چگونه از امن بودن Active Directory خود اطمینان حاصل کنیم

 اگر مهاجمی به عنوان یک کاربر دارای امتیاز دسترسی وارد Active Directory شود، یا به نحوی بتواند امتیاز خود را پس از ورود افزایش دهد، می‌تواند هر کاری را در سازمان انجام دهد. بعد از آن مهاجم می‌تواند به تمام اطلاعات هویتی کاربران دسترسی داشته باشد و می‌تواند برای روزها، ماه‌ها یا در برخی موارد سال‌ها ناشناس بماند. زمانی که مهاجم شناسایی شود، می‌تواند کل Active Directory را جمع و سازمان را درمانده کند، که می‌تواند منجر به خسارت قابل توجهی در کسب و کار شود.

نحوه محافظت از Active Directory

۱. نظارت به موقع بر Active Directory

نظارت مداوم بر تغییرات Active Directory کمک می‌کند تا اطمینان حاصل شود که هیچ تغییر غیرمجازی که می‌تواند بر سازمان تأثیر منفی بگذارد شناسایی نشده باقی نماند. هر چه زودتر این تغییرات شناسایی شوند و روندشان معکوس شود، خطرات مربوط به رخنه کمتر می‌شود.

Active Directory را به صورت real-time با هشدارها، گزارش‌های از پیش تعریف شده و گزارش‌های آماده انطباق، نظارت کنید. همچنین باید بتوانید تغییرات ناخواسته را در Active Directory به حالت اولیه برگردانید و اشیای tombstone، cycled و physically deleted را بازیابی کنید. قفل شدن حساب‌ها را مدیریت کنید، هشدار‌های مربوط به انقضای رمز عبور و سایر اعلان‌های ارزشمند را ارسال کنید. ابزارهای نظارتی Active Directoy شخص ثالث مانند Lepide Active Directory Auditor وجود دارد که می‌تواند در این زمینه به شما کمک کند.

۲. جلوگیری از سرقت اعتبارنامه‌ها

اگر مهاجم به اعتبارنامه‌هایی دست یابد که دسترسی ممتاز دارند، به راحتی می‌تواند وارد Active Directory شده و در سراسر آن حرکت کنند و به طور بالقوه صدمات زیادی را به سازمان وارد کنند. برخی از روش‌های رایج و مؤثر برای جلوگیری از سرقت اعتبار عبارتند از: احراز هویت دو مرحله‌ای یا چند مرحله‌ای (۲FA/MFA)، گذرواژه‌های یک‌بار مصرف، نرم افزار‌های شخص ثالث مدیریت رمز عبور، آموزش کاربر و غیره.

۳. سطح حمله را به حداقل برسانید

اگر تعداد زیادی کاربر با دسترسی ممتاز دارید، احتمال این که شخصی از امتیاز خود سوء استفاده کند یا حسابش هک شود را بیشتر می‌کند. سطح حمله Active Directory را با پیاده سازی مدل کمترین امتیاز دسترسی، ایمن سازی هاست‌های اداری، ایمن سازی Domain Controller‌ها، ایمن سازی حساب‌های دارای امتیاز و انجام مراحل دیگر به حداقل برسانید.

یک راه حل Active Directory از طریق ترکیبی از Group Policy Objects طراحی کنید تا به کاربران دسترسی محدودی را بدون ارتقاء آن‌ها به Domain Admin اعطا کنید. شما نمی‌توانید کلیدهای سرورهای Active Directory خود را به تعداد زیادی کارمند با صلاحیت‌های ناکافی تحویل دهید.

۴. حساب های مدیریت را در OU های مختلف نگه دارید و GPO های مختلف را اعمال کنید

پس از محدود کردن تعداد مدیران، وظیفه بعدی این است که اطمینان حاصل شود همه کاربران دارای دسترسی ممتاز از حساب‌های اداری جداگانه استفاده می‌کنند. این حساب‌ها باید قراردادهای نام‌گذاری متفاوتی داشته باشند تا سریعاً شناسایی شوند. آن‌ها همچنین باید دسته بندی شده و در OU‌های جداگانه نگهداری شوند تا بتوانید تنظیمات منحصر به فرد GP را برای آن‌ها اعمال کنید.


مقاله پیشنهادی“راهکار امن SD-WAN و چالش‎ امنیت سازمان‌های خدماتی”


۵. یک سرور اختصاصی برای مدیریت راه اندازی کنید

مدیران خدماتی که سرویس‌هایی مانند DCها، سایت‌ها و طرحواره‌ها را اجرا می‌کنند، باید این کار را از نقاط اختصاصی مدیریت پایانه سرور (TSAPs) انجام دهند و از دسکتاپ خود استفاده نکنند. این یک روش نسبتا ایمن است که شانس حملات بدافزار را کاهش می‌دهد و یک نقطه مدیریتی locked-down و سفارشی‌شده را فراهم می‌کند.

۶. یک سیاست رمز عبور قوی را اجرا کنید

همه ما مزایای رمزهای عبور قوی را می‌دانیم، اما نمی‌توان انتظار داشت که همه کاربران به خودی خود از آن‌ها استفاده کنند و بهتر است چیزی را به شانس واگذار نکنید. یک خط مشی رمز عبور قوی را از بالادست به منظور رعایت قوانین و اهداف امنیتی اعمال کنید. شما می‌توانید با اعمال قوانین رمز عبور قوی در domain خود به این امر دست یابید. این قوانین می‌توانند مواردی مانند ترکیب پیچیده اعداد و کاراکترها و تغییر مکرر رمز عبور در بازه‌های زمانی مشخص باشند.

۷. فضای خالی کافی را روی Domain Controllerها (DCs) حفظ کنید

حملات Denial of service می‌تواند فضای دیسک موجود را با فایل‌های غیر ضروری پر کند و در نهایت DC را خراب کند. با نظارت مستمر فضای دیسک و پاک کردن فایل‌های غیر ضروری، اجازه ندهید این اتفاق بیفتد.

۸. از ویژگی گروه محدود در Group Policy استفاده کنید

همه گروه‌های داخلی را در «گروه‌های محدود» قرار دهید. این کار قوانین عضویت در گروه را با جدیت اعمال می‌کند و احتمال وجود یک حساب کاربری ناخواسته در این گروه‌ها را محدود می‌کند. از «گروه‌های محدود» برای کوچک نگه داشتن گروه‌هایی مانند «مدیران سازمانی» استفاده کنید.

۹. از تنظیمات خط مشی گروه برای اعمال سیاست امنیتی قوی استفاده کنید

Group Policy یک راه قدرتمند برای کنترل امنیت domain شما است. قبل از اجرای آن‌ها در پروژه واقعی، این سیاست‌ها را در محیط آزمایشی، تست کنید. همچنین می‌توانید این سیاست‌ها را به صورت مرحله‌ای پیاده‌سازی کنید، برای مثال ابتدا آن‌ها را به OU‌های جداگانه پیوند دهید و در صورت مفید بودن آن‌ها را به کل domain پیوند دهید.

۱۰. کنترل کننده‌های دامنه را ایمن کنید

تمام Domain Controller‌ها در forest برای اجرا با زمان دقیق، به طور پیش فرض، به Domain Controller اولیه (PDC) در Root Domain رجوع می‌کنند. برای ایمن کردن منبع زمانی PDC تلاش کنید. با این کار اطمینان حاصل می‌شود که همه DCها به درستی همگام هستند.

۱۱. نحوه محافظت از خدمات Active Directory

برای محافظت از Active Directory Domain Services (AD DS) و جلوگیری از هر گونه مشکلی، باید برنامه ریزی جامعی انجام دهید تا با دقت یک AD DS بسیار در دسترس را طراحی کنید. اگر یک شی یا ویژگی به اشتباه حذف شود، باید بتوانید سریع و آسان آن را بازیابی کنید.

برای محافظت از Active Directory Federation Services (AD FS) باید «حفاظت گسترده برای احراز هویت» و «کنترل ازدحام» را در برنامه امنیتی خود قرار دهید. دو سرویس ذکر شده بالا و Active Directory Certificate Services ،Active Directory Rights Management Services و Active Directory Lightweight Directory Services باید با تمام به‌روزرسانی‌های امنیتی موجود فعال باشند.

جمع‌بندی

محافظت از Active Directory و نظارت دقیق بر آن، در یک کسب و کار، اهمیت ویژه‌ای دارد. یک مهاجم با نفوذ به Active Directory و ایجاد تغییرات در آن می‌تواند خسارات جبران ناپذیری به سازمان وارد کند. برای حفظ امنیت Active Directory توصیه‌هایی ارائه شدند که با به کارگیری آن‌ها می‌تواند ریسک از دست رفتن امنیت را بسیار کم کرد.

منبع

فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  • خانه
  • شبکه
  •  چگونه از امن بودن Active Directory خود اطمینان حاصل کنیم