Best practices voor Active Directory-beveiliging
Aanvallers zijn hardnekkig in hun streven om Active Directory-diensten te compromitteren vanwege de rol die deze spelen bij het autoriseren van toegang tot kritieke en vertrouwelijke gegevens.
Naarmate organisaties uitbreiden, wordt hun infrastructuur steeds complexer, waardoor ze veel kwetsbaarder zijn voor aanvallen omdat het moeilijker is om belangrijke systeemwijzigingen, gebeurtenissen en machtigingen in de gaten te houden.
Het wordt voor organisaties ook een stuk moeilijker om te bepalen waar hun gevoelige gegevens zich bevinden, en welk type beveiligingsbeleid het meest geschikt is om deze gegevens te beschermen.
In deze blog gaan we een aantal Active Directory best practices doornemen waarmee u de algehele beveiliging van uw Active Directory-omgeving kunt verbeteren.
- Waarom moet u zich zorgen maken over Active Directory-beveiliging?
- Gemeenschappelijke bedreigingen voor Active Directory-beveiliging
- Active Directory Systeemkwetsbaarheden
- Insider Threats in Active Directory
- Excessieve machtigingen
- Beste Praktijken voor Active Directory Beveiliging
- Beheer Active Directory beveiligingsgroepen
- Saneer inactieve gebruikersaccounts in AD
- Monitor Local Administrators
- Gebruik geen GPO’s om wachtwoorden in te stellen
- Audit Domain Controller (DC) Logons
- Zorg voor LSASS-bescherming
- Hanteer een strikt wachtwoordbeleid
- Bewaar je bij geneste groepen
- Open toegang verwijderen
- Audit Server Aanmeldrechten
- Hanteer het principe van de minste privileges voor AD-beveiliging
- Back-up uw Active Directory en heb een methode voor herstel
- Beveiligingsmonitoring van Active Directory inschakelen voor tekenen van compromittering
- Audit Active Directory Wijzigingen
- Hoe Active Directory beveiligen met Lepide
Waarom moet u zich zorgen maken over Active Directory-beveiliging?
Active Directory is in wezen het kloppend hart van uw IT-omgeving. Bij de meeste aanvallen of beveiligingsrisico’s waarmee u te maken krijgt, is uw Active Directory op de een of andere manier of in de een of andere vorm betrokken.
Een buitenstaander die toegang tot uw gegevens wil krijgen, kan bijvoorbeeld proberen inloggegevens te stelen of malware te installeren om een account te compromitteren. Eenmaal binnen uw AD kunnen ze hun rechten laten escaleren en zich zijdelings door het systeem bewegen, waardoor ze toegang krijgen tot uw gevoelige gegevens.
Daarom is het van vitaal belang om een goede Active Directory-beveiliging te hebben en ervoor te zorgen dat u consequent wijzigingen in de AD bewaakt en controleert, zodat u potentiële aanvallen kunt opmerken en tijdig kunt reageren.
Gemeenschappelijke bedreigingen voor Active Directory-beveiliging
Omdat Active Directory al zo lang bestaat, hebben aanvallers meerdere manieren gevonden om kwetsbaarheden in de beveiliging uit te buiten.
Microsoft is proactief geweest in het dichten van gaten in de beveiliging van Active Directory, maar aanvallers zullen altijd verschillende manieren vinden om het systeem en de mensen die het gebruiken uit te buiten.
Beveiligingsbedreigingen voor Active Directory vallen grofweg in twee categorieën uiteen; systeemkwetsbaarheden en bedreigingen van binnenuit.
Active Directory Systeemkwetsbaarheden
Active Directory gebruikt Kerberos authenticatie die talrijke kwetsbaarheden kent, zoals Pass the Hash, Pass the Ticket, Golden Ticket, en Silver Ticket. AD ondersteunt ook NTLM encryptie, een overblijfsel van toen NTLM encryptie nog werd gebruikt in AD, ondanks dat de beveiliging onder de maat was. Brute kracht aanvallen zijn ook een veel voorkomende methode voor aanvallers om zich een weg te banen in AD.
Insider Threats in Active Directory
De meest voorkomende manier waarop uw Active Directory beveiliging waarschijnlijk wordt omzeild is door middel van insider bedreigingen. Phishing-aanvallen, social engineering en spear-phishing slagen vaak goed bij gebruikers die zich niet bewust zijn van de beveiliging, waardoor aanvallers toegang kunnen krijgen tot uw AD met gestolen referenties.
Excessieve machtigingen
Excessieve machtigingen zijn ook een veel voorkomende bedreiging voor de Active Directory-beveiliging, waarbij gebruikers onzorgvuldig of opzettelijk kwaadwillig omgaan met gegevens waartoe ze eigenlijk geen toegang hadden mogen hebben.
Beste Praktijken voor Active Directory Beveiliging
Om een aantal van de hierboven besproken kwetsbaarheden en risico’s in de Active Directory beveiliging effectief tegen te gaan, hebben de AD experts hier bij Lepide een lijst van beste praktijken samengesteld die u kunt toepassen.
Een samenvatting van onze Active Directory-beveiligingschecklist met best practices vindt u hieronder:
- Beheer Active Directory-beveiligingsgroepen
- Schoon…Inactieve gebruikersaccounts in AD opschonen
- Lokale beheerders bewaken
- Gebruik geen GPO’s om wachtwoorden in te stellen
- Audit Domain Controller (DC) logons
- Zorg voor LSASS Bescherming
- Hanteer een streng wachtwoordbeleid
- Vermijd geneste groepen
- Verwijder Open Toegang
- Audit Server Logon Rechten
- Hanteer het principe van de minste privileges voor AD-beveiliging
- Back-up van uw Active Directory en beschik over een methode voor herstel
- Inschakelen van beveiligingsmonitoring van Active Directory op tekenen van compromittering
- Audit Active Directory Changes
Beheer Active Directory beveiligingsgroepen
Leden die zijn toegewezen aan Active Directory beveiligingsgroepen zoals Domain, Enterprise, en Schema Administrators krijgen het maximale niveau van privileges binnen een Active Directory omgeving. Een aanvaller of kwaadwillende insider die aan een van deze groepen is toegewezen, heeft vrij spel over uw AD-omgeving en uw kritieke gegevens.
Handhaven van best practices voor Active Directory beveiligingsgroepen, zoals het waar mogelijk beperken van toegang tot alleen die gebruikers die dat nodig hebben, voegt een extra beveiligingslaag toe aan uw AD.
Voor een uitgebreide lijst van best practices voor Active Directory beveiligingsgroepen, klik hier.
Saneer inactieve gebruikersaccounts in AD
Inactieve gebruikersaccounts vormen een ernstig beveiligingsrisico voor uw Active Directory-omgeving, omdat ze vaak worden gebruikt door malafide beheerders en hackers om toegang te krijgen tot kritieke gegevens zonder argwaan te wekken.
Het is altijd een goed idee om inactieve gebruikersaccounts te beheren. U kunt waarschijnlijk een manier vinden om inactieve gebruikersaccounts bij te houden met behulp van PowerShell of door een oplossing als Lepide Active Directory Cleanup te gebruiken.
Monitor Local Administrators
Het is erg belangrijk voor organisaties om te weten wat lokale beheerders doen, en hoe hun toegang is verleend. Bij het verlenen van toegang aan lokale beheerders is het belangrijk om de regel van “het principe van de minste privileges” te volgen.
Gebruik geen GPO’s om wachtwoorden in te stellen
Met behulp van Group Policy Objects (GPO’s) is het mogelijk om gebruikersaccounts te maken en wachtwoorden in te stellen, waaronder wachtwoorden voor lokale beheerders, binnen Active Directory.
Aanvallers of kwaadwillende insiders kunnen deze GPO’s misbruiken om de wachtwoordgegevens te verkrijgen en te ontsleutelen zonder hogere toegangsrechten te hebben. Dit kan verstrekkende gevolgen hebben voor het hele netwerk.
Hieruit blijkt hoe belangrijk het is dat sysadmins een middel hebben om potentiële kwetsbaarheden in wachtwoorden te ontdekken en te rapporteren.
Audit Domain Controller (DC) Logons
Het is zeer belangrijk dat sysadmins de mogelijkheid hebben om te controleren wie zich aanmeldt bij een Domain Controller om bevoorrechte gebruikers en alle bedrijfsmiddelen waartoe zij toegang hebben, te beschermen.
Dit is een veel voorkomende blinde vlek voor organisaties, omdat ze de neiging hebben zich te richten op Enterprise- en Domeinbeheerders en vergeten dat andere groepen ongepaste toegangsrechten tot Domeincontrollers kunnen hebben.
Zorg voor LSASS-bescherming
Met hackingtools als Mimikatz kunnen aanvallers de Local Security Authority Subsystem Service (LSASS) misbruiken om gebruikersgegevens te achterhalen, die vervolgens kunnen worden gebruikt om toegang te krijgen tot bedrijfsmiddelen die aan die gegevens zijn gekoppeld.
Hanteer een strikt wachtwoordbeleid
Het hebben van een effectief wachtwoordbeleid is van cruciaal belang voor de beveiliging van uw organisatie. Het is belangrijk dat gebruikers hun wachtwoorden regelmatig wijzigen. Wachtwoorden die zelden of nooit worden gewijzigd, zijn minder veilig omdat de kans groter is dat ze worden gestolen.
Het is wenselijk dat uw organisatie een geautomatiseerd systeem heeft waarmee wachtwoorden na een bepaalde periode kunnen verlopen. Bovendien is de Lepide User Password Expiration Reminder een nuttig hulpmiddel dat Active Directory-gebruikers automatisch eraan herinnert wanneer hun wachtwoorden bijna verlopen.
Een probleem dat velen niet lijken te kunnen overwinnen, is dat complexe wachtwoorden niet gemakkelijk kunnen worden onthouden. Dit leidt ertoe dat gebruikers het wachtwoord opschrijven of op hun computer opslaan. Om dit te ondervangen, gebruiken organisaties passphrases in plaats van wachtwoorden om de complexiteit te verhogen zonder wachtwoorden onmogelijk te maken om te onthouden.
Bewaar je bij geneste groepen
Het is gebruikelijk voor beheerders om groepen in andere groepen te nesten als een manier om het groepslidmaatschap snel te organiseren. Het nesten van groepen vormt echter een uitdaging voor beheerders, omdat het moeilijker voor hen is om erachter te komen wie toegang heeft tot welke groep, en waarom.
Het is belangrijk voor u om te kunnen identificeren welke groepen het grootste aantal geneste groepen hebben en hoeveel niveaus van nesten een groep heeft. Het is ook belangrijk om te weten wie, wat, waar en wanneer wijzigingen in het Groepsbeleid plaatsvinden.
Open toegang verwijderen
Het komt vaak voor dat bekende beveiligingsaanduidingen, zoals Iedereen, Geauthenticeerde gebruikers en Domeingebruikers, worden gebruikt om ongepaste gebruikersprivileges te verlenen voor netwerkbronnen zoals bestandsdelingen. Het gebruik van deze beveiligingscodes kan hackers in staat stellen het netwerk van de organisatie uit te buiten, aangezien zij toegang hebben tot een groot aantal gebruikersaccounts.
Audit Server Aanmeldrechten
Lokaal beveiligingsbeleid wordt geregeld door Groepsbeleid via een aantal toewijzingen van gebruikersrechten, waaronder:
- Lokaal aanmelden toestaan
- Aanmelden als een batchtaak
- Aanmelden toestaan via Remote Desktop Services
- Aanmelden als een service, enzovoort.
Deze toewijzingen staan niet-beheerders toe om functies uit te voeren die typisch voorbehouden zijn aan beheerders. Als deze functies niet worden geanalyseerd, beperkt en zorgvuldig gecontroleerd, kunnen aanvallers ze gebruiken om het systeem te compromitteren door referenties en andere gevoelige informatie te stelen.
Hanteer het principe van de minste privileges voor AD-beveiliging
Het principe van de minste privileges is het idee dat gebruikers alleen de minimale toegangsrechten mogen hebben die nodig zijn om hun taken uit te voeren – alles wat meer is, wordt als buitensporig beschouwd.
U moet uw Active Directory controleren om te bepalen wie toegang heeft tot uw meest gevoelige gegevens en welke gebruikers verhoogde privileges hebben. U moet ernaar streven om machtigingen te beperken voor iedereen die ze niet nodig heeft.
Back-up uw Active Directory en heb een methode voor herstel
Het wordt aanbevolen om regelmatig een back-up te maken van uw Active Directory, met intervallen die niet langer zijn dan 60 dagen. Dit komt omdat de levensduur van AD tombstone objecten standaard 60 dagen is. U moet ernaar streven om uw AD back-up op te nemen in uw noodherstelplan om u voor te bereiden op eventuele rampzalige gebeurtenissen. Als algemene regel geldt dat van ten minste één domeincontroller een back-up moet worden gemaakt.
U kunt overwegen om een geavanceerdere hersteloplossing te gebruiken waarmee u een back-up kunt maken van AD-objecten en deze naar de oorspronkelijke staat kunt herstellen. Het gebruik van oplossingen in plaats van te vertrouwen op de oorspronkelijke herstelmethoden zal u uiteindelijk emmers tijd besparen.
Beveiligingsmonitoring van Active Directory inschakelen voor tekenen van compromittering
Als u in staat bent om uw Active Directory proactief en continu te controleren en te bewaken, kunt u de tekenen van een inbreuk of compromittering herkennen. In de meeste gevallen kan een ernstige inbreuk op de beveiliging worden voorkomen door het gebruik van monitoring oplossingen.
Recente onderzoeken suggereren dat, ondanks het bewijs dat monitoring helpt om de beveiliging te verbeteren, meer dan 80% van de organisaties dit nog steeds niet actief doet.
Audit Active Directory Wijzigingen
Het is van cruciaal belang dat u alle wijzigingen die in Active Directory worden aangebracht, bijhoudt. Elke ongewenste of ongeoorloofde wijziging kan ernstige schade toebrengen aan de beveiliging van uw Active Directory.
Hoe Active Directory beveiligen met Lepide
Bij Lepide kunt u met onze Active Directory Auditing and Monitoring Solution real-time, bruikbaar inzicht krijgen in de wijzigingen die in uw Active Directory worden aangebracht. U zult in staat zijn om de tekenen van compromittering in real-time te herkennen en sneller actie te ondernemen om potentieel rampzalige incidenten te voorkomen.
Als u op zoek bent naar een Active Directory-auditoplossing die real-time waarschuwingen en vooraf gedefinieerde rapporten biedt, is het de moeite waard om Lepide Active Directory Auditor eens te bekijken. Lepide Active Directory Auditor wordt geleverd met een gratis proefversie voor 15 dagen, zodat u de oplossing kunt evalueren.