ایمن سازی زیرساخت اکتیو دایرکتوری

,

ایمن سازی زیرساخت اکتیو دایرکتوری

 

اکتیو دایرکتوری، سرویس دایرکتوری مایکروسافت است که روی ویندوز سرور اجرا می‌شود و به ادمین ها امکان مدیریت مجوزها و دسترسی به منابع شبکه را می‌دهد. وظیفه اکتیو دایرکتوری، مدیریت و سازماندهی تعداد زیاد کاربران در قالب زیرگروه ها و گروه های منطقی است. همچنین کنترل دسترسی به هر سطح را هم به عهده دارد.

ادمین ها با یک لاگین ساده می‌توانند از طریق شبکه، دیتا دایرکتوری را مدیریت و سازماندهی کنند، کاربران مجاز در شبکه از هر جایی به منابع شبکه دسترسی خواهند داشت. حتی مدیریت شبکه های پیچیده هم به راحتی با AD انجام می‌شود و امکان توسعه اکتیو دایرکتوری به همراه رشد سازمانی ممکن است.

دامین ها شامل کنترلرهایی است که یکی از آنها ویندوز سرور را اجرا می‌کند. هرگاه ادمین شبکه در این کنترلرها تغییری ایجاد کند توسط اکتیودایرکتوری همه کنترلرها آپدیت می‌شوند. ادمین شبکه می‌تواند مدیریت تک تک منابع شبکه را با اکتیو دایرکتوری انجام دهد و حتی وارد کامپیوتر کاربر شود.

برای نصب اکتیو دایرکتوری میتوانید به مقاله نصب Active Directory بر روی ویندوز سرور مراجعه نمایید.

 

به دلیل حساسیت و اهمیت سرویس اکتیو دایرکتوری ، امنیت اطلاعات از اهمیت بالایی برخوردار است.

برای بهبود بخشیدن به امنیت اکتیو دایرکتوری  لازم نیست هزینه زیادی کنید، راه حل های بی هزینه و کم هزینه زیادی وجود دارد که میتوانید با بهره گیری از این موارد تا حد زیادی امنیت دامین خود را افزایش دهید.

 

ایمن کردن اکانت Domain Administrator

هر دامنه شامل یک اکانت ادمین است، این اکانت به صورت پیشفرض عضوی از گروه Domain Admins است. اکانت ادمین فقط باید برای ایجاد domain و رفع خطا استفاده شود. اگر شخصی نیازمند به دسترسی سطح بالاتر به سرورها یا اکتیو دایرکتوری است،

باید از اکانت خود استفاده کند و کسی نباید رمز Domain Administrator را بداند. بهتر است که رمزی با تعداد کاراکتر بالا و بیشتر از ۱۸ کاراکتر قرار دهید . ین اکانت فقط برای recovery کاربرد دارد و برای دلایل دیگر نباید مورد استفاده قرار بگیرد.

چند توصیه شرکت مایکروسافت برای ایمنی بیشتر اکانت ادمین در group policy که میتوانید اعمال کنید.

  • Enable the smart card is required for interactive logon
  • Deny logon as batch job
  • Enable the Account is sensitive and cannot be delegated
  • Deny access to this computer from the network
  • Deny log on through RDP
  • Deny log on as a service

 

مستند سازی object ها

ممکن است این مرحله تا حدودی پیش پا افتاده به نظر برسد، اما تا زمانی که نقطه حال حاضر پروژه مشخص و شفاف نباشد، امکان حرکت به جلو موجود نخواهد بود. یکی از نقاط مناسب برای شروع این فعالیت، ساختارهای سطح بالا مانند Forest و پیکربندی دامنه ها، مستند سازی توپولوژی سایت ها مانند لیست کردن سایت ها می باشد. مستند سازی سیاست های دامنه (GPO) نیز از جمله مواردی است که رعایت نمودن آن بسیار ضروری بوده و در ساختار حائز اهمیت می باشد. این سند علاوه بر اینکه مواردی مانند سیاست های مرتبط به رمزعبور (Password Policies) و سیاست های ممیزی (Audit Policies) را ارائه می دهد،

باید امکان بررسی اینکه سیاست های فوق به چه کسانی اعمال شده و کدام گروه از کاربران امکان تغییر آن را دارند را فراهم آورد. همچنین باید تمام تغییرات اعمال شده مانند تغییرات Schema به طور کامل مستند سازی شوند. علاوه بر موارد فوق باید نام کنترل کننده دامنه (DC)ها، نسخه سیستم عامل آنها، نرم افزارهای امنیتی مانند آنتی ویروس، نحوه تهیه نسخه پشتیبان ذکر گردند تا در موقعیت های حیاتی، کمبود این اطلاعات احساس نشود.

 

غیر فعال کردن اکانت ادمین در کامپیوتر ها

اکانت ادمین محلی، اکانتی در محیط های domain است که نیاز چندانی به وجود ان نیست و حتی اگر نام آن تغییر یابد SID یکسان دارد و حمله کننده ها آن را به خوبی میشناسند و بیشتر مواقع  با رمز عبور پیشفرض در همه کامپیوتر های دامنه ساخته میشود.

کافیست که حمله کنندگان به این اکانت نفوذ کنند، در این صورت دسترسی ادمین محلی به همه کامپیوتر های join شده به domain را خواهند داشت.

اگر نیاز به دسترسی مربوط به ادمین در کامپیوتر دارید، این کار را باید با اکانت شخصی انجام دهید.

توصیه هایی برای امن کردن این اکانت در صورت غیر فعال نکردن این اکانت

  • Deny log on as a batch job
  • Deny log on through RDP
  • Deny access to this computer from the network
  • Deny log on as a service

 

استفاده از (Local Administrator Password Solution (LAPS

Local Administrator Password Solution (LAPS) ابزاری رو به رشد برای مدیریت رمز عبور ادمین در همه کامپیوتر ها است. LAPS ابزار مایکروسافت برای مدیریت رمز عبور اکانت محلی کامپیوتر های join شده به دامنه است.

 

این ابزار یک رمز عبور یکتا برای هر اکانت ادمین محلی قرار میدهد و آن را برای دسترسی ساده تر در اکتیو دایرکتوری ذخیره میکند. این روش یکی از بهترین اقدامات برای سازمان ها برای جلوگیری از حملات pass the hash و حرکت هکر از کامپیوتر به کامپیوتر دیگر است

نصب ویندوز از طریق ایمیج کار رایجی در سازمان ها است اما این کار باعث میشود که اکانت ادمین در همه کامپیوتر ها یکسان باشد. از آنجایی که اکانت ادمین محلی دسترسی کامل به همه ویژگی های کامپیوتر دارد، اگر هکری به یکی از این کامپیوتر ها نفوذ کند، به راحتی میتواند وارد بقیه کامپیوترها نیز شود.

LAPS مبتنی بر اکتیو دایرکتوری است، بنابراین نیاز به سرور دیگری وجود ندارد. این روش در اکتیو دایرکتوری نسخه ۲۰۰۳ و ویندوز ویستا به بالا تر پشتیبانی میشود.

اگر به اکانت محلی ادمین نیاز دارید، میتوانید رمز عبور را از اکتیو دایرکتوری دریافت کنید.

 

مانیتور کردن لاگ های اکتیو دایرکتوری

باید لاگ های اکتیو دایرکتوری را برای فهمیدن نفوذ و رفتار غیر طبیعی در شبکه مانتیور کنید.

برخی از لاگ هایی که باید مانیتور شوند

 

  • تغییرات به گروه های با دسترسی بالا مثل Domain Admins، Enterprise Admins و Schema Admins
  • نرم افزار آنتی ویروس غیر فعال یا حذف شده.
  • همه فعالیت هایی که به وسیله اکانت های دارای دسترسی بالا انجام شده است.
  • رخداد های ورود و خروج به سیستم
  • استفاده از اکانت ادمین محلی
  • تلاش برای آزمایش رمزهای عبور متفاوت

 

نحوه مدیریت لاگ ها در اکتیو دایرکتوری

بهترین روش، جمع آوری همه لاگ ها در یک سرور مرکزی و استفاده از نرم افزارهای آنالیز لاگ است.

 

برخی آنالیزگر های لاگ به صورت پیشفرض در اکتیو دایرکتوری نصب هستند و برخی دیگر را نیز باید خودتان نصب کنید.

برخی نرم افزارهای آنالیز لاگ عبارتند از:

  • Elk Stack
  • ManageEngine ADAudit Plus
  • Lepid
  • Splunk
  • Windows Event Forwarding

 

پاک کردن گروه Domain Admins

نباید اکانت های عادی که روزانه از آن استفاده میشوند در گروه Domain Admins وجود داشته باشند، تنها استثنا اکانت پیشفرض Domain Administrator است.

اعضای گروه  Domain Administrator دسترسی های بسیار بالایی دارند. به همه سیستم های join شده به دامنه دسترسی دارند. به همین دلیل افرادی که به دنبال سوء اسفتاده هستند، به این گروه اهمیت ویژه ای میدهند.

مایکروسافت توصیه میکند که در زمانی که دسترسی Domain Administrator مورد نیاز است، به صورت موقت اکانت را در گروه Domain Administrator قرار دهید. هنگامی که کار پایان می یابد، باید اکانت را از گروه Domain Administrator حذف کنید.

همین روال را نیز برای گروه هایی مثل Enterprise Admins، Backup Admins و Schema Admins نیز توصیه میکنیم.

 

استفاده از (Secure Admin Workstation (SAW

Secure Admin Workstation یک سیستم اختصاصی است که تنها باید برای اجرای وظایف مربوط به ادمین استفاده شود. نباید برای چک کردن ایمیل یا مرور اینترنت استفاده شود. در حقیقت حتی نباید دسترسی اینترنتی داشته باشید.

وظایفی  که در SAW باید انجام دهید

 

  • مدیریت اکتیو دایکتوری
  • مدیریت DNS و DHCP server
  • دسترسی های ادمین به سیستم های مدیریتی مثل VMware، Hyper-V و Citrix
  • Group Policy
  • هر وظیفه ای که نیازمند دسترسی ادمین به سرورها باشد.
  • مدیریت Office 365
  • در حقیقت هنگامی که نیازمند استفاده از اکانت ادمین هستید تا وظایف مدیریتی را انجام دهید، باید آن را از SAW اجرا کنید.
  • کامپیوتر هایی که روزانه استفاده میشوند، در برابر pass the hash، حملات فیشینگ، سایت های تقلبی، keylogger ها و… آسیب پذیر تر هستند.

 

استفاده از یک کامپیوتر امن برای اقدامات فوق، شما را در برابر حملات بیشتر حفظ میکند. از آنجایی که حملات و چالش های تکنولوژی روزانه تغییر میکند، راه اندازی SAW نیز همیشه در حال تغییر است. علاوه بر آن PAW و سرورهای jump نیز وجود دارند که این کار را به شدت سخت میکنند.

 

نرم افزار ها یا رول های اضافی روی Domain Controller ها نصب نکنید

 

DC ها باید نرم افزار ها و رول های محدودی داشته باشند. DC ها در محیط های بزرگ بسیار حیاتی هستند، نباید ریسک های امنیتی را با نصب نرم افزارهای اضافه افزایش دهید. Windows Server Core گزینه مناسب برای رول DC و بقیه رول های مثل DHCP، DNS، print server و filer server بسیار مناسب است.

همانطور که میدانید Server Core بدون رابط گرافیکی است و به تعداد وصله های امنیتی کمتری نیاز دارد که به این جهت پایداری بیشتری دارد.

افزایش تعداد نرم افزار و رول ها باعث افزایش خطرات امنیتی میشود.

 

پاک کردن اکانت های قدیمی کاربران و کامپیوترها

برای پیدا کردن کاربران و کامپیوتر های موجود در اکتیو دایرکتوری رویه ای را طی کنید. نباید از اکانت هایی که در اکتیو دایرکتوری بلا استفاده هستند استفاده کنید، چون این کار باعث میشود حمله کننده بتواند آن ها را پیدا و استفاده کند. علاوه بر آن این کار موجب ایجاد مشکلات برای گزارش میشود و سرعت group policy را کم میکند. توصیه میکنیم که هر ماه فرایند پیدا کردن اکانت های بلااستفاده را تکرار و آن ها را حذف کنید.

از سرویس های DNS استفاده کنید تا دامنه های خرابکار را مسدود نمایید

 

میتوانید از طریق مسدود کردن دامنه های مخرب و مشکوک، اغلب ترافیک های مخرب را از شبکه دور کنید. هر بار که سیستمی به اینترنت نیاز دارد، در اغلب موارد از نام دامنه استفاده میکند. کامپیوتر ها با یکدیگر با استفاده از IP صحبت میکنند، بنابراین کامپیوتر ها از DNS برای نگاشت نام دامنه به IP استفاده میکنند.

چندین سرویس وجود دارد که کوئری های DNS را برای دامنه ها مخرب چک و آن ها را مسدود میکند.

این سرویس ها چگونه کار میکنند؟

این سرویس های DNS، آگاهی را از دامنه های مخرب از طریق منابع عمومی و خصوصی دریافت میکنند. هنگامی که کوئری برای دامنه ای که به عنوان مخرب علامت زده شده است دریافت میکند، دسترسی را در زمانی که سیستم شما تلاش برای متصل شدن میکند، قطع میکند.

 

استفاده از احراز هویت دوگامی برای دسترسی از راه دور

نفوذ به اکانت ها یکی از رایج ترین روش های حملات است که میتواند دسترسی از راه دور به سیستم ها از طریق VPN، Citrix یا بقیه سیستم های دسترسی از راه دور را ایجاد کند.

پشتیبان گیری در سطح سیستم عامل ویندوز

اگر لاگ های Office 365 یا ADFS را بررسی کنید، از تعداد تلاش برای لاگین کردن از سمت چین و روسیه متعجب خواهید شد.

یکی از بهترین راه ها برای حفاظت در برابر اکانت های نفوذ شده استفاده از احراز هویت دو گامی است. علاوه بر آن این کار باعث حفاظت در برابر حملات password spraying میشود.

 

فرض کنید یک کاربر مورد حمله فیشینگ قرار گرفت که از او خواسته شده بود نام کاربری و رمز عبورش را تصدیق کند. حالا در این حالت حمله کننده اطلاعات ورود به اکتیو دایرکتوری را دارد، در نتیجه میتواند به سیستم وارد شود.

در صورتی که کاربر از احراز هویت دوگامی استفاده کند، از ورود به سیستم در صورتی که به اکانت نفوذ شد، جلوگیری میشود. در این حالت حمله کننده باید مجموعه بعدی از اطلاعات ورودی را وارد کند.

البته راه های صد در صدی برای جلوگیری از نفوذ هکر به سیستم وجود ندارد.

اگر از Office 365 استفاده میکنید، MFA میتواند به آن اضافه شود. توصیه میکنیم که از این ویژگی استفاده کنید.

برخی از روش های معروف احراز هویت دوگامی:

  • DUO
  • RSA
  • Microsoft MFA

 

مراقبت از رمزعبور DSRM

این رمز عبور که منحصرا به هر کدام از کنترل کننده دامنه (DC) ها اختصاص داده می شود، از اهمیت ویژه ای در اکتیو دایرکتوری برخوردار است. بهترین پیشنهاد برای ایمن سازی این رمز عبور راهکاری به جز تغییر متوالی این رمز عبور در فاصله های زمانی مشخص نیست چرا که فاش شدن این رمز عبور می تواند روند دستیابی به پایگاه داده اکتیودایرکتوری (NTDS.DIT) بسیار هموار سازد.

 

استفاده از IPSec

پیاده سازی IPSec برای ارتباطات بین کلاینت و کنترل کننده دامنه (DC) اگرچه کار پیچیده ای بوده و نیازمند صرف زمان قابل توجهی می باشد، امکان پیاده سازی آن برای ارتباطات بین کنترل کننده دامنه (DC) به میزان قابل توجهی آسان تر می باشد. از این پروتکل برای ارتباطات بین کنترل کننده های دامنه (DC) استفاده نمایید.

 

اعطای سطح دسترسی برحسب روشهایی مانند RBAC

 

پیشنهاد می شود راهبرانی که در سطح دامنه مشغول فعالیت هستند را با توجه به موقعیت شغلی آنها دسته بندی کرده و دسترسی های لازم را بر اساس موقعیت شغلی به آنها اعمال نماییم. به عنوان مثال راهبرانی که وظیفه مدیریت نام های کاربری و رمز عبور را بر عهده دارند را در گروهی به نام Account_Admins قرار داده و سطوح دسترسی مورد نیاز را با استفاده از تکنیک Delegation به آن گروه اعمال نمایید.

 

استفاده از جدیدترین ویژگی های امنیتی ADFS و Azure

 

ADFS و Azure ویژگی های امنیتی قدرتمندی دارند. این ویژگی ها باعث جلوگیری از Password spraying، account compromise، فیشینگ و.. میشوند.

اهمیتی ندارد که چه سطحی از Office 365 دارید، توصیه میکنیم که ویژگی های امنیتی آن را بررسی کنید. البته نسخه های پولی، امنیت بالاتری دارند اما مایکروسافت ویژگی های جدید را به سطوح مختلف اضافه میکند.

در زیر برخی ویژگی های امنیتی مهم را مشاهده میکنید

 

Smart Lockout از الگوریتمی استفاده میکند که ورود های مشکوک را مانیتور میکند.

IP Lockout  از پایگاه داده IP های مخرب مایکروسافت استفاده میکند تا ورود به سیستم را مسدود سازد.

Attack Simulations باید تست های فیشینگ را به صورت مرتب و دائم انجام دهید تا کاربران را تمرین دهید. مایکروسافت نرم افزار های شبیه ساز فیشینگ را همیشه انتشار میدهد

 MFA Authentication احراز هویت دو گامی مایکروسافت

Banned Password  رمز عبور را در برابر لیست مشخصی چک میکند.

Azure AD Connect Health  چندین گزارش مناسب را فراهم میکند.

Custom bad passwords  توانایی افزودن رمزهای عبوری نامناسب را ایجاد میکند که میتوان رمز ها را در برابر آنها چک کرد.

Service Account ها را قفل کنید

Service Account ها اکانت هایی هستند که یک فایل اجرایی، task یا سرویس، احراز هویت به AD و…  را اجرا میکنند.

 

این اکانت ها به تعداد زیادی وجود دارند و رمز عبوری دارند که never expire هستند. این اکانت ها اغلب دسترسی های زیادی دارند و اغلب اوقات عضوی از Domain Admins هستند. که چنین موضوعی برای AD بسیار خطرناک است.

 

در اینجا نکاتی برای قفل کردن اکانت های service  برای شما ارائه میدهیم.

 

  • از رمز های عبوری بلند استفاده کنید.
  • کمپانی ها را مجاب کنید که نرم افزارشان بدون نیاز به دسترسی domain admin اجرا شود.
  • دسترسی ها لازم و محدود دهید
  • دسترسی ادمین محلی ندهید.
  • Logon as a batch را غیر فعال کنید.
  • آن را در گروه Domain Admins قرار ندهید.
  • logon locally را Deny کنید.

 

/۰ دیدگاه /توسط
0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

تیم تخصصی ویستاگستربیهق(ویستانت) به پشتوانه تخصص و تجربیات کارشناسان خود در سال ۱۴۰۰ در زمینه ی مشاوره , آموزش و اجرای پروژه های تخصصی شبکه فعالیت خود را آغاز نمود.

هدف تیم ویستانت پشتیبانی و ارائه جدیدترین مطالب آموزشی و راهکارهای تخصصی شبکه می باشد. ویستانت کلیه خدمات خود را با تکیه بر تخصص، دانش فنی و تجربیات کارشناسان در قالب یک تیم تخصصی ارائه می‌کند.

اطلاعات تماس

ویستا گستر بیهق | خراسان رضوی-سبزوار
تلفن: ۰۵۱۴۴۶۵۷۸۱۵ – ۰۵۱۹۱۰۱۴۰۵۹ | همراه: ۰۹۳۵۴۹۹۴۰۵۹ | ایمیل: info@vistanetgroup.ir

تمامی حقوق برای ویستانت محفوظ می باشد

Fail Over دو اینترنت با ابزار Netwachریست کردن پسورد ویندوز و ویندوز سرور