Cele mai bune practici de securitate pentru Active Directory
Atacatorii sunt perseverenți în încercarea de a compromite serviciile Active Directory datorită rolului lor în autorizarea accesului la date critice și confidențiale.
Pe măsură ce organizațiile se extind, infrastructura lor devine din ce în ce mai complexă, ceea ce le face mult mai vulnerabile la atacuri, deoarece este mai greu de ținut evidența modificărilor, evenimentelor și permisiunilor importante din sistem.
Devine, de asemenea, mult mai greu pentru organizații să determine unde se află datele lor sensibile și tipul de politică de securitate care este cel mai potrivit pentru a proteja aceste date.
În acest blog, vom trece în revistă câteva dintre cele mai bune practici Active Directory care vă vor ajuta să îmbunătățiți securitatea generală a mediului Active Directory.
- De ce ar trebui să vă pese de securitatea Active Directory?
- Amenințări comune la adresa securității Active Directory
- Vulnerabilitățile sistemului Active Directory
- Amenințări din interior în Active Directory
- Permisiuni excesive
- Bune practici pentru securitatea Active Directory
- Manage Active Directory Security Groups
- Curățați conturile de utilizator inactive în AD
- Monitorizarea administratorilor locali
- Nu folosiți GPO-uri pentru a seta parole
- Audit Domain Controller (DC) Logons
- Asigurați protecția LSASS
- Aveți o politică strictă privind parolele
- Atenție la grupurile imbricate
- Îndepărtați accesul deschis
- Drepturi de conectare la serverul de audit
- Adoptați principiul celui mai mic privilegiu pentru securitatea AD
- Realizați o copie de rezervă a Active Directory și dispuneți de o metodă de recuperare
- Activați monitorizarea de securitate a Active Directory pentru semne de compromitere
- Audit Active Directory Changes
- Cum să securizați Active Directory cu Lepide
De ce ar trebui să vă pese de securitatea Active Directory?
Active Directory este, în esență, inima care bate a mediului dumneavoastră IT. Cele mai multe atacuri sau amenințări de securitate cu care vă veți confrunta vor implica Active Directory-ul dvs. într-un fel, formă sau altul.
Un străin care dorește să obțină acces la datele dvs., de exemplu, poate căuta să fure acreditări sau să instaleze malware pentru a compromite un cont. Odată intrat în AD-ul dvs., acesta își poate escalada privilegiile și se poate deplasa lateral prin sistem, obținând acces la datele dvs. sensibile.
De aceea, este vital să aveți o bună securitate Active Directory și să vă asigurați că monitorizați și auditați în mod constant modificările aduse AD-ului, astfel încât să puteți detecta eventualele atacuri și să reacționați în timp util.
Amenințări comune la adresa securității Active Directory
Pentru că Active Directory există de foarte mult timp, atacatorii au găsit multiple modalități de a exploata vulnerabilitățile de securitate.
Microsoft a fost proactivă în acoperirea lacunelor din securitatea Active Directory, dar atacatorii vor găsi întotdeauna diferite modalități de a exploata sistemul și oamenii care le folosesc.
Amenințările de securitate Active Directory se încadrează în general în două categorii; vulnerabilități de sistem și amenințări din interior.
Vulnerabilitățile sistemului Active Directory
Active Directory utilizează autentificarea Kerberos, care are numeroase vulnerabilități, cum ar fi Pass the Hash, Pass the Ticket, Golden Ticket și Silver Ticket. AD suportă, de asemenea, criptarea NTLM, o rămășiță a perioadei în care criptarea NTLM era de fapt folosită în AD, în ciuda faptului că securitatea era submediocră. Atacurile prin forță brută sunt, de asemenea, o metodă obișnuită pentru atacatori de a forța intrarea în AD.
Amenințări din interior în Active Directory
Cel mai frecvent mod în care securitatea Active Directory este susceptibilă de a fi eludată este prin amenințări din interior. Atacurile de phishing, ingineria socială și spear-phishing-ul reușesc adesea cu utilizatorii dumneavoastră care nu sunt conștienți de securitate, permițând atacatorilor să obțină acces la AD-ul dumneavoastră cu credențiale furate.
Permisiuni excesive
Permisiunile excesive sunt, de asemenea, o amenințare comună la adresa securității Active Directory, utilizatorii fiind fie neglijenți, fie intenționat rău intenționați cu date la care nici nu ar fi trebuit să aibă acces în primul rând.
Bune practici pentru securitatea Active Directory
Pentru a contracara în mod eficient unele dintre vulnerabilitățile și riscurile de securitate Active Directory pe care le-am discutat în secțiunea de mai sus, experții AD de la Lepide au compilat o listă de bune practici pe care le puteți adopta.
Un rezumat al listei noastre de verificare a celor mai bune practici de securitate Active Directory este mai jos:
- Gestionați grupurile de securitate Active Directory
- Curățați…Up Inactive User Accounts in AD
- Monitorizați administratorii locali
- Nu folosiți GPO-uri pentru a seta parolele
- Audit Domain Controller (DC) Logons
- Asigurați-vă LSASS Protection
- Aveți o politică strictă privind parolele
- Atenție la grupurile imbricate
- Îndepărtați accesul deschis
- Audit Server Logon Rights
- Adoptați principiul of Least Privilege for AD Security
- Realizați o copie de siguranță a Active Directory și dispuneți de o metodă de recuperare
- Activați monitorizarea de securitate a Active Directory pentru detectarea semnelor de compromitere
- Audit Active Directory Changes
Manage Active Directory Security Groups
Membrii atribuiți grupurilor de securitate Active Directory, cum ar fi Domain, Enterprise și Schema Administrators beneficiază de nivelul maxim de privilegii în cadrul unui mediu Active Directory. Ca atare, un atacator sau un insider rău intenționat, atribuit unuia dintre aceste grupuri, va avea mână liberă asupra mediului AD, împreună cu datele dvs. critice.
Aderarea la cele mai bune practici pentru grupurile de securitate Active Directory, cum ar fi limitarea accesului, ori de câte ori este posibil, doar la acei utilizatori care au nevoie de el, va adăuga un alt nivel de securitate la AD-ul dvs.
Pentru o listă completă a celor mai bune practici pentru grupurile de securitate Active Directory, faceți clic aici.
Curățați conturile de utilizator inactive în AD
Conturile de utilizator inactive prezintă un risc serios de securitate pentru mediul dvs. Active Directory, deoarece sunt adesea folosite de administratori necinstiți și hackeri pentru a obține acces la datele critice fără a trezi suspiciuni.
Este întotdeauna o idee bună să gestionați conturile de utilizator inactive. Probabil că ați putea găsi o modalitate de a ține evidența conturilor de utilizator inactive folosind PowerShell sau folosind o soluție precum Lepide Active Directory Cleanup.
Monitorizarea administratorilor locali
Este foarte important pentru organizații să știe ce fac administratorii locali și cum le-a fost acordat accesul. Atunci când se acordă acces administratorilor locali, este important să se respecte regula „principiului celui mai mic privilegiu”.
Nu folosiți GPO-uri pentru a seta parole
Utilizând obiecte de politică de grup (GPO-uri), este posibil să se creeze conturi de utilizator și să se stabilească parole, inclusiv parole de administrator local, în cadrul Active Directory.
Atacatorii sau inițiații rău intenționați pot exploata aceste GPO-uri pentru a obține și decripta datele de parole fără drepturi de acces ridicate. Astfel de eventualități pot avea repercusiuni de amploare în întreaga rețea.
Aceasta evidențiază importanța de a se asigura că administratorii de sistem dispun de un mijloc de a depista și de a raporta potențiale vulnerabilități ale parolelor.
Audit Domain Controller (DC) Logons
Este foarte important ca administratorii de sistem să aibă capacitatea de a audita cine se conectează la un Domain Controller pentru a proteja utilizatorii privilegiați și orice active la care aceștia au acces.
Acesta este un punct orb comun pentru organizații, deoarece acestea tind să se concentreze asupra administratorilor de întreprindere și de domeniu și uită că alte grupuri pot avea drepturi de acces necorespunzătoare la controlorii de domeniu.
Asigurați protecția LSASS
Utilizând instrumente de hacking precum Mimikatz, atacatorii pot exploata Local Security Authority Subsystem Service (LSASS) pentru a extrage acreditările utilizatorilor, care pot fi apoi folosite pentru a accesa activele care sunt asociate cu acele acreditări.
Aveți o politică strictă privind parolele
Având o politică eficientă privind parolele este crucială pentru securitatea organizației dumneavoastră. Este important ca utilizatorii să își schimbe parolele periodic. Parolele care sunt schimbate rar sau niciodată sunt mai puțin sigure, deoarece creează o oportunitate mai mare ca acestea să fie furate.
În mod normal, organizația dvs. ar trebui să aibă un sistem automatizat care să permită ca parolele să expire după o anumită perioadă de timp. În plus, Lepide User Password Expiration Reminder este un instrument util care le reamintește automat utilizatorilor Active Directory atunci când parolele lor sunt aproape de data de expirare.
O problemă pe care mulți par să nu o poată depăși este că parolele complexe nu pot fi reținute cu ușurință. Acest lucru îi determină pe utilizatori să noteze parola sau să o stocheze pe calculatorul lor. Pentru a depăși această problemă, organizațiile folosesc fraze de trecere în loc de parole pentru a crește complexitatea fără a face parolele imposibil de reținut.
Atenție la grupurile imbricate
Este obișnuit ca administratorii să imbricate grupuri în interiorul altor grupuri ca mijloc de a organiza rapid apartenența la grupuri. Cu toate acestea, o astfel de înglobare a grupurilor reprezintă o provocare pentru administratori, deoarece le este mai greu să își dea seama cine are acces la ce grup și de ce.
Este important să puteți identifica care grupuri au cel mai mare număr de grupuri înglobate și câte niveluri de înglobare are un grup. De asemenea, este important să știți cine, ce, unde și când au loc modificări ale politicii de grup.
Îndepărtați accesul deschis
Este obișnuit ca identificatori de securitate bine cunoscuți, cum ar fi Everyone, Authenticated Users și Domain Users, să fie utilizați pentru a acorda privilegii de utilizator necorespunzătoare la resurse de rețea, cum ar fi partajările de fișiere. Utilizarea acestor identificatori de securitate poate permite hackerilor să exploateze rețeaua organizației, deoarece aceștia vor avea acces la un număr mare de conturi de utilizator.
Drepturi de conectare la serverul de audit
Politicile locale de securitate sunt controlate de politica de grup prin intermediul unui număr de atribuiri de drepturi de utilizator, inclusiv:
- Permite conectarea la nivel local
- Conectare ca o sarcină de lucru pe loturi
- Permite conectarea prin Remote Desktop Services
- Conectare ca un serviciu etc.
Aceste atribuții permit celor care nu sunt administratori să execute funcții care sunt de obicei rezervate administratorilor. Dacă aceste funcții nu sunt analizate, restricționate și auditate cu atenție, atacatorii le-ar putea folosi pentru a compromite sistemul prin furtul acreditărilor și al altor informații sensibile.
Adoptați principiul celui mai mic privilegiu pentru securitatea AD
Principiul celui mai mic privilegiu este ideea că utilizatorii ar trebui să aibă doar drepturile de acces minime necesare pentru a-și îndeplini funcțiile de la locul de muncă – orice mai mult decât atât este considerat excesiv.
Ar trebui să vă auditați Active Directory pentru a determina cine are acces la cele mai sensibile date și care dintre utilizatori au privilegii ridicate. Ar trebui să urmăriți să restricționați permisiunile tuturor celor care nu au nevoie de ele.
Realizați o copie de rezervă a Active Directory și dispuneți de o metodă de recuperare
Se recomandă să realizați o copie de rezervă a Active Directory în mod regulat, cu intervale care nu depășesc 60 de zile. Acest lucru se datorează faptului că durata de viață a obiectelor AD tombstone este, în mod implicit, de 60 de zile. Ar trebui să urmăriți să includeți backup-ul AD în planul de recuperare în caz de dezastru pentru a vă ajuta să vă pregătiți pentru orice eveniment dezastruos. Ca regulă generală, cel puțin un controler de domeniu ar trebui să facă obiectul unei copii de rezervă.
Puteți lua în considerare utilizarea unei soluții de recuperare mai sofisticate care să vă ajute să faceți copii de rezervă și să restaurați obiectele AD la starea lor inițială. Utilizarea soluțiilor în loc să vă bazați pe metodele native de recuperare va sfârși prin a vă economisi găleți de timp.
Activați monitorizarea de securitate a Active Directory pentru semne de compromitere
Să fiți capabili să auditați și să monitorizați în mod proactiv și continuu Active Directory vă va permite să depistați semnele unei breșe sau ale unui compromis. În cele mai multe cazuri, breșele grave de securitate pot fi evitate prin utilizarea soluțiilor de monitorizare.
Studii recente au sugerat că, în ciuda dovezilor că monitorizarea ajută la îmbunătățirea securității, mai mult de 80% dintre organizații încă nu o fac în mod activ.
Audit Active Directory Changes
Este crucial faptul că trebuie să țineți evidența tuturor modificărilor efectuate în Active Directory. Orice modificare nedorită sau neautorizată poate cauza daune serioase securității Active Directory.
Cum să securizați Active Directory cu Lepide
La Lepide, soluția noastră de auditare și monitorizare Active Directory vă permite să obțineți informații în timp real și acționabile despre modificările efectuate în Active Directory. Veți putea detecta semnele de compromitere în timp real și veți putea acționa mai repede pentru a preveni incidente potențial dezastruoase.
Dacă sunteți în căutarea unei soluții de audit Active Directory care oferă alerte în timp real și rapoarte predefinite, merită să verificați Lepide Active Directory Auditor. Aceasta vine cu o perioadă de încercare gratuită de 15 zile pentru a vă ajuta să evaluați soluția.
.