Strategie principali per rafforzare la tua infrastruttura Active Directory

Microsoft Active Directory (AD) is the central credential store for 90% of organizations worldwide. As the gatekeeper to business applications and data, it’s not just everywhere, it’s everything! Managing AD is a never-ending task, and securing it is even harder. At Netwrix, we talk to a lot of customers who are using our tools to manage and secure AD, and over the years, key strategies for tightening security and hardening AD to resist attacks have emerged. Here are 10 Active Directory security hardening tips that you can use in your environment:

Suggerimento #1: Pulire gli oggetti obsoleti.

Active Directory include migliaia di elementi e molti componenti in movimento da proteggere. Un metodo fondamentale per aumentare la sicurezza è ridurre il disordine eliminando gli utenti, i gruppi e le macchine inutilizzati. Gli oggetti AD obsoleti possono essere sfruttati dagli attaccanti, quindi eliminarli riduce la superficie di attacco.

Potreste anche trovare elementi usati raramente. Utilizzate i dati HR e lavorate con i responsabili aziendali per determinare il loro stato; ad esempio, per gli account utente, determinate il manager dell'utente. Anche se richiede tempo, apprezzerete averlo fatto durante il vostro prossimo audit o revisione della conformità.

Suggerimento #2: Rendete facile per gli utenti la scelta di password sicure.

Per prevenire che gli avversari compromettano le credenziali degli utenti per entrare nella tua rete e muoversi lateralmente, le password devono essere difficili da decifrare. Ma gli utenti semplicemente non possono ricordare e gestire più password complesse da soli, quindi ricorrono a pratiche che indeboliscono la sicurezza, come scrivere le loro password su foglietti adesivi o semplicemente incrementare un numero alla fine quando devono cambiarle. Questo ha portato gli esperti di sicurezza a indebolire le loro raccomandazioni riguardo la complessità delle password e i reset.

Tuttavia, con una soluzione enterprise di password management, è possibile rendere facile per gli utenti la creazione di password uniche e altamente sicure e gestirle efficacemente, in modo da non dover scendere a compromessi sui requisiti di password robuste. Un utente deve memorizzare solo una password forte e lo strumento gestisce tutte le altre per loro.

Suggerimento #3: Non permettere ai dipendenti di avere privilegi di amministratore sulle loro postazioni di lavoro.

Se un attaccante ottiene il controllo di un account utente (cosa che sappiamo avviene piuttosto frequentemente), il loro passo successivo è spesso installare software di hacking sulla postazione di lavoro dell'utente per aiutarli a muoversi lateralmente e prendere il controllo di altri account. Se l'account compromesso ha diritti di amministratore locale, quel compito è facile.

Ma la maggior parte degli utenti aziendali non ha effettivamente bisogno di installare software o modificare le impostazioni molto spesso, quindi puoi ridurre il rischio non concedendo loro permessi da amministratore. Se hanno bisogno di un'applicazione aggiuntiva, possono chiedere al helpdesk di installarla. Non dimenticare di use Microsoft LAPS per assicurarti che tutti gli altri account amministrativi locali abbiano password forti e che vengano cambiate secondo una programmazione regolare.

Suggerimento #4: Proteggi gli account di servizio.

Gli account di servizio sono utilizzati dalle applicazioni per autenticarsi su AD. Sono spesso presi di mira dagli attaccanti perché raramente monitorati, dispongono di privilegi elevati e tipicamente hanno password senza scadenza. Di conseguenza, esaminate attentamente i vostri account di servizio e limitatene i permessi il più possibile. A volte gli account di servizio sono membri del gruppo degli Admin di Dominio, ma di solito non hanno bisogno di tutto quel livello di accesso per funzionare — potrebbe essere necessario verificare con il fornitore dell'applicazione per scoprire i privilegi esatti di cui hanno bisogno.

È anche importante cambiare periodicamente le password degli account di servizio per rendere ancora più difficile agli aggressori sfruttarli. Farlo manualmente è difficile, quindi prendi in considerazione l'uso della funzionalità group managed service account (gMSA) introdotta in Windows Server 2016. Quando utilizzi i gMSA, il sistema operativo gestirà automaticamente la gestione delle password degli account di servizio per te.

Suggerimento #5: Eliminare la permanenza nelle gruppi di sicurezza.

I gruppi di sicurezza Enterprise Admin, Schema Admin e Domain Admin sono i gioielli della corona di Active Directory, e gli attaccanti faranno tutto il possibile per ottenere la loro appartenenza. Se i tuoi amministratori hanno una appartenenza permanente in questi gruppi, un attaccante che compromette uno dei loro account avrà un accesso elevato permanente nel tuo dominio.

Per ridurre questo rischio, limitare rigorosamente l'appartenenza a tutti questi gruppi altamente privilegiati e, inoltre, rendere l'appartenenza temporanea. I gruppi Enterprise Admin e Schema Admin non sono frequentemente utilizzati, quindi per questi non sarà un problema. Il Domain Admin è necessario molto più spesso, quindi dovrà essere istituito un sistema per concedere l'appartenenza temporanea.

Suggerimento #6: Eliminare i permessi elevati ovunque sia possibile.

Ci sono tre permessi abbastanza comuni di cui gli aggressori hanno bisogno per eseguire attacchi contro AD: Reimposta Password, Cambia Appartenenza al Gruppo e Replica. Questi permessi sono più difficili da proteggere poiché vengono utilizzati così frequentemente nelle operazioni quotidiane.

Di conseguenza, dovresti monitorare tutte le modifiche ai permessi dei gruppi di sicurezza o all'appartenenza che concederebbero questi diritti a ulteriori utenti. Ancora meglio, implementare una soluzione di Privileged Access Management (PAM) che consente il provisioning temporaneo giusto in tempo di questi privilegi.

Suggerimento #7: Implementare l'autenticazione multifattore (MFA)

L'MFA aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di verificare la loro identità fornendo almeno due dei seguenti tipi di fattori di autenticazione:

• Qualcosa che conoscono, come una password, un PIN o la risposta a una domanda di sicurezza
• Qualcosa che possiedono, come un codice da un token fisico o una smart card
• Qualcosa che sono, il che significa biometrici come la scansione di impronte digitali, iride o viso

Suggerimento #8: Effettua un'audizione dettagliata del tuo Active Directory.

È importante audit Active Directory sia per impostazioni non sicure che per attività sospette. In particolare, si dovrebbe eseguire regolarmente una risk assessment per mitigare le lacune di sicurezza, monitorare le attività anomale degli utenti e identificare prontamente il configuration drift nei file di sistema critici. È ideale investire in strumenti che allertino automaticamente in caso di eventi sospetti e che possano anche rispondere automaticamente per bloccare le minacce.

Suggerimento #9: Proteggi DNS.

La sicurezza del DNS può aiutarti a bloccare una varietà di attacchi, inclusi il dirottamento di dominio e lo spoofing DNS. Le misure da adottare includono implementing DNSSEC, l'utilizzo di un server DNS sicuro e il controllo regolare delle reviewing DNS settings.

Suggerimento #10: Effettuare regolarmente il backup di Active Directory.

Avere un backup recente del proprio Active Directory è fondamentale per il recupero da incidenti informatici, inclusi attacchi ransomware e disastri naturali. I backup dovrebbero essere conservati in modo sicuro, testati regolarmente e facilmente accessibili per garantire che le impostazioni critiche del AD siano recuperabili in caso di disastro.

Conclusione

Active Directory è un sistema straordinario per controllare l'accesso. Tuttavia, è sicuro solo quando è pulito, compreso, configurato correttamente, monitorato attentamente e controllato strettamente. Questi consigli sono modi pratici in cui puoi rafforzare la sicurezza e indurire il tuo Active Directory.

Domande frequenti

Cos'è il hardening in Active Directory?

Il rafforzamento in Active Directory è il processo di protezione e potenziamento del servizio di directory per ridurre il rischio di data breach e tempi di inattività. Include il controllo dell'accesso ai dati sensibili, la rimozione di oggetti non necessari, l'applicazione delle password policies e il monitoraggio delle attività sospette.

Cos'è il rafforzamento del domain controller?

Il rafforzamento dei controller di dominio è il processo di potenziamento dei server che eseguono Active Directory per ridurre il rischio di accesso non autorizzato, violazioni dei dati e interruzioni del servizio. Include la disattivazione di servizi superflui, l'implementazione di patch e aggiornamenti di sicurezza, l'istituzione di regole del firewall e l'applicazione di pratiche di password robuste.

Cosa succede se un domain controller viene compromesso?

Un avversario che compromette un domain controller può causare danni significativi, dall'accedere a dati sensibili al creare, modificare ed eliminare account utente e altri oggetti critici di AD.

Come posso proteggere Active Directory?

La sicurezza di Active Directory è un processo continuo che coinvolge più livelli di controlli di sicurezza. In particolare, le organizzazioni devono implementare politiche di password robuste, limitare l'accesso degli utenti, monitorare le attività sospette, mantenere i sistemi aggiornati e con le patch applicate, proteggere i controller di dominio, utilizzare l'autenticazione multifattore (MFA) per aggiungere ulteriore sicurezza ed educare i dipendenti sulle migliori pratiche di cybersecurity e sulle potenziali minacce.