Active Directory ортаңызды қорғау

Active Directory АТ инфрақұрылымында маңызды рөл атқарады және жаһандық өзара байланысты ортада әртүрлі желілік ресурстардың жүйелілігі мен қауіпсіздігін қамтамасыз етеді. 

Шабуылшылар маңызды және құпия деректерге рұқсат берудегі рөліне байланысты Active Directory қызметтерін бұзуға үнемі әрекет жасайды.

Ұйымдар кеңейген сайын олардың инфрақұрылымы күрделене түседі, бұл оларды шабуылға әлдеқайда осал етеді, өйткені маңызды жүйе өзгерістерін, оқиғаларды және рұқсаттарды бақылау қиындай түседі.

Бұған қоса, ұйымдар үшін құпия деректердің қай жерде орналасқанын және сол деректерді қорғау үшін ең қолайлы қауіпсіздік саясатының түрін анықтау қиындай түсуде.

Бұл мақалада біз Active Directory ортасының жалпы қауіпсіздігін жақсартуға көмектесетін кейбір Active Directory ең жақсы тәжірибелерін қарастырамыз.

Талқыланған AD ортасын қорғау әдістері негізінен Microsoft АТ және басқа Microsoft бизнес бөлімшелерінің активтерін қорғауға жауап беретін, сондай-ақ Microsoft Global компаниясының таңдаулы санына кеңес беретін Microsoft ақпараттық қауіпсіздік және тәуекелдерді басқару (ISRM) ұйымының тәжірибесіне негізделген. 500 клиент.

Неліктен Active Directory қауіпсіздігі маңызды?

Көптеген ұйымдарда Active Directory желіге кіруді аутентификациялайтын және авторизациялайтын орталықтандырылған жүйе болып табылады. Бұлтты немесе гибридті орталарда да бұл ресурстарға қол жеткізуді қамтамасыз ететін орталықтандырылған жүйе болуы мүмкін. Құжатқа онлайн, OneDrive, желілік принтерге басып шығару, Интернетке кіру, электрондық поштаны тексеру және т.б. кезінде осы ресурстардың барлығы сізге кіру рұқсатын беру үшін жиі Active Directory арқылы өтеді.

Active Directory бұрыннан бар және көптеген жылдар бойы шабуылдаушылар жүйедегі осалдықтарды және оларды қалай пайдалану керектігін анықтады. Осалдықтардан басқа, хакерлерге пайдаланушы тіркелгі деректерін ұрлау немесе алу өте оңай болады, содан кейін оларға деректеріңізге қол жеткізуге болады. Егер олар сіздің компьютеріңізге немесе логиніңізге қол жеткізе алса, олар Active Directory мен желіңізге толық қатынаса алады.

Енді Active Directory қауіпсіздігінің ең жақсы тәжірибелерінің тізіміне енейік.

1. АТ ортаңызды бейберекеттен тазартыңыз

Active Directory-ті қорғаудың бірінші қадамы шабуылдың бетін азайту болып табылады. Бірнеше Active Directory қауіпсіздік тәжірибесі осында көмектесе алады, соның ішінде мыналар:

1. Белсенді каталогыңызды ретке келтіріңіз.
2. Ағымдағы тазалауды оңтайландыру және автоматтандыру.
3. Патчты басқаруды да, осалдықты басқаруды да іске асырыңыз.
4. Әлсіз аутентификация протоколдарынан аулақ болыңыз.
5. Домен контроллерлерін қорғаңыз.
   • Әрбір домен контроллерінде жергілікті әкімші құқықтарын шектеңіз және желіде жүйеге кіре алатын тіркелгілердің санын азайтыңыз. Сонымен қатар, домен контроллеріне кіре алатын барлық тіркелгілер үшін құпия сөз күші мен жарамдылық мерзімінің аяқталу нұсқауларын қатаң ұстаныңыз.
   • Домен контроллерінің жұмыс істеуі мен қауіпсіздігі үшін қажет қолданбалар мен қызметтерді ғана орнатыңыз.
   • Барлық домен контроллерлеріне желіге кіру мүмкіндігін азайтыңыз және ешқашан домен контроллеріне Интернетке кіруге рұқсат бермеңіз.
   • Барлық домен контроллерлеріне физикалық қол жеткізуді қатаң бақылаңыз.

2. Мүмкін болатын ең аз артықшылықты қамтамасыз етіңіз

Шабуыл бетін азайтудың тағы бір кілті - ең аз артықшылық принципін ұстану. Шынымен, ең аз артықшылық барлық Active Directory қауіпсіздік тәжірибелерінің ең негізгісі болуы мүмкін. Әрбір пайдаланушыға өз жұмысын орындау үшін қажет рұқсат беру арқылы, артық немесе кем емес, пайдаланушы әдейі немесе кездейсоқ келтіретін зиянды шектейсіз. Сонымен қатар, сіз есептік жазбаның оған қауіп төндіретін шабуылдаушының қолына беретін қуатын шектейсіз, соның ішінде бағдарламалық жасақтаманың инфекциясы қаншалықты таралатынын. бопсалаушылар тіркелгіңізді пайдалану.

3. Жоғары артықшылықты шоттарға назар аударыңыз

Сезімтал жүйелер мен деректерге қатынасы бар тіркелгілер Active Directory-ті қорғау үшін ең аз артықшылықтарды қатаң түрде орындауға қосымша қосымша басқару элементтерін қажет етеді. Бұған әкімші тіркелгілері де, көптеген қызмет тіркелгілері де кіреді:

1. Әкімші тіркелгілері
2. Қызметтік тіркелгілер

4. Шабуыл жолын басқаруды және шабуыл жолын бақылауды жүзеге асыру

AD топтарға басқа топтардың мүшелері болуға мүмкіндік береді және ұя салу бірнеше деңгейлі болуы мүмкін (А тобы В тобының мүшесі, ол С тобының мүшесі). Сіз тіпті бір доменнің бөлігі емес топтарды кірістіре аласыз. Windows Server жүйесінің алдыңғы құрастырылымдарынан жылдар бойына техникалық қарызды, АТ персоналының жоғары айналымын және AD қауіпсіздігі бойынша мамандардың жаһандық тапшылығын қосыңыз және нәтиже көбінесе жоғары тәуекелге ұшырайтын өте күрделі Active Directory болып табылады, себебі дәл анықтау мүмкін емес. ортаңызда рұқсаттары жоғарылаған.

Одан да қорқыныштысы, шабуылдаушылар өз рұқсаттарын байқамай-ақ оңай арттыра алады. Шындығында, көптеген АТ орталарында қарапайым пайдаланушының тіркелгісін бұзатын шабуылдаушы бірнеше қадамда жиі домен әкімшісі бола алады. Бұл шабуыл жолдарын түсіну және блоктаудың жалғыз жолы - шабуыл жолын басқару және шабуыл жолын бақылау.

5. Бірнеше көздерден аудит деректерін жинаңыз және біріктіріңіз.

Жоғарыда сипатталған стратегияларды пайдалану Active Directory каталогын қорғауға көмектесу үшін шабуыл бетін айтарлықтай азайтады. Бірақ ең жақсы қауіпсіздік стратегиясының өзі ешбір шабуылдаушы сіздің желіңізге ешқашан кірмейтініне немесе ешбір инсайдер ешқашан өздерінің артықшылықтарын әдейі пайдаланбайтынына немесе тоқтап қалуға немесе деректердің жоғалуына әкелетін елеулі қателік жасамайтынына кепілдік бере алмайды.

Сондықтан АТ ортаңыздағы әрекет туралы жан-жақты аудит деректерін жинауыңыз қажет. Microsoft журналдары көптеген құнды ақпаратты қамтиды, бірақ олар Active Directory қорғау үшін жеткіліксіз. Сондай-ақ жүйе журналдарында жазылмаған маңызды аудит ақпаратын жинау керек. Мысалы, меншік журналдары жиі өзгеріс болғанын жазады, бірақ кім, не, қашан, қайда және жұмыс станциясы туралы маңызды ақпарат емес немесе мәндерге дейінгі және кейінгі маңызды ақпарат емес.

6. Күдікті әрекетті дереу анықтау және тексеру.

Күдікті әрекеттің ең маңызды түрлерінің бірі артықшылықты арттыру әрекеттері болып табылады. Шабуыл жасаушылардың жоғары артықшылықтарға ие болуының ортақ жолы - кірістірілген әкімші топтарының мүшелері болу. Ең ықпалды топтарға кәсіпорын әкімшілері, схема әкімшілері және домен әкімшілері кіреді. Бірақ әкімшілер, сақтық көшірме операторлары, қуатты пайдаланушылар және Hyper-V әкімшілері сияқты жергілікті Windows жүйесі деңгейіндегі топтарға мұқият бақылау жасау бірдей маңызды. Шабуылдаушылар артықшылықты топтарға тікелей өзгертулер енгізіп қана қоймай (оларды өздерінің қауіпсіздік журналдарында бақылауға болады), сонымен қатар өздерін кірістірілген топтарға мүше ретінде қосу арқылы (Windows серверлері журналға кірмейтін) артықшылықтарды арттыра алатынын ескеріңіз. 

7. Серверге кіру құқықтарының аудиті

Жергілікті қауіпсіздік саясаттары топтық саясатпен бірқатар пайдаланушы құқықтарын тағайындау арқылы бақыланады, соның ішінде:

1. Жергілікті кіруге рұқсат беріңіз
2. Пакеттік тапсырма ретінде кіріңіз
3. Қашықтағы жұмыс үстелі қызметтері арқылы кіруге рұқсат беріңіз
4. Қызмет ретінде кіру және т.б.

Бұл тағайындаулар әкімші емес пайдаланушыларға әдетте тек әкімшілерге қолжетімді функцияларды орындауға мүмкіндік береді. Егер бұл мүмкіндіктер талданбаса, шектелмесе және мұқият тексерілмесе, шабуылдаушылар оларды тіркелгі деректерін және басқа құпия ақпаратты ұрлау арқылы жүйені бұзу үшін пайдалана алады.

8. Active Directory сақтық көшірмесін жасаңыз және қалпына келтіру әдісін дайындаңыз

Active Directory сақтық көшірмелерін 60 күннен аспайтын аралықпен жүйелі түрде жасау ұсынылады. Себебі AD құлпытас нысандарының әдепкі қызмет ету мерзімі 60 күн. Кез келген апатты оқиғаларға дайындалуға көмектесу үшін апатты қалпына келтіру жоспарына AD сақтық көшірмесін қосуға тырысуыңыз керек. Әдетте, кем дегенде бір домен контроллерінің сақтық көшірмесін жасау керек.

AD нысандарының сақтық көшірмесін жасауға және бастапқы күйіне қайтаруға көмектесетін күрделірек қалпына келтіру шешімін пайдалануды қарастырғыңыз келуі мүмкін. Өз қалпына келтіру әдістеріне сенудің орнына шешімдерді пайдалану ұзақ мерзімді перспективада сізге көп уақытты үнемдейді.

9. Мәміле белгілері үшін Active Directory қауіпсіздік бақылауын қосыңыз

Active Directory қызметін белсенді және үздіксіз тексеру және бақылау мүмкіндігі бұзушылық немесе компромисс белгілерін анықтауға мүмкіндік береді. Көп жағдайда бақылау шешімдерін қолдану арқылы елеулі қауіпсіздік бұзушылықтарын болдырмауға болады.

Жақында жүргізілген сауалнамалар мониторинг қауіпсіздікті жақсартуға көмектесетін дәлелдерге қарамастан, 80%-ден астам ұйымдар оны әлі де белсенді түрде пайдаланбайтынын көрсетті.

10. Жалпыға қолжетімділікті жою

Барлығы, Түпнұсқалығы расталған пайдаланушылар және Домен пайдаланушылары сияқты белгілі қауіпсіздік идентификаторлары әдетте файлды бөлісу сияқты желі ресурстары арқылы пайдаланушыларға орынсыз артықшылықтарды беру үшін пайдаланылады. Бұл SID пайдалану хакерлерге ұйымның желісін пайдалануға мүмкіндік беруі мүмкін, себебі олар пайдаланушы тіркелгілерінің үлкен санына қол жеткізе алады.

Қорытынды

Мұнда сипатталған ең жақсы тәжірибелерді орындау Active Directory қызметін қорғауға көмектеседі. Дегенмен, қауіпсіздік бір реттік конфигурация оқиғасы емес, тұрақты процесс екенін есте сақтаңыз. Күдікті әрекетті белсенді түрде тексеруден басқа, қауіпсіздік тобының мүшеліктерін мерзімді түрде қарап шығыңыз, белсенді емес және өшірілген тіркелгілерді тазалаңыз, жүйелердің түзетілгенін және дұрыс конфигурацияланғанын тексеріңіз және ортаңыздағы шабуыл жолдарын анықтаңыз және азайтыңыз. Егер сіз Active Directory каталогын қорғауды іздестіруде одан әрі жүргіңіз келсе, қарастырыңыз Zero Trust моделін енгізу. Сұрақтарыңыз болса, Бізбен байланысыңыз. Fanetech – Microsoft корпорациясының Қазақстандағы алтын серіктесі.