Riduzione della superficie di attacco di Active Directory
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Questa sezione è incentrata sui controlli tecnici da implementare per ridurre la superficie di attacco di un'installazione Active Directory. In questa sezione sono disponibili le informazioni seguenti:
Implementazione di modelli amministrativi con privilegi minimi è incentrata sull'identificazione del rischio che l'uso di account con privilegi elevati presenti per l'amministrazione quotidiana, oltre a fornire raccomandazioni da implementare per ridurre tale rischio.
Implementazione di host amministrativi sicuri descrive i principi per la distribuzione di sistemi amministrativi dedicati e sicuri, oltre ad alcuni approcci di esempio per una distribuzione sicura di host amministrativi.
Protezione dei controller di dominio dagli attacchi illustra i criteri e le impostazioni che, sebbene simili alle raccomandazioni per l'implementazione di host amministrativi sicuri, contengono alcuni consigli specifici per i controller di dominio per garantire che i controller e i sistemi usati per gestirli siano ben protetti.
Account e gruppi con privilegi in Active Directory
Questa sezione fornisce informazioni di base sugli account e i gruppi con privilegi in Active Directory per illustrare i punti comuni e le differenze tra account con privilegi e gruppi in Active Directory. Comprendendo queste distinzioni, se si implementano esattamente le raccomandazioni in Implementazione di modelli amministrativi con privilegi minimi o si sceglie di personalizzarle per l'organizzazione, sono disponibili gli strumenti necessari per proteggere ogni gruppo e account in modo appropriato.
Account e gruppi con privilegi predefiniti
Active Directory facilita la delega dell'amministrazione e supporta il principio dei privilegi minimi nell'assegnazione di diritti e autorizzazioni. Gli utenti "normali" che dispongono di account in un dominio sono, per impostazione predefinita, in grado di leggere gran parte di ciò che viene archiviato nella directory, ma possono modificare solo un set di dati molto limitato al suo interno. Agli utenti che richiedono privilegi aggiuntivi è possibile concedere l'appartenenza a vari gruppi "con privilegi" incorporati nella directory in modo che possano eseguire attività specifiche correlate ai propri ruoli, ma che non possano eseguire attività non rilevanti per i propri compiti. Le organizzazioni possono anche creare gruppi personalizzati in base a specifiche responsabilità professionali e a cui concedere diritti e autorizzazioni granulari che consentono al personale IT di eseguire funzioni amministrative quotidiane senza superare diritti e autorizzazioni necessari per tali funzioni.
All'interno di Active Directory, tre gruppi integrati sono i gruppi con privilegi più elevati nella directory (Enterprise Admins, Domain Admins e Administrators). La configurazione e le funzionalità predefinite di ognuno di questi gruppi sono descritte nelle sezioni seguenti:
Gruppi in Active Directory con i massimi privilegi
Amministratori Enterprise
Enterprise Admins (EA) è un gruppo esistente solo nel dominio radice della foresta e, per impostazione predefinita, è membro del gruppo Administrators in tutti i domini della foresta. L'account Administrator incorporato nel dominio radice della foresta è l'unico membro predefinito del gruppo EA. Agli EA vengono concessi diritti e autorizzazioni che consentono di implementare modifiche a livello di foresta, ovvero modifiche che interessano tutti i domini nella foresta, ad esempio l'aggiunta o la rimozione di domini, la definizione di trust tra foreste o l'aumento dei livelli di funzionalità della foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza EA è necessaria solo quando si costruisce la foresta o quando si apportano determinate modifiche a livello di foresta, ad esempio la definizione di un trust tra foreste in uscita. La maggior parte dei diritti e delle autorizzazioni concessi al gruppo EA può essere delegata a utenti e gruppi con privilegi inferiori.
Domain Admins
Ogni dominio in una foresta ha un proprio gruppo Domain Admins (DA), che è membro del gruppo Administrators di tale dominio e membro del gruppo Administrators locale in ogni computer aggiunto al dominio. L'account predefinito Administrator in tale dominio è l'unico membro predefinito del gruppo EA. I DA sono "potenti" all'interno dei loro domini, mentre gli EA hanno privilegi a livello di foresta. In un modello di delega progettato e implementato correttamente, l'appartenenza agli amministratori di dominio deve essere necessaria solo in scenari di "rottura", ad esempio situazioni in cui è necessario un account con privilegi elevati in ogni computer del dominio. Anche se i meccanismi di delega nativa di Active Directory consentono la delega che permette di usare gli account DA solo in scenari di emergenza, la creazione di un modello di delega efficace può richiedere molto tempo e molte organizzazioni sfruttano strumenti di terze parti per accelerare il processo.
Amministratori
Il terzo gruppo è il gruppo predefinito Amministratori locale di dominio (BA) in cui sono annidati gli amministratori di database e le EA. A questo gruppo vengono concessi molti dei diritti diretti e delle autorizzazioni nella directory e nei controller di dominio. Tuttavia, il gruppo Amministratori per un dominio non ha privilegi sui server membri o sulle workstation. È tramite l'appartenenza al gruppo Amministratori locale dei computer a cui viene concesso il privilegio locale.
Nota
Anche se si tratta delle configurazioni predefinite di questi gruppi con privilegi, un membro di uno dei tre gruppi può modificare la directory per ottenere l'appartenenza a uno qualsiasi degli altri gruppi. In alcuni casi, è semplice ottenere l'appartenenza ad altri gruppi, mentre in altri è più difficile, ma dal punto di vista del potenziale privilegio, tutti e tre i gruppi devono essere considerati effettivamente equivalenti.
Amministratori schema
Un quarto gruppo con privilegi, Amministratori di schema (SA), esiste solo nel dominio radice della foresta e ha solo l'account Administrator predefinito del dominio come membro predefinito, simile al gruppo Amministratori enterprise. Il gruppo Amministratori schema deve essere popolato solo temporaneamente e occasionalmente (quando è necessaria la modifica dello schema di Active Directory Domain Services).
Anche se il gruppo SA è l'unico in grado di modificare lo schema di Active Directory, ovvero le strutture di dati sottostanti della directory come oggetti e attributi, l'ambito dei diritti e delle autorizzazioni del gruppo SA è più limitato rispetto ai gruppi descritti in precedenza. È anche comune rilevare casi in cui le organizzazioni hanno sviluppato procedure appropriate per la gestione dell'appartenenza al gruppo SA, perché l'appartenenza al gruppo è in genere raramente necessaria e lo è solo per brevi periodi di tempo. Questo vale tecnicamente per i gruppi EA, DA e BA in Active Directory, ma è molto meno comune riscontrare che le organizzazioni hanno implementato procedure simili per questi gruppi come per il gruppo SA.
Account e gruppi protetti in Active Directory
In Active Directory, un set predefinito di account e gruppi con privilegi denominati account e gruppi "protetti" è protetto in modo diverso rispetto ad altri oggetti nella directory. Qualsiasi account con appartenenza diretta o transitiva in qualsiasi gruppo protetto (indipendentemente dal fatto che l'appartenenza sia derivata da gruppi di sicurezza o di distribuzione) eredita questa sicurezza limitata.
Ad esempio, se un utente è membro di un gruppo di distribuzione che a sua volta è membro di un gruppo protetto in Active Directory, tale oggetto utente viene contrassegnato come account protetto. Quando un account viene contrassegnato come account protetto, il valore dell'attributo adminCount nell'oggetto è impostato su 1.
Nota
Anche se l'appartenenza transitiva in un gruppo protetto include la distribuzione annidata e i gruppi di sicurezza annidati, gli account membri dei gruppi di distribuzione annidati non riceveranno il SID del gruppo protetto nei token di accesso. Tuttavia, i gruppi di distribuzione possono essere convertiti in gruppi di sicurezza in Active Directory, motivo per cui tali gruppi sono inclusi nell'enumerazione membro del gruppo protetto. Se un gruppo di distribuzione annidato protetto viene convertito in un gruppo di sicurezza, gli account membri del gruppo di distribuzione precedente riceveranno successivamente il SID del gruppo protetto padre nei relativi token di accesso al successivo accesso.
La tabella seguente elenca gli account e gruppi protetti predefiniti in Active Directory in base al sistema operativo e alla versione del Service Pack (SP).
Account e gruppi protetti predefiniti in Active Directory in base al sistema operativo e alla versione del Service Pack (SP)
| Windows 2000 <SP4 | Windows 2000 SP4 -Windows Server 2003 | Windows Server 2003 SP1+ | Windows Server 2008 - Windows Server 2012 |
|---|---|---|---|
| Amministratori | Account Operators | Account Operators | Account Operators |
| Amministratore | Amministratore | Amministratore | |
| Amministratori | Amministratori | Amministratori | |
| Domain Admins | Backup Operators | Backup Operators | Backup Operators |
| Cert Publishers | |||
| Domain Admins | Domain Admins | Domain Admins | |
| Amministratori Enterprise | Controller di dominio | Controller di dominio | Controller di dominio |
| Amministratori Enterprise | Amministratori Enterprise | Amministratori Enterprise | |
| Krbtgt | Krbtgt | Krbtgt | |
| Print Operators | Print Operators | Print Operators | |
| Controller di dominio di sola lettura | |||
| Replicator | Replicator | Replicator | |
| Amministratori schema | Amministratori schema | Amministratori schema |
AdminSDHolder e SDProp
Nel contenitore Sistema di ogni dominio di Active Directory viene creato automaticamente un oggetto denominato AdminSDHolder. Lo scopo dell'oggetto AdminSDHolder è garantire che le autorizzazioni per account e gruppi protetti vengano applicate in modo coerente, indipendentemente dalla posizione in cui questi si trovano nel dominio.
Ogni 60 minuti (per impostazione predefinita), un processo noto come Propagatore del descrittore di sicurezza (SDProp) viene eseguito nel controller di dominio che contiene il ruolo dell'emulatore PDC del dominio. SDProp confronta le autorizzazioni per l'oggetto AdminSDHolder del dominio con le autorizzazioni per gli account e i gruppi protetti nel dominio. Se le autorizzazioni per uno degli account e dei gruppi protetti non corrispondono a quelle per l'oggetto AdminSDHolder, le autorizzazioni per gli account e i gruppi protetti vengono reimpostate in modo che corrispondano a quelle dell'oggetto AdminSDHolder del dominio.
L'ereditarietà delle autorizzazioni è disabilitata per i gruppi e gli account protetti, il che significa che anche se gli account o i gruppi vengono spostati in posizioni diverse nella directory, non ereditano le autorizzazioni dai nuovi oggetti padre. L'ereditarietà è disabilitata anche nell'oggetto AdminSDHolder in modo che le autorizzazioni apportate agli oggetti padre non modifichino le autorizzazioni di AdminSDHolder.
Nota
Quando un account viene rimosso da un gruppo protetto, non viene più considerato un account protetto, ma il relativo attributo adminCount rimane impostato su 1 se non viene modificato manualmente. Il risultato di questa configurazione è che gli ACL dell'oggetto non vengono più aggiornati da SDProp, ma l'oggetto non eredita ancora le autorizzazioni dal relativo oggetto padre. Pertanto, l'oggetto può risiedere in un'unità organizzativa (OU) a cui sono state delegate le autorizzazioni, ma l'oggetto precedentemente protetto non erediterà queste autorizzazioni delegate. Uno script per individuare e reimpostare gli oggetti precedentemente protetti nel dominio è disponibile nell'articolo Supporto tecnico Microsoft 817433.
Proprietà AdminSDHolder
La maggior parte degli oggetti in Active Directory è di proprietà del gruppo BA del dominio. Tuttavia, l'oggetto AdminSDHolder è, per impostazione predefinita, di proprietà del gruppo DA del dominio. Si tratta di una circostanza in cui i DA non derivano i diritti e le autorizzazioni tramite l'appartenenza al gruppo Amministratori per il dominio.
Nelle versioni di Windows precedenti a Windows Server 2008, i proprietari di un oggetto possono modificare le autorizzazioni dell'oggetto, inclusa la concessione di autorizzazioni che non avevano originariamente. Di conseguenza, le autorizzazioni predefinite per l'oggetto AdminSDHolder di un dominio impediscono agli utenti membri di gruppi BA o EA di modificare le autorizzazioni per tale oggetto. Tuttavia, i membri del gruppo Administrators per il dominio possono assumere la proprietà dell'oggetto e concedere autorizzazioni aggiuntive, il che significa che questa protezione è rudimentale e protegge solo l'oggetto da modifiche accidentali da parte di utenti che non sono membri del gruppo DA nel dominio. Inoltre, i gruppi BA ed EA (ove applicabile) dispongono dell'autorizzazione per modificare gli attributi dell'oggetto AdminSDHolder nel dominio locale (dominio radice per EA).
Nota
Un attributo dell'oggetto AdminSDHolder, dSHeuristics, consente una personalizzazione limitata (rimozione) di gruppi considerati gruppi protetti e interessati da AdminSDHolder e SDProp. Questa personalizzazione deve essere considerata attentamente se viene implementata, anche se esistono circostanze valide in cui la modifica di dSHeuristics in AdminSDHolder è utile. Altre informazioni sulla modifica dell'attributo dSHeuristics in un oggetto AdminSDHolder sono disponibili negli articoli del supporto tecnico Microsoft 817433 e in Appendice C: Account e gruppi protetti in Active Directory.
Anche se i gruppi con privilegi più elevati in Active Directory sono descritti qui, esistono diversi altri gruppi a cui sono stati concessi livelli elevati di privilegi. Per altre informazioni su tutti i gruppi predefiniti in Active Directory e sui diritti utente assegnati a ognuno di essi, vedere Appendice B: Account e gruppi con privilegi in Active Directory.