6 strumenti per proteggere i tuoi Domain Controllers

Ci sono molte cose che puoi fare come amministratore per ridurre o eliminare i rischi associati ai tuoi Domain Controllers. In questo articolo, daremo uno sguardo ad alcuni strumenti che puoi utilizzare per aiutare in questo.

Superficie di attacco – Questo concetto si riferisce a software, protocolli e porte utilizzati dai server che ne permettono il funzionamento. Questi elementi sono le aree di vulnerabilità e dovrebbero essere monitorati o addirittura disabilitati se non necessari. Riducendo la superficie di attacco, è possibile diminuire notevolmente la possibilità che un attaccante possa accedere a una vulnerabilità attuale o futura. Gli strumenti e le applicazioni elencati di seguito ti aiuteranno a ridurre la tua superficie di attacco complessiva.

Procedura guidata Configurazione Sicurezza

Il Security Configuration Wizard (SCW) può essere avviato dagli Strumenti di amministrazione. Questo strumento ti aiuta a creare una politica che abiliterà servizi, regole del firewall e altre impostazioni che permetteranno al tuo server di svolgere il ruolo assegnato. Facendo ciò, aiuterà anche a disabilitare servizi, protocolli e porte non necessari. La procedura guidata ti condurrà attraverso i passaggi per creare o modificare una politica per i ruoli installati sul server. La Figura 1 qui sotto mostra uno screenshot del Security Configuration Wizard. Devi avere privilegi di amministratore sul server.

Figura 1

Le politiche di sicurezza create con SCW possono essere implementate utilizzando Group Policy. Affinché SCW funzioni correttamente, tutte le applicazioni che utilizzano il protocollo IP e le porte devono essere attive sul server quando si avvia SCW.

Microsoft Security Compliance Manager

Il Security Compliance Manager (SCM) è uno strumento gratuito che consente di configurare e gestire i computer nel proprio ambiente Active Directory creando politiche di base basate sulle migliori pratiche di sicurezza.

AppLocker

AppLocker allows you to create rules that will allow or deny applications from running. AppLocker can control the following types of applications: .exe, .com, .js, .ps1, .vbs, .cmd, .bat, .mst, .msi, .msp, .dll and .ocx. If you do not want users to be able to store executable files on their home drive, you can restrict that using AppLocker. You can also restrict applications that are permitted to run on domain controllers.

Patch e aggiornamenti

I controller di dominio dovrebbero avere le patch e gli aggiornamenti più recenti. È importante, tuttavia, installare solo le patch pertinenti. Potrebbe essere necessario eseguire la patch e aggiornare i controller di dominio separatamente dagli altri computer nel tuo ambiente. Questo garantirà che i controller di dominio abbiano gli aggiornamenti necessari senza installare software non necessario.

Desktop remoto

L'accesso remoto ai controller di dominio dovrebbe essere limitato tramite Group Policy solo a coloro che sono autorizzati.

Navigazione Web sui Domain Controllers

È una cattiva prassi consentire la navigazione web dai controller di dominio. Il problema è che quando si è connessi come amministratore, si potrebbe scaricare involontariamente software dannoso.