Active Directory Security Best Practices
Atakujący wytrwale dążą do kompromitacji usług Active Directory ze względu na ich rolę w autoryzacji dostępu do krytycznych i poufnych danych.
W miarę rozwoju organizacji, ich infrastruktura staje się coraz bardziej złożona, co czyni je o wiele bardziej podatnymi na ataki, ponieważ trudniej jest śledzić ważne zmiany systemowe, zdarzenia i uprawnienia.
Staje się również o wiele trudniejsze dla organizacji, aby określić, gdzie znajdują się ich wrażliwe dane i rodzaj polityki bezpieczeństwa, która jest najbardziej odpowiednia do ochrony tych danych.
W tym blogu, mamy zamiar przejść przez kilka najlepszych praktyk Active Directory, które pomogą Ci poprawić ogólne bezpieczeństwo środowiska Active Directory.
- Dlaczego powinieneś dbać o bezpieczeństwo Active Directory?
- Wspólne zagrożenia dla bezpieczeństwa Active Directory
- Podatności systemu Active Directory
- Zagrożenia wewnętrzne w Active Directory
- Nadmierne uprawnienia
- Najlepsze praktyki dla bezpieczeństwa Active Directory
- Manage Active Directory Security Groups
- Clean-Up Nieaktywne konta użytkowników w AD
- Monitorowanie lokalnych administratorów
- Nie używaj GPO do ustawiania haseł
- Audyt logowań kontrolera domeny (DC)
- Zapewnij ochronę LSASS
- Have a Stringent Password Policy
- Uwaga na zagnieżdżone grupy
- Usuń Open Access
- Prawa logowania serwera audytu
- Adopt the Principle of Least Privilege for AD Security
- Back-Up Your Active Directory and Have a Method for Recovery
- Enable Security Monitoring of Active Directory for Signs of Compromise
- Audyt zmian w Active Directory
- Jak zabezpieczyć Active Directory z Lepide
Dlaczego powinieneś dbać o bezpieczeństwo Active Directory?
Active Directory jest w zasadzie bijącym sercem Twojego środowiska IT. Większość ataków lub zagrożeń bezpieczeństwa, które napotkasz będzie dotyczyć Active Directory w jakiś sposób, kształt lub formę.
Osoba z zewnątrz, chcąc uzyskać dostęp do danych, na przykład, może szukać do kradzieży danych uwierzytelniających lub zainstalować złośliwe oprogramowanie do kompromitacji konta. Raz wewnątrz AD, mogą eskalować swoje uprawnienia i poruszać się po systemie, uzyskując dostęp do wrażliwych danych.
Dlatego tak ważne jest, aby mieć dobre zabezpieczenie Active Directory i zapewnić, że są konsekwentnie monitorowane i audytowane zmiany w AD tak, że można wykryć potencjalne ataki i reagować w odpowiednim czasie.
Wspólne zagrożenia dla bezpieczeństwa Active Directory
Ponieważ Active Directory istnieje od tak długiego czasu, atakujący znaleźli wiele sposobów na wykorzystanie luk w zabezpieczeniach.
Microsoft był proaktywny w łataniu luk w zabezpieczeniach Active Directory, ale napastnicy zawsze znajdą różne sposoby na wykorzystanie systemu i ludzi, którzy z nich korzystają.
Zagrożenia bezpieczeństwa Active Directory dzielą się zasadniczo na dwie kategorie: luki w systemie i zagrożenia wewnętrzne.
Podatności systemu Active Directory
Active Directory używa uwierzytelniania Kerberos, które ma liczne podatności, takie jak Pass the Hash, Pass the Ticket, Golden Ticket i Silver Ticket. AD obsługuje również szyfrowanie NTLM, pozostałość po czasach, gdy szyfrowanie NTLM było faktycznie używane w AD, mimo że bezpieczeństwo było słabe. Ataki typu brute force są również częstą metodą forsowania drogi do AD.
Zagrożenia wewnętrzne w Active Directory
Najczęstszym sposobem, w jaki zabezpieczenia Active Directory mogą zostać ominięte, są zagrożenia wewnętrzne. Ataki phishingowe, socjotechnika i spear-phishing często odnoszą sukces z użytkownikami, którzy nie są świadomi bezpieczeństwa, pozwalając atakującym na uzyskanie dostępu do twojej AD za pomocą skradzionych danych uwierzytelniających.
Nadmierne uprawnienia
Nadmierne uprawnienia są również powszechnym zagrożeniem dla bezpieczeństwa Active Directory, z użytkownikami, którzy są albo nieostrożni, albo celowo złośliwi w stosunku do danych, do których nie powinni mieć dostępu.
Najlepsze praktyki dla bezpieczeństwa Active Directory
Aby skutecznie przeciwdziałać niektórym z luk i zagrożeń bezpieczeństwa Active Directory, które omówiliśmy w powyższej sekcji, eksperci AD z Lepide zebrali listę najlepszych praktyk, które można zastosować.
Podsumowanie naszej listy najlepszych praktyk bezpieczeństwa Active Directory znajduje się poniżej:
- Zarządzaj grupami bezpieczeństwa Active Directory
- Wyczyść-Up Inactive User Accounts in AD
- Monitor Local Administrators
- Don’t Use GPOs to Set Passwords
- Audit Domain Controller (DC) Logons
- Ensure LSASS Protection
- Have a Stringent Password Policy
- Beware of Nested Groups
- Remove Open Access
- Audit Server Logon Rights
- Adopt the Principle of Least Privilege for AD of Least Privilege for AD Security
- Back Up Your Active Directory and Have a Method for Recovery
- Enable Security Monitoring of Active Directory for Signs of Compromise
- Audit Active Directory Changes
Manage Active Directory Security Groups
Członkowie przypisani do grup bezpieczeństwa Active Directory, takich jak Domain, Enterprise i Schema Administrators otrzymują maksymalny poziom uprawnień w środowisku Active Directory. Jako takie, napastnik lub złośliwy insider, przypisany do jednej z tych grup, będzie miał swobodę panowania nad środowiskiem AD wraz z krytycznymi danymi.
Przestrzeganie najlepszych praktyk dla grup bezpieczeństwa Active Directory, takich jak ograniczanie dostępu, gdziekolwiek to możliwe, tylko do tych użytkowników, którzy tego wymagają, doda kolejną warstwę bezpieczeństwa do AD.
Dla wyczerpującej listy najlepszych praktyk dla grup bezpieczeństwa Active Directory, kliknij tutaj.
Clean-Up Nieaktywne konta użytkowników w AD
Nieaktywne konta użytkowników stanowią poważne zagrożenie dla bezpieczeństwa środowiska Active Directory, ponieważ są one często wykorzystywane przez nieuczciwych administratorów i hakerów, aby uzyskać dostęp do krytycznych danych bez wzbudzania podejrzeń.
Jest to zawsze dobry pomysł, aby zarządzać nieaktywnych kont użytkowników. Prawdopodobnie można znaleźć sposób na śledzenie nieaktywnych kont użytkowników za pomocą PowerShell lub przy użyciu rozwiązania takiego jak Lepide Active Directory Cleanup.
Monitorowanie lokalnych administratorów
Bardzo ważne jest, aby organizacje wiedziały, co robią lokalni administratorzy i w jaki sposób został im przyznany dostęp. Przy przyznawaniu dostępu lokalnym administratorom należy kierować się zasadą „najmniejszych przywilejów”.
Nie używaj GPO do ustawiania haseł
Używając Group Policy Objects (GPO), możliwe jest tworzenie kont użytkowników i ustawianie haseł, w tym haseł administratorów lokalnych, w ramach Active Directory.
Atakerzy lub złośliwi użytkownicy wewnętrzni mogą wykorzystać te GPO do uzyskania i odszyfrowania danych haseł bez podwyższonych praw dostępu. Takie przypadki mogą mieć rozległe reperkusje w całej sieci.
Podkreśla to znaczenie zapewnienia, że administratorzy mają środki do wykrywania i zgłaszania potencjalnych luk w hasłach.
Audyt logowań kontrolera domeny (DC)
Bardzo ważne jest, aby administratorzy mieli możliwość audytowania, kto loguje się do kontrolera domeny w celu ochrony uprzywilejowanych użytkowników i wszelkich aktywów, do których mają dostęp.
Jest to częsty martwy punkt dla organizacji, ponieważ mają tendencję do skupiania się na administratorach Enterprise i Domain i zapominają, że inne grupy mogą mieć nieodpowiednie prawa dostępu do Kontrolerów Domeny.
Zapewnij ochronę LSASS
Używając narzędzi hakerskich takich jak Mimikatz, atakujący mogą wykorzystać usługę LSASS (Local Security Authority Subsystem Service) do wyodrębnienia danych uwierzytelniających użytkownika, które mogą być następnie wykorzystane do uzyskania dostępu do zasobów powiązanych z tymi danymi uwierzytelniającymi.
Have a Stringent Password Policy
Utrzymywanie skutecznej polityki haseł jest kluczowe dla bezpieczeństwa organizacji. Ważne jest, aby użytkownicy okresowo zmieniali swoje hasła. Hasła, które są rzadko lub nigdy nie zmieniane, są mniej bezpieczne, ponieważ stwarzają większą szansę na ich kradzież.
Prawie, Twoja organizacja powinna mieć zautomatyzowany system, który pozwala na wygaśnięcie haseł po określonym czasie. Dodatkowo, Lepide User Password Expiration Reminder jest użytecznym narzędziem, które automatycznie przypomina użytkownikom Active Directory, gdy ich hasła zbliżają się do daty wygaśnięcia.
Jednym z problemów, który wielu wydaje się nie do pokonania jest to, że złożone hasła nie mogą być łatwo zapamiętane. Prowadzi to do tego, że użytkownicy zapisują hasła lub przechowują je na swoich komputerach. Aby przezwyciężyć ten problem, organizacje używają fraz zamiast haseł, aby zwiększyć złożoność bez uniemożliwiania zapamiętania haseł.
Uwaga na zagnieżdżone grupy
Powszechne dla administratorów jest zagnieżdżanie grup wewnątrz innych grup jako sposób na szybkie zorganizowanie członkostwa w grupie. Jednak takie zagnieżdżanie grup stanowi wyzwanie dla administratorów, ponieważ trudniej jest im dowiedzieć się, kto ma dostęp do jakiej grupy i dlaczego.
Ważne jest, abyś był w stanie zidentyfikować, które grupy mają największą liczbę zagnieżdżonych grup i ile poziomów zagnieżdżenia ma dana grupa. Ważne jest również, aby wiedzieć, kto, co, gdzie i kiedy Group Policy zmiany mają miejsce.
Usuń Open Access
To jest powszechne dla dobrze znanych identyfikatorów bezpieczeństwa, takich jak Everyone, Authenticated Users, i Domain Users, aby być używane do przyznania niewłaściwych przywilejów użytkownika do zasobów sieciowych, takich jak udziały plików. Użycie tych identyfikatorów bezpieczeństwa może pozwolić hakerom na wykorzystanie sieci organizacji, ponieważ będą oni mieli dostęp do dużej liczby kont użytkowników.
Prawa logowania serwera audytu
Lokalne polityki bezpieczeństwa są kontrolowane przez Group Policy poprzez szereg przypisań praw użytkownika, w tym:
- Allow log on locally
- Log on as a batch job
- Allow log on through Remote Desktop Services
- Log on as a service itd.
Te przypisania pozwalają nieadministratorom na wykonywanie funkcji, które są zwykle ograniczone do administratorów. Jeśli te funkcje nie zostaną przeanalizowane, ograniczone i dokładnie sprawdzone, napastnicy mogą wykorzystać je do naruszenia systemu poprzez kradzież danych uwierzytelniających i innych poufnych informacji.
Adopt the Principle of Least Privilege for AD Security
The Principle of Least Privilege is the idea that users should only have the minimum access rights required to perform their job functions – anything more than this is considered to be excessive.
You should audit your Active Directory to determine who has access to your most sensitive data and which of your users have elevated privileges. Powinieneś dążyć do ograniczenia uprawnień wszystkim tym, którzy ich nie potrzebują.
Back-Up Your Active Directory and Have a Method for Recovery
Zaleca się regularne wykonywanie kopii zapasowych Active Directory, w odstępach nie przekraczających 60 dni. Wynika to z faktu, że czas życia obiektów nagrobka AD wynosi domyślnie 60 dni. Należy dążyć do uwzględnienia kopii zapasowej AD w planie odzyskiwania po awarii, aby pomóc w przygotowaniu się na ewentualne katastrofy. Ogólną zasadą jest tworzenie kopii zapasowej co najmniej jednego kontrolera domeny.
Można rozważyć użycie bardziej zaawansowanego rozwiązania do odzyskiwania danych, które pomoże w tworzeniu kopii zapasowych i przywracaniu obiektów AD do ich pierwotnego stanu. Korzystanie z rozwiązań zamiast polegania na natywnych metodach odzyskiwania pozwoli zaoszczędzić mnóstwo czasu.
Enable Security Monitoring of Active Directory for Signs of Compromise
Bycie w stanie proaktywnie i stale audytować i monitorować Active Directory pozwoli Ci dostrzec oznaki naruszenia lub kompromisu. W większości przypadków poważnych naruszeń bezpieczeństwa można uniknąć dzięki zastosowaniu rozwiązań monitorujących.
Ostatnie badania sugerują, że pomimo dowodów na to, że monitorowanie pomaga poprawić bezpieczeństwo, ponad 80% organizacji nadal nie robi tego aktywnie.
Audyt zmian w Active Directory
Niezwykle ważne jest, abyś śledził wszystkie zmiany dokonane w Active Directory. Każda niechciana lub nieautoryzowana zmiana może spowodować poważne szkody dla bezpieczeństwa Active Directory.
Jak zabezpieczyć Active Directory z Lepide
W Lepide, nasze rozwiązanie do audytu i monitorowania Active Directory pozwala uzyskać w czasie rzeczywistym, wgląd w zmiany dokonywane w Active Directory. Będziesz w stanie dostrzec oznaki kompromitacji w czasie rzeczywistym i podjąć działania szybciej, aby zapobiec potencjalnie katastrofalnym incydentom.
Jeśli szukasz rozwiązania do audytu Active Directory, które zapewnia alerty w czasie rzeczywistym i predefiniowane raporty, warto sprawdzić Lepide Active Directory Auditor. Jest on dostarczany z 15-dniowym bezpłatnym okresem próbnym, aby pomóc Ci ocenić to rozwiązanie.