Active Directory чөйрөңүздү коргоо

Active Directory IT инфраструктурасында маанилүү ролду ойнойт жана глобалдык өз ара байланышкан чөйрөдө ар кандай тармак ресурстарынын ырааттуулугун жана коопсуздугун камсыз кылат. 

Чабуулчулар критикалык жана купуя маалыматтарга кирүүгө уруксат берүүдөгү ролунан улам Active Directory кызматтарын бузууга тынымсыз аракет кылышат.

Уюмдар кеңейген сайын, алардын инфраструктурасы татаалдашып, аларды кол салууга ого бетер аялуу кылат, анткени системанын маанилүү өзгөрүүлөрүнө, окуяларга жана уруксаттарга көз салуу барган сайын кыйындай баштайт.

Кошумчалай кетсек, уюмдар үчүн алардын купуя маалыматтары кайда экенин жана бул маалыматтарды коргоо үчүн эң ылайыктуу коопсуздук саясатынын түрүн аныктоо барган сайын кыйын болуп баратат.

Бул макалада биз Active Directory чөйрөңүздүн жалпы коопсуздугун жакшыртууга жардам бере турган кээ бир Active Directory мыкты тажрыйбаларын карап чыгабыз.

Талкууланган AD айлана-чөйрөнү коргоо ыкмалары негизинен Microsoft IT жана башка Microsoft бизнес бөлүмдөрүнүн активдерин коргоо үчүн жооптуу болгон Microsoft Маалыматтык Коопсуздук жана Тобокелдиктерди Башкаруу (ISRM) уюмунун тажрыйбасына негизделген, ошондой эле Microsoft Global компаниясынын тандалган санын сунуштайт. 500 кардарлар.

Эмне үчүн Active Directory коопсуздугу маанилүү

Көптөгөн уюмдарда Active Directory бул тармакка кирүүнү ырастаган жана уруксат берген борборлоштурулган система. Булут же гибрид чөйрөлөрүндө да бул ресурстарга жетүүнү камсыз кылган борборлоштурулган система болушу мүмкүн. Документке онлайн, OneDrive, тармактык принтерге басып чыгаруу, Интернетке кирүүдө, электрондук почтаны текшерүүдө ж.

Active Directory көп убакыттан бери иштеп келе жатат жана көп жылдар бою чабуулчулар системанын алсыз жерлерин жана аларды кантип пайдаланууну табышты. Алсыздыктардан тышкары, хакерлерге колдонуучунун эсептик дайындарын жөн эле уурдап же алуу оңой болуп калат, бул аларга сиздин маалыматтарыңызга кирүү мүмкүнчүлүгүн берет. Эгер алар сиздин компьютериңизге же логиниңизге кире алса, анда алар Active Directory жана тармагыңызга толук кире алышат.

Эми Active Directory коопсуздугу боюнча мыкты тажрыйбалардын тизмесине кирип көрөлү.

1. IT чөйрөңүздү баш аламандыктан тазалаңыз

Active Directory'иңизди коргоонун биринчи кадамы - чабуулдун бетин азайтуу. Бул жерде Active Directory коопсуздуктун бир нече мыкты тажрыйбалары жардам берет, анын ичинде төмөнкүлөр:

1. Активдүү каталогуңузду иретке келтириңиз.
2. Үзгүлтүксүз тазалоону оптималдаштыруу жана автоматташтыруу.
3. Жамаатты башкарууну да, алсыздыкты башкарууну да ишке ашырыңыз.
4. Алсыз аутентификация протоколдорунан алыс болуңуз.
5. Домен контроллерлоруңузду коргоңуз.
   • Ар бир домен контроллерине жергиликтүү администратордун укуктарын чектеп, онлайн кире турган эсептердин санын азайтыңыз. Кошумчалай кетсек, домен контроллерине кире алган бардык аккаунттар үчүн сырсөздүн күчүн жана жарактуулук эрежелерин так сактаңыз.
   • Домен контроллеринин иштеши жана коопсуздугу үчүн зарыл болгон колдонмолорду жана кызматтарды гана орнотуңуз.
   • Бардык домен контроллерлоруңузга тармакка кирүүнү азайтыңыз жана домен контроллерине Интернетке кирүүгө эч качан уруксат бербеңиз.
   • Бардык домен контроллерлоруна физикалык жетүүнү катуу көзөмөлдөө.

2. Мүмкүн болгон эң аз артыкчылыкты камсыз кылуу

Чабуул бети кыскартуунун дагы бир ачкычы - эң аз артыкчылык принцибин сактоо. Чынында, эң аз артыкчылык балким, бардык Active Directory коопсуздук мыкты тажрыйбаларынын эң негизгиси болуп саналат. Ар бир колдонуучуга өз ишин аткарууга так мүмкүнчүлүк берүү менен, сиз колдонуучу атайылап же кокустан келтире турган зыянды чектейсиз. Кошумчалай кетсек, сиз эсепти бузуп жаткан чабуулчунун колуна тийген күчтү, анын ичинде программалык камсыздоонун инфекциялары канчалык жайыла аларын чектейсиз. талап-тоноочулар каттоо эсебиңизди колдонуу.

3. Жогорку артыкчылыктуу эсептерге көңүл буруңуз

Сезимтал системаларга жана маалыматтарга кирүү мүмкүнчүлүгү бар каттоо эсептери Active Directory'иңизди коргоо үчүн эң аз артыкчылыктарды катуу аткаруудан тышкары, кошумча көзөмөлдү талап кылат. Бул администратордун эсептик жазууларын жана көптөгөн кызмат эсептерин камтыйт:

1. Administrator Accounts
2. Кызмат эсептери

4. Кол салуу жолун башкарууну жана чабуулдун жолун көзөмөлдөөнү ишке ашыруу

AD топтордун башка топтордун мүчөлөрү болууга мүмкүндүк берет, ал эми уя салуу бир нече деңгээлде болушу мүмкүн (А тобу В тобунун мүчөсү, ал С тобунун мүчөсү). Атүгүл бир домендин бөлүгү болбогон топторду уялай аласыз. Мурунку Windows Server түзүмдөрүнүн жылдарындагы техникалык карызды, IT кызматкерлеринин жогорку алмашуусун жана AD коопсуздук боюнча адистердин глобалдык жетишсиздигин кошуңуз, натыйжада көбүнчө өтө татаал Active Directory пайда болот, ал жогорку тобокелдикке дуушар болот, анткени аны так аныктоо дээрлик мүмкүн эмес. чөйрөңүздө кимдин уруксаты жогору.

Андан да коркунучтуусу, чабуулчулар өз уруксаттарын оңой эле көбөйтө алышат. Чынында, көптөгөн IT чөйрөлөрүндө кадимки колдонуучунун аккаунтун бузган чабуулчу көп учурда бир нече кадам менен домендин администратору боло алат. Бул чабуул жолдорун түшүнүүнүн жана бөгөттөөнүн бирден-бир жолу - чабуул жолун башкаруу жана чабуул жолун көзөмөлдөө.

5. Бир нече булактардан аудитордук маалыматтарды чогултуу жана консолидациялоо.

Жогоруда сүрөттөлгөн стратегияларды колдонуу Active Directoryңызды коргоого жардам берүү үчүн чабуулдун бети бир кыйла азайтат. Бирок эң мыкты коопсуздук стратегиясы да эч кандай чабуулчу сиздин тармагыңызга кирбейт деп кепилдик бере албайт, же бир дагы инсайдер өз артыкчылыктарын атайылап колдонбойт же иштебей калууга же маалыматтарды жоготууга алып келген олуттуу ката кетирбейт.

Ошондуктан, сиз да IT чөйрөсүндөгү иш жөнүндө ар тараптуу аудит маалыматтарды чогултуу керек. Microsoft журналдары көптөгөн баалуу маалыматтарды камтыйт, бирок алар Active Directoryди коргоо үчүн жетишсиз. Сиз ошондой эле системалык журналдарда камтылбаган аудитордук маалыматты чогултушуңуз керек. Мисалы, проприетардык журналдар көбүнчө өзгөрүү болгонун жазышат, бирок ким, эмне, качан, кайда жана жумушчу станция жөнүндө маанилүү маалымат эмес, же баалуулуктарга чейин жана кийин маанилүү.

6. Шектүү иш-аракеттерди тез арада аныктоо жана иликтөө.

Издөө керек болгон шектүү иш-аракеттердин эң маанилүү түрлөрүнүн бири артыкчылыктарды жогорулатуу аракеттери болуп саналат. Чабуулчулар үчүн жогорулатылган артыкчылыктарга ээ болуунун кеңири таралган жолу - орнотулган администратор топторуна мүчө болуу. Эң таасирдүү топторго ишкана администраторлору, схема администраторлору жана домен администраторлору кирет. Бирок администраторлор, резервдик көчүрүү операторлору, кубаттуу колдонуучулар жана Hyper-V администраторлору сыяктуу жергиликтүү Windows тутумунун деңгээлиндеги топторго кылдат көз салуу да бирдей маанилүү. Кол салгандар артыкчылыктуу топторго түз өзгөртүүлөрдү киргизүү менен гана эмес (аларга өздөрүнүн коопсуздук журналдарында байкоо жүргүзүүгө болот), ошондой эле өздөрүн уяланган топторго мүчө катары кошуу менен (Windows серверлери кирбейт) артыкчылыктарын жогорулата аларын эске алыңыз. 

7. Серверге кирүү укуктарынын аудити

Жергиликтүү коопсуздук саясаттары Group Policy тарабынан бир катар колдонуучу укуктарын дайындоо аркылуу көзөмөлдөнөт, анын ичинде:

1. Жергиликтүү кирүүгө уруксат берүү
2. Пакеттик жумуш катары кириңиз
3. Remote Desktop Services аркылуу кирүүгө уруксат бериңиз
4. Кызмат катары кирүү ж.б.

Бул дайындоолор администратор эмес колдонуучуларга адатта администраторлор үчүн гана жеткиликтүү болгон функцияларды аткарууга мүмкүндүк берет. Эгерде бул өзгөчөлүктөр талданбаса, чектелбесе жана кылдат текшерилбесе, чабуулчулар аларды эсептик дайындарды жана башка купуя маалыматты уурдоо жолу менен системаны бузуу үчүн колдонушу мүмкүн.

8. Active Directory камдык көчүрмөсүн жана калыбына келтирүү ыкмасын даярдоо

Active Directory резервдик көчүрмөлөрүн 60 күндөн ашпаган аралыкта үзгүлтүксүз түзүү сунушталат. Себеби AD мүрзөдөгү объектилердин демейки иштөө мөөнөтү 60 күн. Сиз ар кандай катастрофалык окуяларга даярданууга жардам берүү үчүн кырсыктан калыбына келтирүү планыңызга AD камдык көчүрмөсүн кошууга аракет кылышыңыз керек. Эреже катары, сиз жок дегенде бир домен контролеринин камдык көчүрмөсүн сакташыңыз керек.

Сиз камдык көчүрмөсүн сактоого жана AD объектилерин баштапкы абалына келтирүүгө жардам бере турган татаалыраак калыбына келтирүү чечимин колдонууну кааласаңыз болот. Өзүңүздүн калыбына келтирүү ыкмаларыңызга таянуунун ордуна чечимдерди колдонуу узак мөөнөттүү келечекте көп убакытты үнөмдөйт.

9. Компромисс белгилери үчүн Active Directory коопсуздук мониторингин иштетүү

Проактивдүү жана үзгүлтүксүз текшерүү жана Active Directoryге мониторинг жүргүзүү мүмкүнчүлүгү бузуунун же компромисстин белгилерин аныктоого мүмкүндүк берет. Көпчүлүк учурларда, олуттуу коопсуздук бузууларды мониторинг чечимдерди колдонуу менен качууга болот.

Акыркы сурамжылоолор көрсөткөндөй, мониторинг коопсуздукту жакшыртууга жардам берет деген далилдерге карабастан, 80% уюмдары дагы эле аны жигердүү колдонушпайт.

10. Жалпыга жеткиликтүүлүктү алып салуу

Ар бир адам, аныктыгы текшерилген колдонуучулар жана домен колдонуучулары сыяктуу белгилүү коопсуздук идентификаторлору, адатта, файл бөлүшүү сыяктуу тармак ресурстары аркылуу колдонуучуларга туура эмес артыкчылыктарды берүү үчүн колдонулат. Бул SIDдерди колдонуу хакерлерге уюмдун тармагын эксплуатациялоого мүмкүндүк берет, анткени алар көп сандагы колдонуучу эсептерине кире алышат.

Корутунду

Бул жерде айтылган мыкты тажрыйбаларды аткаруу сизге Active Directoryди коргоого жардам берет. Бирок, коопсуздук бир жолку конфигурация окуясы эмес, туруктуу процесс экенин унутпаңыз. Шектүү аракеттерди жигердүү текшерүүдөн тышкары, коопсуздук тобуна мүчөлүктөрдү мезгил-мезгили менен карап чыгыңыз, жигердүү эмес жана өчүрүлгөн эсептерди тазалаңыз, тутумдар жаңыртылган жана туура конфигурацияланган, чөйрөңүздөгү чабуул жолдорун аныктап, азайтыңыз. Эгер сиз Active Directoryңызды коргоо үчүн мындан да ары баргыңыз келсе, ойлонуп көрүңүз Zero Trust моделин ишке ашыруу. Суроолоруңуз болсо, Биз менен байланыш. Fanetech Казакстандагы Microsoftтун алтын өнөктөшү.