چگونه از امن بودن Active Directory خود اطمینان حاصل کنیم
اگر مهاجمی به عنوان یک کاربر دارای امتیاز دسترسی وارد Active Directory شود، یا به نحوی بتواند امتیاز خود را پس از ورود افزایش دهد، میتواند هر کاری را در سازمان انجام دهد. بعد از آن مهاجم میتواند به تمام اطلاعات هویتی کاربران دسترسی داشته باشد و میتواند برای روزها، ماهها یا در برخی موارد سالها ناشناس بماند. زمانی که مهاجم شناسایی شود، میتواند کل Active Directory را جمع و سازمان را درمانده کند، که میتواند منجر به خسارت قابل توجهی در کسب و کار شود.
نحوه محافظت از Active Directory
۱. نظارت به موقع بر Active Directory
نظارت مداوم بر تغییرات Active Directory کمک میکند تا اطمینان حاصل شود که هیچ تغییر غیرمجازی که میتواند بر سازمان تأثیر منفی بگذارد شناسایی نشده باقی نماند. هر چه زودتر این تغییرات شناسایی شوند و روندشان معکوس شود، خطرات مربوط به رخنه کمتر میشود.
Active Directory را به صورت real-time با هشدارها، گزارشهای از پیش تعریف شده و گزارشهای آماده انطباق، نظارت کنید. همچنین باید بتوانید تغییرات ناخواسته را در Active Directory به حالت اولیه برگردانید و اشیای tombstone، cycled و physically deleted را بازیابی کنید. قفل شدن حسابها را مدیریت کنید، هشدارهای مربوط به انقضای رمز عبور و سایر اعلانهای ارزشمند را ارسال کنید. ابزارهای نظارتی Active Directoy شخص ثالث مانند Lepide Active Directory Auditor وجود دارد که میتواند در این زمینه به شما کمک کند.
۲. جلوگیری از سرقت اعتبارنامهها
اگر مهاجم به اعتبارنامههایی دست یابد که دسترسی ممتاز دارند، به راحتی میتواند وارد Active Directory شده و در سراسر آن حرکت کنند و به طور بالقوه صدمات زیادی را به سازمان وارد کنند. برخی از روشهای رایج و مؤثر برای جلوگیری از سرقت اعتبار عبارتند از: احراز هویت دو مرحلهای یا چند مرحلهای (۲FA/MFA)، گذرواژههای یکبار مصرف، نرم افزارهای شخص ثالث مدیریت رمز عبور، آموزش کاربر و غیره.
۳. سطح حمله را به حداقل برسانید
اگر تعداد زیادی کاربر با دسترسی ممتاز دارید، احتمال این که شخصی از امتیاز خود سوء استفاده کند یا حسابش هک شود را بیشتر میکند. سطح حمله Active Directory را با پیاده سازی مدل کمترین امتیاز دسترسی، ایمن سازی هاستهای اداری، ایمن سازی Domain Controllerها، ایمن سازی حسابهای دارای امتیاز و انجام مراحل دیگر به حداقل برسانید.
یک راه حل Active Directory از طریق ترکیبی از Group Policy Objects طراحی کنید تا به کاربران دسترسی محدودی را بدون ارتقاء آنها به Domain Admin اعطا کنید. شما نمیتوانید کلیدهای سرورهای Active Directory خود را به تعداد زیادی کارمند با صلاحیتهای ناکافی تحویل دهید.
۴. حساب های مدیریت را در OU های مختلف نگه دارید و GPO های مختلف را اعمال کنید
پس از محدود کردن تعداد مدیران، وظیفه بعدی این است که اطمینان حاصل شود همه کاربران دارای دسترسی ممتاز از حسابهای اداری جداگانه استفاده میکنند. این حسابها باید قراردادهای نامگذاری متفاوتی داشته باشند تا سریعاً شناسایی شوند. آنها همچنین باید دسته بندی شده و در OUهای جداگانه نگهداری شوند تا بتوانید تنظیمات منحصر به فرد GP را برای آنها اعمال کنید.
مقاله پیشنهادی“راهکار امن SD-WAN و چالش امنیت سازمانهای خدماتی”
۵. یک سرور اختصاصی برای مدیریت راه اندازی کنید
مدیران خدماتی که سرویسهایی مانند DCها، سایتها و طرحوارهها را اجرا میکنند، باید این کار را از نقاط اختصاصی مدیریت پایانه سرور (TSAPs) انجام دهند و از دسکتاپ خود استفاده نکنند. این یک روش نسبتا ایمن است که شانس حملات بدافزار را کاهش میدهد و یک نقطه مدیریتی locked-down و سفارشیشده را فراهم میکند.
۶. یک سیاست رمز عبور قوی را اجرا کنید
همه ما مزایای رمزهای عبور قوی را میدانیم، اما نمیتوان انتظار داشت که همه کاربران به خودی خود از آنها استفاده کنند و بهتر است چیزی را به شانس واگذار نکنید. یک خط مشی رمز عبور قوی را از بالادست به منظور رعایت قوانین و اهداف امنیتی اعمال کنید. شما میتوانید با اعمال قوانین رمز عبور قوی در domain خود به این امر دست یابید. این قوانین میتوانند مواردی مانند ترکیب پیچیده اعداد و کاراکترها و تغییر مکرر رمز عبور در بازههای زمانی مشخص باشند.
۷. فضای خالی کافی را روی Domain Controllerها (DCs) حفظ کنید
حملات Denial of service میتواند فضای دیسک موجود را با فایلهای غیر ضروری پر کند و در نهایت DC را خراب کند. با نظارت مستمر فضای دیسک و پاک کردن فایلهای غیر ضروری، اجازه ندهید این اتفاق بیفتد.
۸. از ویژگی گروه محدود در Group Policy استفاده کنید
همه گروههای داخلی را در «گروههای محدود» قرار دهید. این کار قوانین عضویت در گروه را با جدیت اعمال میکند و احتمال وجود یک حساب کاربری ناخواسته در این گروهها را محدود میکند. از «گروههای محدود» برای کوچک نگه داشتن گروههایی مانند «مدیران سازمانی» استفاده کنید.
۹. از تنظیمات خط مشی گروه برای اعمال سیاست امنیتی قوی استفاده کنید
Group Policy یک راه قدرتمند برای کنترل امنیت domain شما است. قبل از اجرای آنها در پروژه واقعی، این سیاستها را در محیط آزمایشی، تست کنید. همچنین میتوانید این سیاستها را به صورت مرحلهای پیادهسازی کنید، برای مثال ابتدا آنها را به OUهای جداگانه پیوند دهید و در صورت مفید بودن آنها را به کل domain پیوند دهید.
۱۰. کنترل کنندههای دامنه را ایمن کنید
تمام Domain Controllerها در forest برای اجرا با زمان دقیق، به طور پیش فرض، به Domain Controller اولیه (PDC) در Root Domain رجوع میکنند. برای ایمن کردن منبع زمانی PDC تلاش کنید. با این کار اطمینان حاصل میشود که همه DCها به درستی همگام هستند.
۱۱. نحوه محافظت از خدمات Active Directory
برای محافظت از Active Directory Domain Services (AD DS) و جلوگیری از هر گونه مشکلی، باید برنامه ریزی جامعی انجام دهید تا با دقت یک AD DS بسیار در دسترس را طراحی کنید. اگر یک شی یا ویژگی به اشتباه حذف شود، باید بتوانید سریع و آسان آن را بازیابی کنید.
برای محافظت از Active Directory Federation Services (AD FS) باید «حفاظت گسترده برای احراز هویت» و «کنترل ازدحام» را در برنامه امنیتی خود قرار دهید. دو سرویس ذکر شده بالا و Active Directory Certificate Services ،Active Directory Rights Management Services و Active Directory Lightweight Directory Services باید با تمام بهروزرسانیهای امنیتی موجود فعال باشند.
جمعبندی
محافظت از Active Directory و نظارت دقیق بر آن، در یک کسب و کار، اهمیت ویژهای دارد. یک مهاجم با نفوذ به Active Directory و ایجاد تغییرات در آن میتواند خسارات جبران ناپذیری به سازمان وارد کند. برای حفظ امنیت Active Directory توصیههایی ارائه شدند که با به کارگیری آنها میتواند ریسک از دست رفتن امنیت را بسیار کم کرد.
