Рекомендации по защите Active Directory

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Атаки на вычислительную инфраструктуру увеличились за последнее десятилетие во всех частях мира. Мы живем в эпоху кибер-войны, киберпреступности и хактивизма. В результате организации всех размеров во всем мире должны были иметь дело с утечками информации, кражей интеллектуальной собственности (IP), атаками типа "отказ в обслуживании" (DDoS) или даже разрушенной инфраструктурой.

Однако, поскольку ландшафт угроз изменился в течение многих лет, ландшафт безопасности также адаптирован для борьбы с этими угрозами. Хотя ни один из организаций с инфраструктурой информационных технологий (ИТ) никогда не является идеальной защитой от атак, конечная цель безопасности не предотвращает попытки атак в целом, но защищает ИТ-инфраструктуру от атак. Используя правильные политики, процессы и элементы управления, вы можете защитить ключевые части ИТ-инфраструктуры от компрометации.

В этой статье описаны наиболее распространенные типы уязвимостей, которые мы наблюдали в развертываниях Active Directory (AD). Далее мы вооружим вас рекомендациями по защите этих слабых точек от компрометации. Мы разработали эти рекомендации на основе знаний наших ИТ-организаций Майкрософт (MSIT) и Microsoft Information Security and Risk Management (ISRM). Мы также покажем вам шаги, которые можно предпринять, чтобы уменьшить уровень уязвимой инфраструктуры или атаки на вашей AD предоставляется внешнему миру. Мы также включаем предложения по восстановлению жизненно важных данных и функций инфраструктуры, если есть компромисс безопасности.

Распространенные уязвимости системы безопасности

Чтобы узнать, как лучше защитить инфраструктуру, сначала необходимо понять, где атаки, скорее всего, нападают и как они работают. В этой статье рассматриваются только общие рекомендации, но если вы хотите ознакомиться с более подробными сведениями, мы включили ссылки на более подробные статьи.

Теперь рассмотрим наиболее распространенные уязвимости системы безопасности.

Общие точки входа

Первоначальные целевые объекты нарушения или точки входа — это области, в которых злоумышленники могут легко входить в ИТ-инфраструктуру. Точки входа обычно являются пробелами в безопасности или обновлениях, которые злоумышленники могут использовать для получения доступа к системе в вашей инфраструктуре. Злоумышленники обычно начинаются с одной или двух систем за раз, а затем обостряют свою атаку по мере того, как они распространяют свое влияние на другие системы, незамеченные.

Наиболее распространенными уязвимостями являются:

• Пробелы в развертываниях антивирусной программы и защиты от вредоносных программ

• Неполное исправление

• Устаревшие приложения и операционные системы

• Неправильные настройки

• Отсутствие методов разработки безопасных приложений

Кража учетных данных

Атаки кражи учетных данных возникают, когда злоумышленник получает привилегированный доступ к компьютеру в сети с помощью средств для извлечения учетных данных из сеансов учетных записей, вошедшего в систему. Злоумышленники часто используют определенные учетные записи, у которых уже есть повышенные привилегии. Злоумышленник украл учетные данные этой учетной записи, чтобы имитировать свое удостоверение, чтобы получить доступ к системе.

Вор учетных данных обычно предназначен для таких типов учетных записей:

• Постоянные привилегированные учетные записи

• Учетные записи ВИРТУАЛЬНЫХ IP-адресов

• Учетные записи Active Directory, подключенные к привилегированным пользователям

• Контроллеры домена

• Другие службы инфраструктуры, влияющие на управление удостоверениями, доступом и конфигурацией, например серверы инфраструктуры открытых ключей (PKI) или серверы управления системами

Пользователи с привилегированными учетными записями повышают риск кражи учетных данных, выполняя следующие действия:

• Вход в привилегированные учетные записи на незащищенных компьютерах

• Просмотр Интернета при входе в привилегированную учетную запись

Кроме того, следует избегать плохих и рискованных конфигураций для защиты безопасности учетных данных системы, например:

• Настройка локальных привилегированных учетных записей с одинаковыми учетными данными во всех системах.

• Назначение слишком большого количества пользователей привилегированным группам доменов, поощряя чрезмерное использование.

• Недостаточно управления безопасностью контроллера домена.

Дополнительные сведения об уязвимых учетных записях см. в статье "Привлекательные учетные записи" для кражи учетных данных.

Сокращение области атак Active Directory

Вы можете предотвратить атаки, уменьшая область атаки в развертывании Active Directory. Другими словами, вы делаете развертывание более безопасным, закрывая пробелы в безопасности, которые мы упоминание в предыдущем разделе.

Избегайте предоставления чрезмерных привилегий

Атаки кражи учетных данных зависят от администраторов, предоставляющих определенные учетные записи чрезмерные привилегии. Эти атаки можно предотвратить, чтобы выполнить следующие действия:

• Помните, что по умолчанию существуют три встроенные группы, имеющие самые высокие привилегии в Active Directory: корпоративные Администратор, доменные Администратор и Администратор istrators. Убедитесь, что вы выполняете шаги по защите этих трех групп, а также других групп, которыми ваша организация предоставила повышенные привилегии.

• Реализуйте модель администрирования с наименьшими привилегиями. Не используйте учетные записи с высоким уровнем привилегий для повседневных административных задач, если это можно избежать. Кроме того, убедитесь, что учетные записи администратора имеют только базовые привилегии, необходимые для выполнения своих заданий, без дополнительных привилегий, которые им не нужны. Избегайте предоставления чрезмерных привилегий учетным записям пользователей, которым они не нужны. Убедитесь, что вы не случайно даете учетной записи те же привилегии в разных системах, если они абсолютно не нуждаются в них.

• Проверьте следующие области инфраструктуры, чтобы убедиться, что вы не предоставляете чрезмерные привилегии учетным записям пользователей:

  • Active Directory

  • Серверы-члены

  • и рабочие станции

  • Приложения

  • Репозитории данных

Дополнительные сведения см. в разделе "Реализация моделей администрирования с минимальными привилегиями".

Использование безопасных административных узлов

Безопасные административные узлы — это компьютеры, настроенные для поддержки администрирования активных каталогов и других подключенных систем. Эти узлы не запускают неадминистраторное программное обеспечение, например почтовые приложения, веб-браузеры или программное обеспечение для повышения производительности, например Microsoft Office.

При настройке безопасного административного узла необходимо выполнить следующие общие принципы:

• Никогда не администрировать надежную систему из менее доверенного узла.

• Требовать многофакторную проверку подлинности при использовании привилегированных учетных записей или выполнении административных задач.

• Физическая безопасность для административных узлов важна, как система и сетевая безопасность.

Дополнительные сведения см. в разделе "Реализация безопасных административных узлов".

Обеспечение безопасности контроллеров домена

Если злоумышленник получает привилегированный доступ к контроллеру домена, он может изменить, повредить и уничтожить базу данных AD. Атака на контроллер домена потенциально угрожает всем управляемым AD системам и учетным записям в организации. Поэтому важно принять следующие меры, чтобы обеспечить безопасность контроллеров домена.

• Обеспечение физической безопасности контроллеров домена в своих центрах обработки данных, филиалах и удаленных расположениях.

• Ознакомитесь с операционной системой контроллера домена.

• Настройте контроллеры домена со встроенными и свободно доступными средствами конфигурации, чтобы обеспечить базовые показатели конфигурации безопасности, которые можно применить с объектами групповой политики (ГОП).

Дополнительные сведения см. в статье "Защита контроллеров домена от атак".

Мониторинг Active Directory для признаков атаки или компрометации

Другим способом защиты развертывания AD является мониторинг признаков вредоносных атак или компрометации безопасности. Можно использовать устаревшие категории аудита и подкатегории политики аудита или использовать расширенную политику аудита. Дополнительные сведения см. в Рекомендации политики аудита.

Планирование компрометации безопасности

Хотя вы можете защитить AD от внешних атак, защита никогда не является действительно идеальной. Важно, чтобы в дополнение к принятию профилактических мер, которые вы также планируете для худших сценариев. При планировании нарушений безопасности следует следовать рекомендациям в разделе "Планирование компрометации", особенно в разделе "Переосмысление подхода", вы также должны прочитать статью "Обслуживание более безопасной среды".

Ниже приведены краткие сведения о том, что следует сделать при планировании компрометации безопасности, как описано более подробно в разделе "Обслуживание более безопасной среды".

• Обеспечение более безопасной среды

• Создание бизнес-методик безопасности для AD

• Назначение бизнес-владения данным AD

• Реализация управления жизненным циклом на основе бизнеса

• Классификация всех данных AD как систем, приложений или пользователей

Дополнительные сведения об этих методиках см. в статье "Обслуживание более безопасной среды".

Сводная таблица мер безопасности

В следующей таблице приведены рекомендации, перечисленные в этой статье, в порядке приоритета. Те, которые ближе к нижней части таблицы, являются теми, которые вы и ваша организация должны определить приоритет при настройке Active Directory. Однако вы также можете настроить порядок приоритета и способ реализации каждой меры на основе уникальных потребностей вашей организации.

Каждая мера также классифицируется на основе того, является ли она тактической, стратегической, профилактической или детективной. Тактические меры сосредоточены на конкретных компонентах AD и любой связанной инфраструктуре. Стратегические меры являются более всеобъемлющими и поэтому требуют больше планирования для реализации. Предотвращающие меры предотвращают атаки со стороны плохих субъектов. Детективные меры помогают обнаруживать нарушения безопасности по мере их появления, прежде чем они смогут распространиться на другие системы.

Мера безопасности	Тактическая или стратегическая	Предотвращение или детектив
Исправление приложений.	Тактические	Профилактика
Исправление операционных систем.	Тактические	Профилактика
Развертывание и оперативное обновление антивирусного и антивредоносного программного обеспечения во всех системах и мониторинг попыток удаления или отключения.	Тактические	Оба
Отслеживайте конфиденциальные объекты Active Directory для попыток изменения и Windows для событий, которые могут указывать на попытку компрометации.	Тактические	Обнаружение
Защита и мониторинг учетных записей для пользователей, имеющих доступ к конфиденциальным данным	Тактические	Оба
Предотвращение использования мощных учетных записей в несанкционированных системах.	Тактические	Профилактика
Исключите постоянное членство в группах с высоким уровнем привилегий.	Тактические	Профилактика
Реализуйте элементы управления для предоставления временного членства в привилегированных группах при необходимости.	Тактические	Профилактика
Реализуйте безопасные административные узлы.	Тактические	Профилактика
Используйте списки разрешений приложений на контроллерах домена, административных узлах и других конфиденциальных системах.	Тактические	Профилактика
Определите критически важные ресурсы и определите приоритеты их безопасности и мониторинга.	Тактические	Оба
Реализуйте наименьшие привилегии, управление доступом на основе ролей для администрирования каталога, его вспомогательной инфраструктуры и присоединенных к домену систем.	Стратегические	Профилактика
Изоляция устаревших систем и приложений.	Тактические	Профилактика
Отмена эксплуатации устаревших систем и приложений.	Стратегические	Профилактика
Реализуйте безопасные программы жизненного цикла разработки для пользовательских приложений.	Стратегические	Профилактика
Реализуйте управление конфигурацией, регулярно просматривайте соответствие требованиям и оцените параметры с каждой новой версией оборудования или программного обеспечения.	Стратегические	Профилактика
Перенос критически важных ресурсов в нетронутые леса с жесткими требованиями к безопасности и мониторингу.	Стратегические	Оба
Упрощение безопасности для конечных пользователей.	Стратегические	Профилактика
Используйте брандмауэры на основе узлов для управления и защиты обмена данными.	Тактические	Профилактика
Исправление устройств.	Тактические	Профилактика
Реализуйте управление жизненным циклом, ориентированным на бизнес для ИТ-ресурсов.	Стратегические	Н/П
Создание или обновление планов восстановления инцидентов.	Стратегические	Н/П

Связанный контент

• Зоны, уязвимые для компрометации

• Учетные записи, подверженные риску кражи учетных данных

• Уменьшение области атак Active Directory

• Внедрение наименее привилегированных административных моделей

• Внедрение узлов безопасного администрирования узлов

• Защита контроллеров домена от атак

• Мониторинг Active Directory для обнаружения признаков компрометации

• Рекомендации по настройке политик аудита

• Планирование компрометации

• Поддержание более безопасной среды

• Приложения