Active Directory играет важнейшую роль в ИТ-инфраструктуре и обеспечивает согласованность и безопасность различных сетевых ресурсов в глобальной взаимосвязанной среде.
Злоумышленники настойчиво пытаются скомпрометировать службы Active Directory из-за их роли в авторизации доступа к критически важным и конфиденциальным данным.
По мере расширения организаций их инфраструктура становится все более сложной, что делает их гораздо более уязвимыми для атак, поскольку становится все труднее отслеживать важные системные изменения, события и разрешения.
Кроме того, организациям становится все труднее определить, где находятся их конфиденциальные данные, и тип политики безопасности, наиболее подходящий для защиты этих данных.
В этой статье мы рассмотрим некоторые передовые методы Active Directory, которые помогут вам улучшить общую безопасность вашей среды Active Directory.
Обсуждаемые методы защиты среды AD в значительной степени основаны на опыте организации Microsoft Information Security and Risk Management (ISRM), которая отвечает за защиту активов Microsoft IT и других бизнес-подразделений Microsoft, а также консультирует определенное количество клиентов Microsoft Global 500.
Почему важна защита Active Directory
Во многих организациях Active Directory является централизованной системой, которая аутентифицирует и авторизует доступ к сети. Даже в облачных или гибридных средах это может быть централизованная система, предоставляющая доступ к ресурсам. При доступе к документу в сети, OneDrive, печати на сетевом принтере, доступе в Интернет, проверке электронной почты и т. д. все эти ресурсы часто проходят через Active Directory, чтобы предоставить вам доступ.
Active Directory существует уже давно, и за прошедшие годы злоумышленники обнаружили уязвимости в системе и способы их использования. В дополнение к уязвимостям хакерам становится очень легко просто украсть или получить учетные данные пользователя, которые затем предоставляют им доступ к вашим данным. Если они могут получить доступ к вашему компьютеру или вашему логину, то потенциально они могут получить полный доступ к Active Directory и вашей сети.
Теперь давайте углубимся в список рекомендаций по безопасности Active Directory.
1. Очистите ИТ-среду от лишнего
Первый шаг к защите вашей Active Directory — уменьшение зоны атаки. Здесь могут помочь несколько лучших практик безопасности Active Directory, в том числе следующие:
- Наведите порядок в Active Directory.
- Оптимизируйте и автоматизируйте текущую очистку.
- Реализуйте как управление исправлениями, так и управление уязвимостями.
- Избегайте слабых протоколов аутентификации.
- Защитите свои контроллеры домена.
- Ограничьте права локального администратора на каждом контроллере домена и сведите к минимуму количество учетных записей, которые могут входить в систему в интерактивном режиме. Кроме того, строго придерживайтесь рекомендаций по сложности паролей и сроку действия для всех учетных записей, которые могут получить доступ к контроллеру домена.
- Устанавливайте только те приложения и службы, которые необходимы для функционирования и безопасности контроллера домена.
- Сведите к минимуму сетевой доступ ко всем вашим контроллерам домена и никогда не разрешайте контроллеру домена доступ в Интернет.
- Жестко контролируйте физический доступ ко всем контроллерам домена.
2. Обеспечте наименьшие возможные привилегии
Еще одним ключом к уменьшению площади поверхности атаки является соблюдение принципа наименьших привилегий. Действительно, наименьшие привилегии , возможно, являются наиболее фундаментальными из всех лучших практик безопасности Active Directory. Предоставляя каждому пользователю именно тот доступ, который ему необходим для выполнения его работы, не больше и не меньше, вы ограничиваете ущерб, который пользователь может нанести преднамеренно или случайно. Кроме того, вы ограничиваете силу, которую учетная запись передает в руки злоумышленника, который ее скомпрометирует, в том числе то, насколько далеко может распространяться заражение программами- вымогателями с использованием учетной записи.
3. Обратите внимание на учетные записи с высоким уровнем привилегий
Учетные записи, имеющие доступ к конфиденциальным системам и данным, требуют дополнительных средств контроля в дополнение к строгому обеспечению минимальных привилегий, чтобы защитить вашу Active Directory. Сюда входят как учетные записи администратора, так и многие сервисные учетные записи:
- Учетные записи администратора
- Сервисные аккаунты
4. Внедрите управление путями атаки и мониторинг путей атаки
AD позволяет группам быть членами других групп, а вложенность может иметь несколько уровней (группа A является членом группы B, которая является членом группы C). Вы даже можете вкладывать группы, которые не являются частью одного и того же домена. Добавьте годы технического долга из-за предыдущих сборок Windows Server, высокую текучесть ИТ-персонала и глобальную нехватку специалистов по безопасности AD, и в результате часто получается очень сложная Active Directory, подверженная высокому риску, поскольку ее почти невозможно точно определить. кто имеет повышенные разрешения в вашей среде.
Еще более тревожным является то, что злоумышленники могут легко повысить свои разрешения, не будучи замеченными. Фактически, во многих ИТ-средах злоумышленник, взломавший учетную запись обычного пользователя, часто может стать администратором домена всего за несколько шагов. Единственный способ понять и заблокировать эти пути атаки — это управление путями атаки и мониторинг путей атаки.
5. Собирайте и консолидируйте данные аудита из нескольких источников.
Использование описанных выше стратегий может значительно уменьшить зону атаки, чтобы помочь защитить вашу Active Directory. Но даже самая лучшая стратегия защиты не может гарантировать, что ни один злоумышленник не проникнет в вашу сеть или что ни один инсайдер никогда не воспользуется своими привилегиями преднамеренно или не совершит серьезную ошибку, которая приведет к простою или потере данных.
Поэтому вам также необходимо собирать комплексные данные аудита об активности в вашей ИТ-среде. Журналы Microsoft содержат много ценной информации, но ее недостаточно для защиты Active Directory. Вам также необходимо собирать критическую информацию аудита, которая не регистрируется в системных журналах. Например, собственные журналы часто записывают, что изменение произошло, но не критические сведения о том, кто, что, когда, где и рабочая станция, или важные значения до и после.
6. Оперативно выявляйте и расследуйте подозрительную активность.
Одним из наиболее важных типов подозрительной активности, которую следует искать, являются попытки повышения привилегий. Распространенный способ получения повышенных привилегий злоумышленниками — стать членами встроенных групп администраторов. Наиболее влиятельные группы включают администраторов предприятия, администраторов схемы и администраторов домена. Но не менее важно внимательно следить за группами на уровне локальной системы Windows, такими как администраторы, операторы резервного копирования, опытные пользователи и администраторы Hyper-V. Обратите внимание, что злоумышленники могут повышать свои привилегии, не только внося прямые изменения в привилегированные группы (что можно отследить в собственных журналах безопасности), но и добавляя себя в качестве членов во вложенные группы (которые серверы Windows не регистрируют).
7. Аудит прав входа на сервер
Локальные политики безопасности контролируются групповой политикой через ряд назначений прав пользователей, в том числе:
- Разрешить локальный вход
- Войдите в систему как пакетное задание
- Разрешить вход через службы удаленных рабочих столов
- Войти как сервис и т.д.
Эти назначения позволяют пользователям, не являющимся администраторами, выполнять функции, которые обычно доступны только администраторам. Если эти функции не будут проанализированы, ограничены и тщательно проверены, злоумышленники могут использовать их для компрометации системы путем кражи учетных данных и другой конфиденциальной информации.
8. Сделайте резервную копию Active Directory и подготовьте метод восстановления
Рекомендуется регулярно создавать резервные копии Active Directory с интервалами, не превышающими 60 дней. Это связано с тем, что время жизни объектов-захоронений AD по умолчанию составляет 60 дней. Вы должны стремиться включить резервную копию AD в свой план аварийного восстановления, чтобы помочь вам подготовиться к любым катастрофическим событиям. Как правило, необходимо создать резервную копию хотя бы одного контроллера домена.
Вы можете рассмотреть возможность использования более сложного решения для восстановления, которое поможет вам создавать резервные копии и восстанавливать объекты AD до их исходного состояния. Использование решений вместо того, чтобы полагаться на собственные методы восстановления, в конечном итоге сэкономит вам кучу времени.
9. Включите мониторинг безопасности Active Directory на наличие признаков компрометации
Возможность упреждающего и непрерывного аудита и мониторинга Active Directory позволит вам обнаружить признаки взлома или компрометации. В большинстве случаев серьезных нарушений безопасности можно избежать, используя решения для мониторинга.
Недавние опросы показали, что, несмотря на доказательства того, что мониторинг помогает повысить безопасность, более 80% организаций по-прежнему не используют его активно.
10. Удалить открытый доступ
Общеизвестные идентификаторы безопасности, такие как «Все», «Прошедшие проверку» и «Пользователи домена», обычно используются для предоставления несоответствующих привилегий пользователям в отношении сетевых ресурсов, таких как общие файловые ресурсы. Использование этих идентификаторов безопасности может позволить хакерам использовать сеть организации, поскольку они будут иметь доступ к большому количеству учетных записей пользователей.
Заключение
Следование рекомендациям, изложенным здесь, поможет вам защитить Active Directory. Однако помните, что безопасность — это не одноразовое событие конфигурации, а непрерывный процесс. В дополнение к активному аудиту подозрительной активности обязательно периодически проверяйте членство в группах безопасности, очищайте неактивные и отключенные учетные записи, следите за тем, чтобы системы были исправлены и правильно настроены, а также выявляйте и устраняйте пути атак в вашей среде. Если вы хотите пойти еще дальше в своем стремлении защитить свою Active Directory, рассмотрите возможность внедрения модели Zero Trust. Если у вас остались вопросы, свяжитесь с нами. Fanetech – золотой партнер Microsoft в Казахсане.