Bästa praxis för Active Directory-säkerhet
Anfallare är ihärdiga i sin strävan att äventyra Active Directory-tjänsterna eftersom de spelar en viktig roll när det gäller att godkänna åtkomst till kritiska och konfidentiella data.
I takt med att organisationer expanderar blir infrastrukturen alltmer komplex, vilket gör dem mycket mer sårbara för attacker eftersom det är svårare att hålla reda på viktiga systemändringar, händelser och behörigheter.
Det blir också mycket svårare för organisationer att avgöra var deras känsliga data finns och vilken typ av säkerhetspolicy som är lämpligast för att skydda dessa data.
I den här bloggen kommer vi att gå igenom några bästa metoder för Active Directory som hjälper dig att förbättra den övergripande säkerheten i din Active Directory-miljö.
- Varför ska du bry dig om Active Directory-säkerhet?
- Gemensamma hot mot Active Directory-säkerheten
- Sårbarheter i systemet för Active Directory
- Insiderhot i Active Directory
- Överdriven behörighet
- Bästa metoder för Active Directory-säkerhet
- Hantera Active Directory-säkerhetsgrupper
- Rensa upp inaktiva användarkonton i AD
- Bevaka lokala administratörer
- Använd inte GPO:er för att ställa in lösenord
- Audit Domain Controller (DC) Logons
- Säkerställ LSASS-skydd
- Har en sträng lösenordspolicy
- Var försiktig med inbäddade grupper
- Hantera öppen åtkomst
- Audit Server Logon Rights
- Anta principen om minsta privilegier för AD-säkerhet
- Backupera din Active Directory och ha en metod för återställning
- Aktivera säkerhetsövervakning av Active Directory för tecken på kompromiss
- Audit Active Directory-ändringar
- Hur man säkrar Active Directory med Lepide
Varför ska du bry dig om Active Directory-säkerhet?
Active Directory är i princip det bultande hjärtat i din IT-miljö. De flesta attacker eller säkerhetshot som du kommer att möta kommer att involvera Active Directory på något sätt.
En utomstående som vill få tillgång till dina data kan till exempel försöka stjäla autentiseringsuppgifter eller installera skadlig kod för att äventyra ett konto. När de väl är inne i ditt AD kan de eskalera sina privilegier och förflytta sig lateralt genom systemet och få tillgång till dina känsliga data.
Det är därför det är viktigt att ha en bra Active Directory-säkerhet och se till att du konsekvent övervakar och granskar ändringar i AD så att du kan upptäcka potentiella attacker och reagera i rätt tid.
Gemensamma hot mot Active Directory-säkerheten
Då Active Directory har funnits så länge har angripare hittat flera sätt att utnyttja säkerhetsbrister.
Microsoft har varit proaktiv när det gäller att täppa till luckor i Active Directory-säkerheten, men angripare kommer alltid att hitta olika sätt att utnyttja systemet och människorna som använder det.
Hot mot Active Directory-säkerheten kan grovt sett delas in i två kategorier; systemsårbarheter och insiderhot.
Sårbarheter i systemet för Active Directory
Active Directory använder Kerberos-autentisering som har många sårbarheter, t.ex. Pass the Hash, Pass the Ticket, Golden Ticket och Silver Ticket. AD stöder också NTLM-kryptering, en kvarleva från den tid då NTLM-kryptering faktiskt användes i AD, trots att säkerheten var undermålig. Brute force-attacker är också en vanlig metod för angripare att tvinga sig in i AD.
Insiderhot i Active Directory
Det vanligaste sättet som din Active Directory-säkerhet sannolikt kringgås är genom insiderhot. Phishing-attacker, social ingenjörskonst och spear-phishing lyckas ofta med dina användare som inte är säkerhetsmedvetna, vilket gör det möjligt för angripare att få tillgång till ditt AD med stulna autentiseringsuppgifter.
Överdriven behörighet
Överdriven behörighet är också ett vanligt hot mot Active Directory-säkerheten, med användare som antingen är slarviga eller avsiktligt illasinnade med data som de inte ens borde ha haft tillgång till från första början.
Bästa metoder för Active Directory-säkerhet
För att effektivt motverka några av de sårbarheter och risker för Active Directory-säkerheten som vi har diskuterat i avsnittet ovan har AD-experterna här på Lepide sammanställt en lista över bästa metoder som du kan anta.
En sammanfattning av vår checklista för bästa praxis för Active Directory-säkerhet finns nedan:
- Hantera Active Directory Security Groups
- Rengör-Upprensning av inaktiva användarkonton i AD
- Övervaka lokala administratörer
- Använd inte GPO:er för att ställa in lösenord
- Auditera inloggningar till domänkontrollanter (DC)
- Säkerställ LSASS Protection
- Har en sträng lösenordspolicy
- Var försiktig med nästlade grupper
- Förhindra öppen åtkomst
- Audit Server Logon Rights
- Att anta principen av minsta privilegier för AD-säkerhet
- Backupera Active Directory och ha en metod för återställning
- Aktivera säkerhetsövervakning av Active Directory för tecken på intrång
- Auditera Active Directory-ändringar
Hantera Active Directory-säkerhetsgrupper
Medlemmar som tilldelats Active Directory-säkerhetsgrupper, t.ex. domän, Enterprise, och Schema Administrators får den högsta nivån av privilegier i en Active Directory-miljö. En angripare eller illvillig insider som är tilldelad en av dessa grupper har fritt spelrum i din AD-miljö och dina kritiska data.
Om du följer de bästa metoderna för Active Directory-säkerhetsgrupper, t.ex. genom att begränsa åtkomsten så långt det är möjligt till endast de användare som behöver den, kan du lägga till ytterligare ett lager av säkerhet i din AD-miljö.
För en omfattande lista över bästa praxis för Active Directory-säkerhetsgrupper, klicka här.
Rensa upp inaktiva användarkonton i AD
Inaktiva användarkonton utgör en allvarlig säkerhetsrisk för din Active Directory-miljö eftersom de ofta används av oseriösa administratörer och hackare för att få åtkomst till kritiska data utan att väcka misstanke.
Det är alltid en bra idé att hantera inaktiva användarkonton. Du kan förmodligen hitta ett sätt att hålla reda på inaktiva användarkonton med hjälp av PowerShell eller genom att använda en lösning som Lepide Active Directory Cleanup.
Bevaka lokala administratörer
Det är mycket viktigt för organisationer att veta vad lokala administratörer håller på med och hur deras åtkomst har beviljats. När man beviljar åtkomst till lokala administratörer är det viktigt att följa regeln om ”principen om minst privilegier”.
Använd inte GPO:er för att ställa in lösenord
Med hjälp av grupprincipobjekt (GPO:er) är det möjligt att skapa användarkonton och ställa in lösenord, inklusive lokala administratörers lösenord, i Active Directory.
Attackers eller illasinnade insiders kan utnyttja dessa GPO:er för att erhålla och dekryptera lösenordsdata utan förhöjda åtkomsträttigheter. Sådana eventualiteter kan få omfattande återverkningar i hela nätverket.
Detta understryker vikten av att se till att sysadmins har ett sätt att upptäcka och rapportera potentiella lösenordssårbarheter.
Audit Domain Controller (DC) Logons
Det är mycket viktigt att sysadmins har möjlighet att granska vem som loggar in på en Domain Controller för att skydda priviligierade användare och alla tillgångar som de har tillgång till.
Detta är en vanlig blind fläck för organisationer eftersom de tenderar att fokusera på företags- och domänadministratörer och glömmer att andra grupper kan ha olämpliga åtkomsträttigheter till domänkontrollanter.
Säkerställ LSASS-skydd
Med hjälp av hackerverktyg som Mimikatz kan angripare utnyttja LSASS-tjänsten (Local Security Authority Subsystem Service) för att ta fram användarens autentiseringsuppgifter, som sedan kan användas för att få åtkomst till tillgångar som är associerade med dessa autentiseringsuppgifter.
Har en sträng lösenordspolicy
Att ha en effektiv lösenordspolicy är avgörande för säkerheten i din organisation. Det är viktigt att användarna byter sina lösenord med jämna mellanrum. Lösenord som sällan eller aldrig ändras är mindre säkra eftersom det skapar större möjligheter för dem att bli stulna.
I bästa fall bör din organisation ha ett automatiserat system som låter lösenorden upphöra att gälla efter en viss tidsperiod. Dessutom är Lepide User Password Expiration Reminder ett användbart verktyg som automatiskt påminner Active Directory-användare när deras lösenord är nära sitt utgångsdatum.
Ett problem som många inte verkar kunna övervinna är att komplexa lösenord inte är lätta att komma ihåg. Detta leder till att användarna skriver ner lösenordet eller lagrar det på sin dator. För att lösa detta använder organisationer lösenfraser istället för lösenord för att öka komplexiteten utan att göra lösenorden omöjliga att komma ihåg.
Var försiktig med inbäddade grupper
Det är vanligt att administratörer bäddar in grupper i andra grupper som ett sätt att snabbt organisera gruppmedlemskap. En sådan nesting av grupper utgör dock en utmaning för administratörer eftersom det är svårare för dem att ta reda på vem som har tillgång till vilken grupp och varför.
Det är viktigt att du kan identifiera vilka grupper som har det högsta antalet nested groups och hur många nivåer av nesting en grupp har. Det är också viktigt att veta vem, vad, var och när grupprincipändringar sker.
Hantera öppen åtkomst
Det är vanligt att välkända säkerhetsidentifierare som Alla, Autentiserade användare och Domänanvändare används för att ge olämpliga användarprivilegier till nätverksresurser, t.ex. fildelningar. Användningen av dessa säkerhetsidentifierare kan göra det möjligt för hackare att utnyttja organisationens nätverk, eftersom de får tillgång till ett stort antal användarkonton.
Audit Server Logon Rights
Lokala säkerhetsprinciper styrs av Group Policy via ett antal tilldelningar av användarrättigheter, bland annat:
- Allow log on locally
- Log on as a batch job
- Allow log on through Remote Desktop Services
- Log on as a service etc.
Dessa tilldelningar gör det möjligt för icke-administratörer att utföra funktioner som vanligtvis är begränsade till administratörer. Om dessa funktioner inte analyseras, begränsas och granskas noggrant kan angripare använda dem för att äventyra systemet genom att stjäla autentiseringsuppgifter och annan känslig information.
Anta principen om minsta privilegier för AD-säkerhet
Principen om minsta privilegier är idén att användarna endast ska ha de minsta åtkomsträttigheter som krävs för att utföra sina arbetsuppgifter – allt som är mer än så anses vara överdrivet.
Du bör granska din Active Directory för att fastställa vem som har tillgång till dina känsligaste data och vilka av dina användare som har förhöjda privilegier. Du bör sträva efter att begränsa behörigheter för alla som inte behöver dem.
Backupera din Active Directory och ha en metod för återställning
Det rekommenderas att du säkerhetskopierar din Active Directory regelbundet, med intervaller som inte överstiger 60 dagar. Detta beror på att livslängden för AD-gravarobjekt som standard är 60 dagar. Du bör sträva efter att inkludera din AD-backup i din katastrofåterställningsplan så att du kan förbereda dig för eventuella katastrofala händelser. Som en allmän regel bör minst en domänkontrollant säkerhetskopieras.
Du kanske vill överväga att använda en mer sofistikerad återställningslösning som hjälper dig att säkerhetskopiera och återställa AD-objekt till deras ursprungliga tillstånd. Om du använder lösningar i stället för att förlita dig på de ursprungliga återställningsmetoderna kan du spara massor av tid.
Aktivera säkerhetsövervakning av Active Directory för tecken på kompromiss
Att kunna proaktivt och kontinuerligt granska och övervaka Active Directory gör det möjligt för dig att upptäcka tecken på ett intrång eller en kompromiss. I de flesta fall kan allvarliga säkerhetsöverträdelser undvikas genom användning av övervakningslösningar.
Nyligen genomförda undersökningar har visat att trots att det finns bevis för att övervakning bidrar till att förbättra säkerheten, gör mer än 80 % av organisationerna det fortfarande inte aktivt.
Audit Active Directory-ändringar
Det är av avgörande betydelse att du måste hålla reda på alla ändringar som görs i Active Directory. Varje oönskad eller obehörig ändring kan orsaka allvarlig skada på din Active Directory-säkerhet.
Hur man säkrar Active Directory med Lepide
Med vår lösning för granskning och övervakning av Active Directory på Lepide kan du få en praktisk inblick i realtid i de ändringar som görs i din Active Directory. Du kommer att kunna upptäcka tecken på kompromiss i realtid och vidta åtgärder snabbare för att förhindra potentiellt katastrofala incidenter.
Om du letar efter en Active Directory-granskningslösning som ger varningar i realtid och fördefinierade rapporter är det värt att kolla in Lepide Active Directory Auditor. Den levereras med en 15-dagars gratis provperiod så att du kan utvärdera lösningen.