92 è la metà di 99

Ridurre la superficie di attacco per Active Directory

Come proteggere la propria Active Directory – AKA “Shrink the attack surface”

Suggerimenti per Windows Server 2025, 2022, 2019 e "Nonno" 2016 E anche!

Active Directory (AD) è al centro di molte reti aziendali. Ma proprio perché è così centrale, è anche un bersaglio popolare per gli aggressori. Per aumentare la sicurezza, è necessario Superficie di attacco Tenere il più piccolo possibile. Ciò si ottiene attuando in modo coerente meccanismi di controllo tecnico. Ecco i modi più importanti per rafforzare il tuo AD.

I tre pilastri per ridurre la superficie d'attacco

La riduzione della superficie di attacco si concentra su tre aree principali:

  1. Modelli amministrativi con i diritti più bassi (principio del privilegio minimo): Questo modello mira a ridurre al minimo il rischio rappresentato dall'uso eccessivo di conti con diritti di ampia portata.
  2. Host amministrativi sicuri: L'impostazione di sistemi dedicati e preclusi per le attività amministrative impedisce l'atterraggio di credenziali privilegiate su postazioni di lavoro standard non sicure.
  3. Indurimento dei controller di dominio: Politiche e impostazioni specifiche proteggono i DC al centro dell'AD da compromessi.

Di seguito esaminiamo le migliori pratiche, perché (allarme spoiler) c'è di più da fare!

Account e gruppi in Active Directory

Comprendere quali account e gruppi hanno i più alti diritti è essenziale per la loro protezione. Per impostazione predefinita, ci sono quattro gruppi molto potenti che dovresti tenere d'occhio:

  • Amministratori aziendali (EA): Questo gruppo esiste solo nel dominio radice e ha i diritti più alti nell'intero dominio. Struttura generale (foresta). La tua iscrizione dovrebbe essere concessa solo temporaneamente per specifiche modifiche generali della struttura.
  • Amministratori di dominio (DA): Ogni dominio ha il proprio gruppo DA. I membri di questo gruppo sono "onnipotenti" nell'ambito delle rispettive dominio e hanno diritti di amministratore locale su tutti i computer di dominio. L'appartenenza dovrebbe essere utilizzata solo in scenari di emergenza.
  • Amministratori (BA): Questo gruppo di dominio locale, in cui DA e EA sono annidati, ha molti diritti diretti nella directory e sui controller di dominio. (La B in BA sta per Built-In) Tuttavia, non ha diritti sui server o sulle workstation dei membri.
  • Amministratori di Schema (Schema Admins, SA): Questo gruppo può modificare lo schema di Active Directory. L'adesione è raramente necessaria e solo per un breve periodo, il che rende l'amministrazione più facile.

Account protetti e il processo AdminSDHolder

Active Directory ha un meccanismo di protezione integrato per account e gruppi privilegiati che riduce ulteriormente la superficie di attacco.

  • Account protetti: Se un account è membro di un gruppo protetto, sarà contrassegnato come "account protetto". L'ereditarietà delle autorizzazioni è disattivata per questi account, quindi non possono ereditare i diritti dalle unità organizzative madri. Ciò impedisce l'estensione involontaria dei diritti.
  • AdminSDHolder e SDProp: In sistemaContenitore di ogni dominio è l'oggetto AdminSDHolder. Ogni 60 minuti il processo è lo stesso Propagatore descrittore di sicurezza (SDProp) le autorizzazioni di tutti gli account e gruppi protetti con quelli dell'oggetto AdminSDHolder e reimpostarli se necessario. Ciò garantisce che le impostazioni di sicurezza per gli account privilegiati rimangano coerenti. Un account rimosso da un gruppo protetto non eredita automaticamente le autorizzazioni della sua unità organizzativa, che richiede la personalizzazione manuale.

Migliori pratiche per l'attuazione

Per utilizzare questi meccanismi di protezione in modo efficace, è necessario concentrarsi sui seguenti punti:

  • Assegnazione mirata dei diritti: Implementa una delegazione granulare in modo che l'uso dei gruppi più potenti sia ridotto al minimo assoluto.
  • Gestione delle patch: Assicurati che i controller di dominio e altri sistemi critici siano sempre dotati delle patch di sicurezza più recenti. Una buona soluzione di gestione delle patch è essenziale.
  • Monitoraggio: Utilizza strumenti di monitoraggio per tenere traccia delle modifiche alle password dei gruppi critici (DA, EA) e LAPS (Local Administrator Password Solution). In questo modo, riconoscerai immediatamente attività non autorizzate.
  • Formazione: Sensibilizza i tuoi utenti ai rischi del social engineering e del phishing. Un dipendente addestrato è una delle tue linee di difesa più importanti.

Riducendo la superficie di attacco attraverso queste misure tecniche e organizzative, è molto più difficile per gli aggressori invadere Active Directory e causare danni.

Account e gruppi privilegiati in Active Directory

Un principio fondamentale di sicurezza è quello di minimizzare i diritti. Active Directory è progettato per consentire la delega molto fine. Tuttavia, ci sono gruppi incorporati con privilegi molto elevati. Se capisci questi gruppi, puoi anche proteggerli correttamente.

I tre gruppi più potenti

Ci sono tre gruppi principali che hanno i privilegi più alti in Active Directory:

  • Amministratori dell'organizzazione (amministratori dell'impresa): Questo gruppo esiste solo nel dominio radice della foresta. I membri possono: Modifiche complessive a livello di struttura Colpisce tutti i domini. I loro diritti sono così ampi che l'adesione dovrebbe essere richiesta solo in rari casi eccezionali (ad esempio, quando si aggiunge un nuovo dominio).
  • Amministratori di dominio: Ogni dominio ha il proprio set di amministratori di dominio. Sono i "regnanti onnipotenti" all'interno del loro dominio e sono per impostazione predefinita amministratori locali su ogni computer del dominio. Dovresti usarli solo in scenari di emergenza.
  • Amministratori: Il terzo gruppo è il gruppo di amministratori locali del dominio. Concede molti diritti diretti ai controller di directory e dominio, ma nessun diritto ai server o alle workstation dei membri. Gli amministratori del dominio e dell'organizzazione sono membri di questo gruppo per impostazione predefinita.

Nota importante: Sebbene questi gruppi abbiano diverse autorizzazioni predefinite, un membro di uno dei tre gruppi può modificare le autorizzazioni nella directory per diventare membro degli altri gruppi. Dal punto di vista della sicurezza, dovresti considerare tutti e tre come Altrettanto rischioso guarda.

Gli amministratori dello schema: Un gruppo speciale

Il Amministratori di schemi (admin di schemi) Si tratta di un quarto gruppo privilegiato. Esistono solo nel dominio radice della foresta e hanno l'autorizzazione esclusiva per modificare lo schema di Active Directory, la struttura sottostante della directory. Questa adesione è estremamente rara e necessaria solo per un tempo molto breve.

AdminSDHolder e SDProp: Il meccanismo di protezione

Per evitare che le autorizzazioni degli account privilegiati vengano modificate accidentalmente o in modo dannoso, Active Directory dispone di un meccanismo di protezione speciale: AdminSDHolder e SDProp.

Come funziona?

  1. L'oggetto AdminSDHolder: In ogni dominio Active Directory, c'è un oggetto speciale chiamato AdminSDHolder. Serve come modello per le autorizzazioni di tutti Account e gruppi protetti.
  2. Il processo SDProp: Ogni 60 minuti (per impostazione predefinita), un processo chiamato Security Descriptor Propagator (SDProp) viene eseguito sul controller di dominio con il ruolo di emulatore PDC.
  3. Riconciliazione e correzione: SDProp confronta le autorizzazioni degli account protetti (ad esempio amministratori di dominio o amministratori aziendali) con le autorizzazioni dell'oggetto AdminSDHolder. Se le autorizzazioni non corrispondono, SDProp reimposta le autorizzazioni degli account protetti in modo che corrispondano esattamente a quelle di AdminSDHolder.

Ciò significa: Non importa dove si sposta un account protetto nella directory, non erediterà mai le autorizzazioni dal suo nuovo oggetto padre. L'ereditarietà è disabilitata per questi account, il che aumenta significativamente la loro sicurezza.

Questo adminContaattributo

Quando un utente diventa membro di un gruppo protetto, il valore adminContaAttributi in data 1 set. Se in seguito rimuovi l'account dal gruppo, l'attributo rimane a 1. Di conseguenza, l'oggetto continua a non ereditare autorizzazioni dall'oggetto padre, anche se non è più protetto. Uno script può aiutare a trovare questi ex oggetti protetti e ripristinare l'attributo.

Strategie per ridurre la superficie di attacco

Al fine di ridurre efficacemente la superficie di attacco di Active Directory, è necessario implementare le seguenti misure:

Modelli amministrativi con i diritti più bassi

Usato nessuno Account altamente privilegiati per la gestione quotidiana. Implementato un Modello di delega, che concede al personale informatico solo le autorizzazioni necessarie per i loro compiti specifici, non più.

Specopssoft.com descrive sei modi comuni per farlo:
Controllo degli accessi basato su ruoli, oggetti dei criteri di gruppo, criteri delle password, autorizzazioni utente, aggiunta di utenti a gruppi appropriati e audit e reporting.

Host amministrativi sicuri

Gestisci la tua Active Directory solo da Sistemi di amministrazione dedicati e sicuri Spegni. Questi host di amministrazione sicuri sono computer appositamente induriti che non vengono utilizzati per e-mail, navigazione o altre attività quotidiane. Ciò riduce al minimo il rischio che keylogger o malware intercettino le credenziali.

Su Frankysweb.de troverai una bella guida dettagliata. Sicuramente vale la pena leggere! L'articolo di follow-up "Admin Tiers is worth a click. Altrimenti, anche questo è Toolkit di conformità alla sicurezza Microsoft utile.

Indurimento dei controller di dominio

I controller di dominio sono il gioiello della tua infrastruttura IT. Devono essere estremamente ben protetti. Set specifici Politiche e impostazioni per indurirli contro gli attacchi. Ciò include la limitazione dell'accesso fisico e logico, nonché un monitoraggio coerente.

Combinando questi controlli tecnici, è possibile ridurre significativamente il rischio per Active Directory e creare un'infrastruttura più solida e sicura.

La cosa più semplice da fare per l'indurimento è "guardarlo dall'altra parte". Nell'articolo di security-insider.de Scopri gli strumenti utilizzati per gli attacchi. Anche questo articolo su indurimento e best practice Dovresti dare un'occhiata. Anche qui, questo è Toolkit di conformità alla sicurezza Microsoft classe.

Utilizzo delle risorse di Microsoft:

Questa sezione riguarda l'implementazione di meccanismi di controllo tecnico per ridurre la superficie di attacco di un'installazione di Active Directory.
Prima di tutto, dovrebbe Microsoft Help è un must read!
Tutti gli esempi di buone pratiche non sono solo spiegati in dettaglio, ma anche archiviati di conseguenza con istruzioni dettagliate.

La presente sezione contiene pertanto le seguenti informazioni:

  • Implementazione di modelli di gestione meno privilegiati: Si concentra sull'individuazione del rischio rappresentato dall'uso di conti di diritti completi per la gestione quotidiana e formula raccomandazioni per l'attuazione al fine di ridurre il rischio rappresentato dai conti di diritti completi.
  • Implementazione di host amministrativi sicuri:
    Descrive i principi per l'implementazione di sistemi amministrativi dedicati e sicuri, nonché alcuni esempi di implementazione di un host amministrativo sicuro.
  • Proteggere i controller di dominio dagli attacchi:
    Discute policy e impostazioni simili alle raccomandazioni per l'implementazione di host amministrativi sicuri, ma include anche alcune raccomandazioni specifiche per controller di dominio che aiutano a garantire che i controller di dominio e i sistemi utilizzati per gestirli siano ben protetti.
  • Monitoraggio di Active Directory:
    Un robusto sistema di monitoraggio del registro eventi è una parte essenziale del design sicuro di Active Directory! I compromessi possono quindi essere rilevati in una fase precoce se viene effettuato un adeguato monitoraggio dei registri degli eventi e degli allarmi. 
  • Manutenzione e cura, nonché CIP di Active Directory:
    Probabilmente lo sentirai di nuovo, ma anche qui la sicurezza non è uno sprint, è sempre una maratona. Coloro che hanno creato un ambiente gestibile e sicuro per le risorse aziendali critiche dovrebbero quindi concentrarsi sulla garanzia che siano mantenute in modo affidabile e continuamente migliorate.

Conti e gruppi privilegiati

Questa sezione fornisce informazioni di base su account e gruppi con diritti completi in Active Directory per spiegare le somiglianze e le differenze tra account e gruppi con diritti completi in Active Directory.

Indipendentemente dal fatto che tu segua le raccomandazioni in Implementazione di modelli di gestione meno privilegiati Comprendendo queste distinzioni, hai gli strumenti necessari per proteggere adeguatamente ogni gruppo e account.

Ulteriori informazioni direttamente da learn.microsoft.com

Un attributo per l'oggetto AdminSDHolder, dSHeuristics, consente una personalizzazione (rimozione) limitata dei gruppi considerati gruppi protetti e interessati da AdminSDHolder e SDProp. Questo aggiustamento dovrebbe essere attentamente considerato quando implementato, anche se ci sono circostanze valide in cui le modifiche a dSHeuristics sono utili in AdminSDHolder.

Per ulteriori informazioni sulla modifica dell'attributo dSHeuristics per un oggetto AdminSDHolder, vedere gli articoli del supporto Microsoft 817433 e in Allegato C: Account e gruppi protetti in Active Directory.

Sebbene questo descriva i gruppi con i privilegi più estesi in Active Directory, ci sono un certo numero di altri gruppi a cui sono stati concessi livelli di autorizzazione elevati. Per ulteriori informazioni su tutti i gruppi predefiniti e predefiniti in Active Directory e sui relativi diritti utente assegnati, vedere Allegato B: Account e gruppi privilegiati in Active Directory.

Stephan
|
| | | |
verso l'alto | homepage | per cercare