppi di sicurezza di Active Directory, come limitare l’accesso, ove possibile, solo agli utenti che lo richiedono, si aggiungerà un altro livello di sicurezza al vostro AD.
Per un elenco completo delle best practice per i gruppi di sicurezza di Active Directory, clicca qui.
Pulire gli account utente inattivi in AD
Gli account utente inattivi rappresentano un serio rischio per la sicurezza del tuo ambiente Active Directory, poiché sono spesso utilizzati da amministratori disonesti e hacker per accedere a dati critici senza destare sospetti.
È sempre una buona idea gestire gli account utente inattivi. Si potrebbe probabilmente trovare un modo per tenere traccia degli account utente inattivi utilizzando PowerShell o utilizzando una soluzione come Lepide Active Directory Cleanup.
Monitorare gli amministratori locali
È molto importante per le organizzazioni sapere cosa stanno facendo gli amministratori locali e come è stato concesso il loro accesso. Quando si concede l’accesso agli amministratori locali, è importante seguire la regola del “principio del minimo privilegio”.
Non usare i GPO per impostare le password
Utilizzando gli oggetti dei criteri di gruppo (GPO), è possibile creare account utente e impostare le password, comprese quelle degli amministratori locali, all’interno di Active Directory.
Gli aggressori o gli insider malintenzionati possono sfruttare questi GPO per ottenere e decifrare i dati delle password senza diritti di accesso elevati. Queste eventualità possono avere ripercussioni su tutta la rete.
Questo evidenzia l’importanza di garantire che i sysadmin abbiano un mezzo per individuare e segnalare potenziali vulnerabilità delle password.
Audit Domain Controller (DC) Logons
È molto importante che i sysadmin abbiano la possibilità di controllare chi accede a un Domain Controller al fine di proteggere gli utenti privilegiati e qualsiasi risorsa a cui hanno accesso.
Questo è un punto cieco comune per le organizzazioni, poiché tendono a concentrarsi sugli amministratori di Enterprise e di dominio e dimenticano che altri gruppi possono avere diritti di accesso inappropriati ai controller di dominio.
Assicurare la protezione LSASS
Utilizzando strumenti di hacking come Mimikatz, gli aggressori possono sfruttare il Local Security Authority Subsystem Service (LSASS) per estrarre le credenziali dell’utente, che possono poi essere utilizzate per accedere alle risorse associate a tali credenziali.
Avere una politica rigorosa sulle password
Avere una politica efficace sulle password è fondamentale per la sicurezza dell’organizzazione. È importante che gli utenti cambino periodicamente le loro password. Le password che vengono cambiate raramente, o mai, sono meno sicure perché creano una maggiore opportunità di essere rubate.
In definitiva, la vostra organizzazione dovrebbe avere un sistema automatico che permette alle password di scadere dopo un determinato periodo di tempo. Inoltre, Lepide User Password Expiration Reminder è uno strumento utile che ricorda automaticamente agli utenti di Active Directory quando le loro password sono vicine alla data di scadenza.
Un problema che molti sembrano incapaci di superare è che le password complesse non si ricordano facilmente. Questo porta gli utenti a scrivere la password o a memorizzarla sulla loro macchina. Per superare questo problema, le organizzazioni stanno usando delle frasi al posto delle password per aumentare la complessità senza rendere le password impossibili da ricordare.
Attenzione ai gruppi annidati
È comune per gli amministratori annidare i gruppi dentro altri gruppi come un mezzo per organizzare rapidamente l’appartenenza al gruppo. Tuttavia, tale annidamento di gruppi rappresenta una sfida per gli amministratori in quanto è più difficile per loro capire chi ha accesso a quale gruppo e perché.
È importante per te essere in grado di identificare quali gruppi hanno il maggior numero di gruppi annidati e quanti livelli di annidamento ha un gruppo. È anche importante sapere chi, cosa, dove e quando i cambiamenti dei Criteri di gruppo hanno luogo.
Rimuovi l’accesso aperto
È comune per gli identificatori di sicurezza ben noti come Everyone, Authenticated Users e Domain Users, essere usati per concedere privilegi utente inappropriati alle risorse di rete come le condivisioni di file. L’uso di questi identificatori di sicurezza può consentire agli hacker di sfruttare la rete dell’organizzazione, in quanto avranno accesso a un gran numero di account utente.
Diritti di accesso al server di audit
Le politiche di sicurezza locali sono controllate dai criteri di gruppo tramite una serie di assegnazioni di diritti utente, tra cui:
- consenti l’accesso locale
- Accedi come lavoro batch
- consenti l’accesso tramite Remote Desktop Services
- Accedi come servizio ecc.
Queste assegnazioni permettono ai non amministratori di eseguire funzioni che sono tipicamente limitate agli amministratori. Se queste funzioni non sono analizzate, limitate e attentamente controllate, gli aggressori potrebbero usarle per compromettere il sistema rubando credenziali e altre informazioni sensibili.
Adotta il Principio del Minimo Privilegio per la sicurezza AD
Il Principio del Minimo Privilegio è l’idea che gli utenti dovrebbero avere solo i diritti di accesso minimi richiesti per svolgere le loro funzioni lavorative – qualsiasi cosa in più è considerata eccessiva.
Dovresti controllare la tua Active Directory per determinare chi ha accesso ai tuoi dati più sensibili e quali dei tuoi utenti hanno privilegi elevati. Dovreste mirare a limitare i permessi a tutti coloro che non ne hanno bisogno.
Fate il backup della vostra Active Directory e abbiate un metodo di recupero
Si raccomanda di fare il backup della vostra Active Directory su base regolare, con intervalli che non superino i 60 giorni. Questo perché la durata di vita degli oggetti tombali AD è, per impostazione predefinita, di 60 giorni. Dovresti cercare di includere il backup di AD nel tuo piano di disaster recovery per aiutarti a prepararti a qualsiasi evento disastroso. Come regola generale, almeno un controller di dominio dovrebbe essere sottoposto a backup.
Potresti voler considerare l’utilizzo di una soluzione di ripristino più sofisticata che ti aiuti a fare il backup e a ripristinare gli oggetti AD al loro stato originale. Usare soluzioni invece di affidarsi ai metodi di ripristino nativi finirà per farti risparmiare un sacco di tempo.
Abilitare il monitoraggio della sicurezza di Active Directory per i segni di compromissione
Essere in grado di controllare e monitorare in modo proattivo e continuo la tua Active Directory ti permetterà di individuare i segni di una violazione o compromissione. Nella maggior parte dei casi, gravi violazioni della sicurezza possono essere evitate con l’uso di soluzioni di monitoraggio.
Recenti sondaggi hanno suggerito che, nonostante le prove che il monitoraggio aiuta a migliorare la sicurezza, più dell’80% delle organizzazioni ancora non lo fa attivamente.
Audit Active Directory Changes
È fondamentale tenere traccia di tutte le modifiche effettuate in Active Directory. Qualsiasi modifica indesiderata o non autorizzata può causare gravi danni alla sicurezza di Active Directory.
Come proteggere Active Directory con Lepide
In Lepide, la nostra soluzione di audit e monitoraggio di Active Directory vi permette di ottenere in tempo reale informazioni utili sulle modifiche apportate alla vostra Active Directory. Sarete in grado di individuare i segnali di compromissione in tempo reale e di agire più rapidamente per prevenire incidenti potenzialmente disastrosi.
Se state cercando una soluzione di auditing di Active Directory che fornisca avvisi in tempo reale e report predefiniti, vale la pena controllare Lepide Active Directory Auditor. Viene fornito con una prova gratuita di 15 giorni per aiutarvi a valutare la soluzione.