Vad är Active Directory?
AD, är en katalogtjänst från Microsoft som innehåller information om olika resurser i en domän (datornätverk) till exempel, datorer, skrivare och användare. Det tillåter administratörer att skapa och hantera domäner, användarkonton och policyer för tillgång och säkerhet på ett centraliserat sätt.
Active Directory (AD) från Microsoft är en kritisk komponent i nästan varje större organisationens IT-infrastruktur. Det spelar en central roll i hanteringen av användare, grupper och policyer. Från ett cybersäkerhetsperspektiv är AD av yttersta vikt eftersom det inte bara styr tillgången till nyckelresurser inom nätverket utan också är en frekvent måltavla för cyberangrepp.
Säkerheten i Microsoft Active Directory (AD) förblir en central fråga för organisationer som vill skydda sin immateriella egendom mot statligt sponsrade cyberattacker. Med tanke på att över 90% av Global Fortune 1,000-företagen använder AD, blir det en attraktiv måltavla för cyberbrottslingar. Dessa hot har förändrats och intensifierats, med en ökning av identitetsbaserade attacker och en globalisering av ransomware-marknaden som nu sträcker sig bortom Östeuropa till områden som Centralamerika, Sydamerika och Mellanöstern.
AD stöder olika säkerhetsprotokoll och autentiseringsmetoder som hjälper till att skydda data och resurser. Till exempel använder det Kerberos-protokollet för autentisering.
Genom att använda grupper och policyer kan AD effektivt hantera användares behörigheter. Detta hjälper till att implementera principen om minsta privilegium, vilket innebär att användare endast ges de behörigheter som är nödvändiga för att utföra sina arbetsuppgifter.
AD loggar aktiviteter och ändringar inom nätverket, vilket möjliggör effektiv spårning och övervakning. Detta är viktigt för att upptäcka och reagera på misstänkt eller skadlig aktivitet.
Attacker mot Active directory är ett globalt säkerhetshot
Kontroll relationerna mellan AD objekt och DACL felkonfigurationer kan skapa många säkerhetsproblem. Active Directory (AD) och DACL åtkomstkontrollistor (discretionary access control lists ) förbises ofta av både anfallare och försvarare och nätverkstekniker behöver följa best practices och checklistor för att ha en basnivå av skydd.
AdFind är ett gratis kommandotolk verktyg som kan användas för att samla in olika typer av information från Active Directory inom en organisation och används både av hackare och säkerhetsfolk. AdFind låter användare utföra detaljerade sökningar i AD för att hitta specifik information om användare, grupper, datorer och andra objekt. Det är användbart för att extrahera komplex information som inte enkelt kan hittas via standard-AD-verktyg. AdFind kan användas för att lista användare i en domän. AdFind kan användas för att lista användare och domängrupper i en domän. Verktyget kan samla information om organisatoriska enheter (OUs) och domänförtroenden från Active Directory.
ADRecon är ett verktyg som används för att samla in och konsolidera information från Active Directory (AD) i en Microsoft Windows-miljö. Målet med ADRecon är att ge en snabb och omfattande överblick av den aktuella statusen i en AD-miljö, vilket är särskilt användbart för säkerhetsbedömningar, felsökning och övergripande nätverksadministration.
Discovery (upptäckt) är en term som används inom cybersäkerhet för att beskriva de tekniker som en angripare kan använda för att få kunskap om ett system och det interna nätverket. Dessa tekniker hjälper angripare att observera miljön och orientera sig innan de bestämmer hur de ska agera.
Kritiska säkerhetsåtgärder kring Active Directory
- Privilegierade åtkomststationer (PAWs): Användning av PAWs är en viktig bästa praxis för att säkra AD. Dessa är hårdnade maskiner som endast tillåter användare att logga in med privilegierade referenser och förhindrar körning av sårbara applikationer som hemanvändningsprogramvara. Detta eliminerar risken för att lösenordshashar för privilegierade konton lagras i minnet för en vanlig användares maskin, vilket är en vanlig taktik för att bryta AD-säkerheten.
- Säkerhet för domänkontrollanter: Säkerställa fysisk säkerhet för domänkontrollanter är avgörande. De ska konfigureras med inbyggda och fritt tillgängliga konfigurationsverktyg för att skapa säkerhetskonfigurationsstandarder som kan upprätthållas med grupppolicyobjekt (GPOs).
- Övervakning av AD: Kontinuerlig övervakning av AD för tecken på ondsinta attacker eller säkerhetsöverträdelser är kritisk. Detta inkluderar användning av både äldre revisionskategorier och avancerad revisionspolicy.
- Planering för säkerhetsöverträdelser: Ingen försvar är någonsin helt perfekt. Det är viktigt att planera för värsta scenariot, vilket inkluderar upprätthållande av en säker miljö och att skapa affärscentrerade säkerhetspraxis för AD.
- Undvik att ge överdrivna privilegier: Det är viktigt att implementera en minsta-privilegier administrativ modell och säkerställa att administrativa konton endast har de grundläggande privilegierna som krävs för att utföra sina uppgifter, utan extra privilegier de inte behöver.
För att effektivt skydda AD och därmed hela nätverket krävs det att organisationer tar itu med de komplexa och ofta konfliktfyllda säkerhetsaspekterna kring AD. Detta innebär att man måste gå utöver traditionella säkerhetsverktyg och anamma nyare innovationer som ger kontinuerlig synlighet för AD:s sårbarheter, exponeringar, attacker och obehörig åtkomst. Tyvärr har AD ofta hamnat i en blinspot mellan ändpunkts- och åtkomsthanteringslösningar, vilket skapar gemensamma hanterings- och säkerhetsgap.
Program som skyddar AD
Det finns program som AD ACL Scanner. Företaget Alsid har också produkter som Active Directory Security.
Mer information:
Andy Robbins och Will Schroeder från BloodHound höll ett föredrag om AD på Blackhat 2017.Läs mer
