Ponieważ zaczął się nowy rok, chcielibyśmy zwrócić Waszą uwagę na szereg aspektów związanych z poprawą bezpieczeństwa Active Directory (AD). Początek nowego roku to okres nowych postanowień i zmian (nie tylko, by schudnąć po świętach ;)), więc może jest to dobry moment na wprowadzenie ich do Twojej firmy.
Poniżej przedstawiamy checklistę (listę zaleceń bezpieczeństwa na nowy rok), która pomoże Ci sprawdzić, który obszar w Twojej firmie jest bardziej, a który mniej zagospodarowany w kontekście poprawy bezpieczeństwa AD.
Active Directory a Security
Usługa katalogowa Microsoft Active Directory (AD) została zaprojektowana 24 lata temu. Jej głównym celem było stworzenie w sieci domeny Windows do scentralizowanego zarządzania użytkownikami i zasobami, co przekładało się na łatwość w utrzymaniu spójnej konfiguracji. Między innymi z tego powodu zaczęło ją wdrażać wiele firm i organizacji. Dla atakujących stała się równocześnie ciekawym kąskiem do włamań, ponieważ przejęcie nad nią kontroli stwarza nieograniczone możliwości przeprowadzania dalszych ataków lub nawet doprowadzenia do całkowitego paraliżu firmy. Utrzymanie należytego bezpieczeństwa AD jest zatem kluczowe dla funkcjonowania każdej firmy (oczywiście z wyjątkiem tych, które korzystają wyłącznie z zasobów chmurowych).
Na Kapitanie często piszemy o Active Directory, problemach w utrzymaniu jego bezpieczeństwa, podatnościach, a także atakach. Poświęciliśmy tym zagadnieniom dwie duże kampanie – CYBER KILL CHAIN oraz Active Directory Persistence, a także wiele pojedynczych artykułów. Na pewno będziemy pisać o nowościach w tym zakresie – możecie się tego spodziewać w nowym roku.
Zanim przejdziemy do odpowiednich środków obronnych mających na celu zapobieganie takim atakom, warto zrozumieć, jak przeprowadzany jest atak na AD. W tym celu możesz zerknąć na materiał znajdujący się we wcześniej wymienionych kampaniach.
14 zaleceń dotyczących zabezpieczenia usługi Active Directory (AD) przed zagrożeniami – niezbędna lista kontrolna
Poniższa lista kontrolna jest niezbędna do zabezpieczenia usługi Active Directory (AD) przed zagrożeniami. Jest to oczywiście podejście metodyczne. Pamiętajmy, że każde zalecenie trzeba dokładnie przeanalizować co do stosowności jego użycia w Twojej firmie. Jeśli chcesz zapewnić bezpieczeństwo swojego systemu Active Directory, musisz często przeglądać i aktualizować tę listę z uwzględnieniem nowych zagrożeń i zmian organizacyjnych.
1. Regularnie aktualizuj wersje systemów i stosuj poprawki na kontrolerach domeny AD
Spraw, aby wszystkie systemy, szczególnie te korzystające z Active Directory, były regularnie aktualizowane. Kontrolery domeny (DC) powinny być w szczególny sposób chronione, a ich zastosowanie powinno obejmować tylko domenę AD. Trzymaj się z daleka od alternatywnych zastosowań DC, takich jak serwer plików czy instalacji innych aplikacji/usług.
2. Ustanów solidne zasady dotyczące haseł
Hasła powinny być skomplikowane, a próby ich odgadnięcia monitorowane. Jeszcze nie tak dawno obowiązywała konieczność częstej zmiany haseł, lecz stopniowo odchodzi się od tej praktyki na rzecz zwiększenia bezpieczeństwa poprzez użycie uwierzytelnienia wieloskładnikowego (MFA) lub sprzętowego, np. bezpieczne klucze sprzętowe lub uwierzytelnianie certyfikatem PKI.
3. Miej oko na konta użytkowników
Jeśli w wyniku audytu bądź raportu okaże się, że istnieją konta, które nie są wykorzystywane lub mają nadmierne uprawnienia, dezaktywuj je. Doskonałym systemem pilnującym uprawnień i zarządzającym nimi oraz stanem kont w domenie AD jest system klasy IAM/IDM.
4. Ogranicz konta uprzywilejowane
Zmniejsz liczbę użytkowników z dostępem administracyjnym. Zbyt duża ilość takich kont to prawdziwa zmora wielu firm i organizacji. Wdrożenie odpowiedniego systemu do ich kontroli (nowoczesny PAM) stanowi ważny środek bezpieczeństwa. Ogranicz dostęp użytkowników do tego, czego wymaga opis ich stanowiska, zgodnie z koncepcją najmniejszych uprawnień. Wdróż rozwiązania pozwalające zarządzać hasłem na wbudowane konto administratora Windows, takie jak np. Microsoft LAPS.
5. Monitoruj i kontroluj logowania oraz aktywności użytkowników
Wprowadź środki zaradcze w celu zapewnienia monitorowania i audytu wszystkich logowań i działań na kontach użytkowników, zwłaszcza tych korzystających z kont uprzywilejowanych. Uważaj na wszystko, co nietypowe, co mogłoby sugerować, że może być przeprowadzany atak. W tym celu warto wdrożyć odpowiedni audyt monitorowania zdarzeń (Security Audit) lub wyspecjalizowane rozwiązania dostarczające niezależne źródło pozyskiwania materiału dowodowego i chroniącego AD – system ITDR.
6. Zadbaj o bezpieczny dostęp sieciowy do usługi AD
Chroń usługę Active Directory, ograniczając dostęp do serwerów w sieci. Blokuj dostęp do sieci wszystkim oprócz niezbędnych użytkowników, używając zapór sieciowych i segmentacji sieci. Dostęp uprzywilejowany (i tylko na określony czas) najlepiej przeprowadzaj przez dedykowane narzędzia PAM.
7. Używaj jednostek organizacyjnych (OU) i zasad grupy (GPO)
Zastosuj zasady grupy do ustawień zabezpieczeń i organizuj zasoby w jednostkach organizacyjnych (OU) w celu zapewnienia spójności konfiguracji zabezpieczeń sieci.
8. Przeprowadzaj kopie zapasowe danych i testuj odzyskiwanie po awarii
Regularnie twórz kopie zapasowe Active Directory i przygotuj się na najgorsze – czyli moment, w którym będziesz musiał je przywrócić po awarii. Uwierz, że nic nie jest niezawodne i nawet Twój najlepszy kontroler domeny w pewnym momencie może ulec awarii. Regularnie oceniaj procesy tworzenia kopii zapasowych i odzyskiwania.
9. Edukuj użytkowników
Ucz pracowników, jak wykrywać niebezpieczeństwo oraz jak unikać zagrożeń związanych z phishingiem i ogólnie inżynierią społeczną. Podnoszenie świadomości użytkowników może znacznie zmniejszyć prawdopodobieństwo wystąpienia udanych ataków.
10. Przeprowadzaj regularne audyty bezpieczeństwa AD
Regularnie przeprowadzaj audyty bezpieczeństwa swojego środowiska Active Directory i sprawdzaj zgodność z obowiązującymi standardami bezpieczeństwa i najlepszymi praktykami.
11. Pomyśl o wdrożeniu najnowocześniejszych rozwiązań w zakresie bezpieczeństwa
Pomyśl o wdrożeniu najnowocześniejszych rozwiązań w zakresie bezpieczeństwa, takich jak SIEM, IDS/IPS i platformy ochrony punktów końcowych EDR/XDR, a także PAM i IGA/IDM.
12. Wzmocnij konfigurację Active Directory
Wdróż zalecane środki bezpieczeństwa dla konfiguracji Active Directory, takie jak ochrona protokołu Lightweight Directory Access Protocol (LDAP) i wymaganie podpisu Server Message Block (SMB), jeśli to możliwe. Odpowiednio przeprowadzony audyt bezpieczeństwa pozwoli określić, czy obecna konfiguracja Twojego Active Directory nie posiada backdoorów lub wdrożonych domyślnych ustawień pozwalających ułatwić drogę przejęcia AD przez atakujących.
13. Fizyczna kontrola dostępu
Ogranicz fizyczny dostęp do serwerów i innego sprzętu sieciowego wyłącznie do upoważnionych osób.
14. Bądź na bieżąco z pojawiającymi się zagrożeniami
Bądź na bieżąco z pojawiającymi się zagrożeniami (śledź Kapitana ). Czytaj o nowych wektorach ataków i lukach w zabezpieczeniach, które mogą mieć wpływ na usługę AD. Następnie odpowiednio modyfikuj swoje procedury bezpieczeństwa.