Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zákon číslo tři: Pokud špatný člověk má neomezený fyzický přístup k vašemu počítači, už to není váš počítač. - Deset neměnných zákonů zabezpečení (verze 2.0).
Řadiče domény poskytují fyzické úložiště pro databázi služby Active Directory Domain Services (AD DS) kromě poskytování služeb a dat, které podnikům umožňují efektivně spravovat své servery, pracovní stanice, uživatele a aplikace. Pokud se získá privilegovaný přístup k řadiči domény, může uživatel se zlými úmysly upravit, poškodit nebo zničit databázi služby AD DS a všechny systémy a účty spravované službou Active Directory.
Vzhledem k tomu, že řadiče domény můžou číst z databáze služby AD DS a zapisovat do čehokoli, ohrožení zabezpečení řadiče domény znamená, že doménová struktura služby Active Directory se už nikdy nedá považovat za důvěryhodnou, pokud nebudete moct obnovit známé dobré zálohování a uzavřít mezery, které umožňovaly ohrožení zabezpečení.
V závislosti na přípravě, nástrojích a dovednostech útočníka může dojít k nenapravitelnému poškození během několika minut až hodin, ne dnů nebo týdnů. Nezáleží na tom, jak dlouho má útočník privilegovaný přístup k Active Directory, ale na tom, jak důkladně útočník naplánoval moment získání tohoto přístupu. Kompromitace řadiče domény poskytuje nejsnazší cestu ke zničení členských serverů, pracovních stanic a služby Active Directory. Kvůli této hrozbě by řadiče domény měly být zabezpečeny samostatně a přísněji než obecná infrastruktura.
Fyzické zabezpečení pro řadiče domény
Tato část obsahuje informace o fyzickém zabezpečení řadičů domény. Řadiče domény můžou být fyzické nebo virtuální počítače, v datacentrech, pobočkách nebo vzdálených umístěních.
Řadiče domény datacentra
Fyzické řadiče domény
V datacentrech by měly být fyzické řadiče domény nainstalované ve vyhrazených zabezpečených rackech nebo klecích, které jsou oddělené od obecného základního souboru serveru. Pokud je to možné, řadiče domény by měly být nakonfigurované s čipy TPM (Trusted Platform Module) a všechny svazky na serverech řadiče domény by měly být chráněné pomocí nástroje BitLocker Drive Encryption. BitLocker přidává malou režii na výkon, ale chrání adresář před ohrožením i v případě, že se disky ze serveru odeberou. BitLocker může také pomoct chránit systémy před útoky, jako jsou rootkity, protože úprava spouštěcích souborů způsobí, že se server spustí do režimu obnovení, aby bylo možné načíst původní binární soubory. Pokud je řadič domény nakonfigurovaný tak, aby používal softwarové pole RAID, seriálově připojené SCSI, SAN/NAS úložiště nebo dynamické svazky, BitLocker se nedá implementovat, takže místně připojené úložiště (s nebo bez hardware RAID) by se mělo používat v řadičích domény, kdykoli je to možné.
Virtuální řadiče domény
Pokud implementujete virtuální řadiče domény, měli byste zajistit, aby řadiče domény běžely také na samostatných fyzických hostitelích než na jiných virtuálních počítačích v prostředí. I když používáte virtualizační platformu jiné společnosti než Microsoft, zvažte nasazení virtuálních řadičů domény na Hyper-V ve Windows Serveru. Tato konfigurace poskytuje minimální plochu útoku a je možné ji spravovat pomocí řadičů domény, které hostuje, a nespravuje se spolu s ostatními hostiteli virtualizace. Pokud implementujete nástroj System Center Virtual Machine Manager (SCVMM) pro správu infrastruktury virtualizace, můžete delegovat správu fyzických hostitelů, na kterých se nacházejí virtuální počítače řadiče domény, a řadiče domény samotné autorizovaným správcům. Měli byste také zvážit oddělení úložiště virtuálních řadičů domény, abyste správcům úložiště zabránili v přístupu k souborům virtuálního počítače.
Poznámka:
Pokud chcete společně umístit virtualizované řadiče domény s jinými, méně citlivými virtuálními počítači na stejných fyzických virtualizačních serverech (hostitelích), zvažte implementaci řešení, které vynucuje oddělení povinností na základě rolí, jako jsou Shielded VMs v Hyper-V. Tato technologie poskytuje komplexní ochranu před škodlivými nebo bezvýznamnými správci prostředků infrastruktury (včetně virtualizace, sítě, úložiště a správců záloh).) Využívá fyzický kořen důvěryhodnosti se vzdáleným ověřováním a zabezpečeným zřizováním virtuálních počítačů a efektivně zajišťuje úroveň zabezpečení, která je v souladu s vyhrazeným fyzickým serverem.
Umístění poboček
Fyzické řadiče domény v pobočkách
V umístěních, kde se nachází více serverů, ale nejsou fyzicky zabezpečené do takové míry jako servery v datacentrech, by měly být fyzické řadiče domény nakonfigurované s čipy TPM a BitLocker Drive Encryption pro všechny diskové oddíly serveru. Pokud řadič domény nemůže být uložen v uzamčené místnosti na pobočkách, měli byste zvážit nasazení řadičů domény Read-Only (RODC) v těchto lokalitách.
Virtuální řadiče domény v pobočkách
Kdykoli je to možné, měli byste spouštět virtuální řadiče domény v pobočkách na samostatných fyzických hostitelích než ostatní virtuální počítače v lokalitě. Ve firemních pobočkách, kde virtuální řadiče domény nemůžou běžet na samostatných fyzických hostitelích od zbytku základního virtuálního serveru, byste měli implementovat čipy TPM a nástroj BitLocker Drive Encryption na hostitelích, na kterých virtuální řadiče domény běží minimálně, a pokud je to možné, všechny hostitele. V závislosti na velikosti pobočky a zabezpečení fyzických hostitelů byste měli zvážit nasazení řadičů domény s omezeným přístupem na pobočkách.
Vzdálená umístění s omezeným prostorem a zabezpečením
Pokud vaše infrastruktura obsahuje umístění, kde je možné nainstalovat jenom jeden fyzický server, měl by být nainstalován server schopný spouštět virtualizační úlohy a nástroj BitLocker Drive Encryption by měl být nakonfigurovaný tak, aby chránil všechny svazky na serveru. Jeden virtuální počítač na serveru by měl běžet jako řadič domény jen pro čtení, zatímco ostatní servery běží jako samostatné virtuální počítače na hostiteli. Informace o plánování nasazení řadičů domény jen pro čtení naleznete v Průvodci plánováním a nasazením řadičů domény Read-Only. Další informace o nasazení a zabezpečení virtualizovaných řadičů domény najdete v části Spouštění řadičů domény v Hyper-V. Podrobnější pokyny k posílení zabezpečení technologie Hyper-V, delegování správy virtuálních počítačů a ochraně virtuálních počítačů najdete v průvodci zabezpečením Hyper-V akcelerátoru řešení na webu Microsoftu.
Operační systémy řadiče domény
Všechny řadiče domény byste měli spustit na nejnovější verzi Windows Serveru, která je ve vaší organizaci podporovaná. Organizace by měly upřednostňovat vyřazení starších operačních systémů z provozu v populaci řadiče domény. Měli byste určit prioritu zachování aktuálního stavu řadičů domény a odstranění starších řadičů domény, což vám umožní využívat nové funkce a zabezpečení. Tato funkce nemusí být dostupná v doménách nebo doménových strukturách s řadiči domény se starší verzí operačního systému.
Poznámka:
Pokud jde o konfiguraci citlivou na zabezpečení a jednoúčelovou konfiguraci, doporučujeme nasadit operační systém v Server Core možnost instalace. Poskytuje několik výhod, jako je minimalizace prostoru pro útoky, zlepšení výkonu a snížení pravděpodobnosti lidské chyby. Doporučujeme provádět všechny operace a správu vzdáleně, z vyhrazených vysoce zabezpečených koncových bodů, jako jsou pracovní stanice s privilegovaným přístupem (PAW) nebo Zabezpečené hostitele pro správu.
Zabezpečená konfigurace řadičů domény
Nástroje lze použít k vytvoření počáteční základní konfigurace zabezpečení pro řadiče domény, které mají být vynuceny pomocí objektů zásad skupiny. Tyto nástroje jsou popsány v části Správa nastavení zásad zabezpečení dokumentaci k operačním systémům Microsoftu nebo DSC (Desired State Configuration) pro Windows.
Omezení protokolu RDP
Objekty zásad skupiny, které odkazují na všechny organizační jednotky domény v doménové struktuře, by měly být nakonfigurované tak, aby povolovaly připojení RDP pouze od autorizovaných uživatelů a systémů, jako jsou jump servery. Řízení lze dosáhnout kombinací nastavení uživatelských práv a brány Windows Firewall s konfigurací WFAS (Advanced Security). Tyto ovládací prvky je možné implementovat s objekty zásad skupiny, aby se zásady konzistentně používaly. Pokud je zásada vynechána, další aktualizace zásad skupiny vrátí systém do správné konfigurace.
Správa oprav a konfigurace pro řadiče domény
I když to může vypadat jako neintuitivní, měli byste zvážit opravy řadičů domény a dalších důležitých komponent infrastruktury odděleně od obecné infrastruktury Windows. Pokud používáte software pro správu podnikové konfigurace pro všechny počítače ve vaší infrastruktuře, můžete k ohrožení zabezpečení nebo zničení všech součástí infrastruktury spravovaných tímto softwarem použít ohrožení zabezpečení softwaru pro správu systémů. Oddělením správy oprav a systémů pro řadiče domény od ostatních systémů můžete snížit množství softwaru nainstalovaného na řadičích domény a zároveň zajistit jejich důkladnou správu.
Blokování přístupu k internetu pro řadiče domény
Jednou z kontrol provedených v rámci posouzení zabezpečení služby Active Directory je použití a konfigurace webových prohlížečů na řadičích domény. Na řadičích domény by se neměl používat žádný webový prohlížeč. Analýza tisíců řadičů domény odhalila řadu případů, kdy privilegovaní uživatelé používali Internet Explorer k procházení intranetu nebo internetu organizace.
Procházení internetu nebo infikovaného intranetu z jednoho z nejúčinnějších počítačů v infrastruktuře Windows představuje mimořádné riziko pro zabezpečení organizace. Ať už prostřednictvím "drive-by" stažení nebo stažení malwarově napadených "utilit," mohou útočníci získat přístup ke všemu, co potřebují k úplnému ohrožení nebo zničení prostředí Active Directory.
Spouštění webových prohlížečů na řadičích domény by mělo být omezeno pomocí zásad a technických kontrol. Přístup k internetu k řadičům domény a z řadičů domény by měl být obecně také přísně kontrolován.
Microsoft vyzývá všechny organizace, aby přešly na cloudový přístup ke správě identit a přístupu a migrovali z Active Directory na Microsoft Entra ID. Microsoft Entra ID je kompletní cloudové řešení správy identit a přístupu pro správu adresářů, které umožňuje přístup k místním a cloudovým aplikacím a chrání identity před bezpečnostními hrozbami. Microsoft Entra ID nabízí robustní a podrobnou sadu bezpečnostních prvků, které pomáhají chránit identity, jako je vícefaktorové ověřování, zásady podmíněného přístupu, ochrana ID, zásady správného řízení identit a Privileged Identity Management.
Většina organizací pracuje v modelu hybridní identity během přechodu do cloudu, kde se některé prvky místní služby Active Directory synchronizují pomocí služby Microsoft Entra Connect. I když tento hybridní model existuje v jakékoli organizaci, Microsoft doporučuje ochranu místních identit s využitím Microsoft Defenderu for Identity v cloudu. Konfigurace senzoru Defenderu pro Identity na řadičích domény a serverech AD FS umožňuje zabezpečené jednosměrné připojení ke cloudu prostřednictvím proxy serveru a konkrétních koncových bodů. Úplné vysvětlení konfigurace tohoto připojení proxy serveru najdete v technické dokumentaci pro Defender for Identity. Tato úzce řízená konfigurace zajišťuje, že riziko připojení těchto serverů ke cloudové službě se zmírní a organizace budou těžit z zvýšení možností ochrany, které nabízí Defender for Identity. Microsoft také doporučuje, aby tyto servery byly chráněné pomocí detekce koncových bodů s cloudem, jako je Microsoft Defender pro servery.
Pro organizace, které mají zákonné nebo jiné požadavky řízené zásadami, aby zachovaly pouze místní implementaci služby Active Directory, společnost Microsoft doporučuje zcela omezit přístup k internetu na řadiče domény a z nich.
Omezení perimetrálního firewallu
Perimetrické firewally by měly být nakonfigurovány tak, aby blokovaly odchozí připojení z řadičů domény na internet. Přestože doménové řadiče můžou potřebovat komunikovat přes hranice lokality, perimetrické firewally lze nakonfigurovat tak, aby umožňovaly komunikaci mezi lokalitami podle pokynů uvedených v tématu Jak nakonfigurovat bránu firewall pro domény služby Active Directory a vztahy důvěryhodnosti.
Zamezení procházení webu z řadičů domény
Můžete použít kombinaci konfigurace AppLockeru, konfigurace "černé díry" proxy a konfigurace služby WFAS, abyste zabránili řadičům domény v přístupu k internetu a zabránili používání webových prohlížečů na řadičích domény.