Защита контроллеров домена от атак
Область применения: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Номер 3 закона: Если плохой парень неограниченного физического доступа к вашему компьютеру, это больше не ваш компьютер. - Десять неизменяемых законов безопасности (версия 2.0).
Контроллеры домена предоставляют физическое хранилище для базы данных служб домен Active Directory (AD DS), помимо предоставления служб и данных, позволяющих предприятиям эффективно управлять серверами, рабочими станциями, пользователями и приложениями. Если привилегированный доступ к контроллеру домена получен вредоносным пользователем, он может изменить, повредить или уничтожить базу данных AD DS, а также, по расширению, все системы и учетные записи, управляемые Active Directory.
Так как контроллеры домена могут считывать и записывать данные в базу данных AD DS, компрометация контроллера домена означает, что лес Active Directory никогда не может считаться надежным еще раз, если вы не сможете восстановить с помощью известной хорошей резервной копии и закрыть пробелы, которые позволили компромиссу.
В зависимости от подготовки, инструмента и навыка злоумышленника непоправимый ущерб может быть выполнен в минутах до часов, а не в днях или неделях. Важно не то, сколько времени злоумышленник имеет привилегированный доступ к Active Directory, но сколько злоумышленник планирует на момент получения привилегированного доступа. Компрометируя контроллер домена, можно предоставить самый прямой путь к уничтожению серверов-членов, рабочих станций и Active Directory. Из-за этой угрозы контроллеры домена должны быть защищены отдельно и более строго, чем общая инфраструктура.
Физическая безопасность для контроллеров домена
В этом разделе содержатся сведения о физической защите контроллеров домена. Контроллеры домена могут быть физическими или виртуальными машинами, в центрах обработки данных, филиалах или удаленных расположениях.
Контроллеры домена центра обработки данных
Физические контроллеры домена
В центрах обработки данных физические контроллеры домена должны устанавливаться в выделенных безопасных стойках или клетках, которые отделены от остальных серверов. По возможности контроллеры домена должны быть настроены с помощью микросхем доверенного платформенного модуля (TPM), а все тома на серверах контроллеров домена должны быть защищены с помощью шифрования диска BitLocker. BitLocker добавляет небольшие затраты на производительность в однозначных процентах, но защищает каталог от компрометации, даже если диски удаляются с сервера. BitLocker также может помочь защитить системы от атак, например с помощью пакета программ rootkit, так как изменение загрузочных файлов приведет к загрузке сервера в режиме восстановления, чтобы можно было загрузить исходные двоичные файлы. Если контроллер домена настроен на использование программного RAID,последовательно подключенного к SCSI, хранилища SAN/NAS или динамических томов, BitLocker не может быть реализовано, поэтому локально подключенное хранилище (с аппаратным RAID) должно использоваться в контроллерах домена по возможности.
Виртуальные контроллеры домена
При реализации виртуальных контроллеров домена следует убедиться, что контроллеры домена также выполняются на отдельных физических узлах, чем другие виртуальные машины в среде. Даже если вы используете стороннюю платформу виртуализации, рассмотрите возможность развертывания виртуальных контроллеров домена на Hyper-V в Windows Server, которая обеспечивает минимальную область атаки и может управляться с контроллерами домена, на которых он размещается, а не управлять остальными узлами виртуализации. Если вы реализуете System Center диспетчер виртуальных машин (SCVMM) для управления инфраструктурой виртуализации, можно делегировать администрирование физических узлов, на которых находятся виртуальные машины контроллера домена, а также контроллеры домена авторизованным администраторам. Следует также разделить хранилище виртуальных контроллеров домена, чтобы предотвратить доступ администраторов хранилища к файлам виртуальной машины.
Примечание.
Если вы планируете совместно находить виртуализированные контроллеры домена с другими, менее конфиденциальными виртуальными машинами на том же сервере физической виртуализации (узлах), рассмотрите возможность реализации решения, которое обеспечивает разделение обязанностей на основе ролей, таких как экранированные виртуальные машины в Hyper-V. Эта технология обеспечивает комплексную защиту от вредоносных или неясных администраторов структуры (включая виртуализацию, сеть, хранилище и администраторы резервных копий). Он использует физический корневой каталог доверия с удаленной аттестацией и безопасной подготовкой виртуальных машин, а также обеспечивает уровень безопасности, который соответствует выделенному физическому серверу.
Расположения филиалов
Физические контроллеры домена в ветвях
В расположениях, где находятся несколько серверов, но физически не защищены до степени защиты серверов центра обработки данных, физические контроллеры домена должны быть настроены с помощью микросхем TPM и шифрования дисков BitLocker для всех томов сервера. Если контроллер домена не может храниться в заблокированном помещении в филиалах, следует рассмотреть возможность развертывания контроллеров домена только для чтения в этих расположениях.
Виртуальные контроллеры домена в ветвях
По возможности следует запускать виртуальные контроллеры домена в филиалах на отдельных физических узлах, чем другие виртуальные машины на сайте. В филиалах, где виртуальные контроллеры домена не могут работать на отдельных физических узлах от остальной части совокупности виртуальных серверов, следует реализовать микросхемы TPM и шифрование дисков BitLocker на узлах, на которых контроллеры виртуальных доменов выполняются как минимум, и все узлы, если это возможно. В зависимости от размера филиала и безопасности физических узлов следует рассмотреть возможность развертывания контроллеров домена в филиалах.
Удаленные расположения с ограниченным пространством и безопасностью
Если инфраструктура включает расположения, в которых можно установить только один физический сервер, необходимо установить сервер, способный выполнять рабочие нагрузки виртуализации, и шифрование дисков BitLocker должно быть настроено для защиты всех томов на сервере. Одна виртуальная машина на сервере должна работать в качестве RODC, а другие серверы, работающие в качестве отдельных виртуальных машин на узле. Сведения о планировании развертывания контроллеров домена см. в руководстве по планированию контроллера домена только для чтения и развертыванию. Дополнительные сведения о развертывании и защите виртуализированных контроллеров домена см. в статье "Запуск контроллеров домена" в Hyper-V. Более подробные рекомендации по обеспечению безопасности Hyper-V, делегирование управления виртуальными машинами и защита виртуальных машин см. в акселераторе решений по безопасности Hyper-V на веб-сайте Майкрософт.
Операционные системы контроллера домена
Необходимо запустить все контроллеры домена в новой версии Windows Server, поддерживаемой в организации. Организации должны определять приоритеты вывода устаревших операционных систем в популяции контроллеров домена. Сохраняя текущие контроллеры домена и устраняя устаревшие контроллеры домена, вы можете воспользоваться новыми функциями и безопасностью. Эта функция может быть недоступна в доменах или лесах с контроллерами домена, работающими под управлением устаревшей операционной системы.
Примечание.
Что касается любой конфигурации с учетом безопасности и единого назначения, рекомендуется развернуть операционную систему в параметре установки Server Core . Это обеспечивает несколько преимуществ, таких как минимизация поверхности атаки, повышение производительности и снижение вероятности человеческой ошибки. Рекомендуется удаленно выполнять все операции и управление из выделенных высокозащищенных конечных точек, таких как рабочие станции с привилегированным доступом (PAW) или безопасные административные узлы.
Безопасная настройка контроллеров домена
Средства можно использовать для создания начальной базовой конфигурации безопасности для контроллеров домена, которые впоследствии могут быть применены GPOS. Эти средства описаны в разделе Администратор параметров политики безопасности документации по операционным системам Майкрософт или конфигурации требуемого состояния (DSC) для Windows.
Ограничения RDP
Объекты групповой политики, которые связываются со всеми подразделениями контроллеров домена в лесу, должны быть настроены для разрешения подключений RDP только от авторизованных пользователей и систем, таких как переходные серверы. Управление можно достичь с помощью сочетания параметров прав пользователя и конфигурации WFAS, реализованной с помощью объектов групповой политики, чтобы политика последовательно применялась. Если политика обходить, следующее обновление групповой политики возвращает систему в соответствующую конфигурацию.
Управление исправлениями и конфигурациями для контроллеров домена
Хотя это может показаться нелогичным, возможно, следует устанавливать исправления для контроллеров домена и других критически важных компонентов инфраструктуры отдельно от общей инфраструктуры Windows. Если вы используете программное обеспечение для управления конфигурацией на всех компьютерах в инфраструктуре, то его уязвимость можно использовать для компрометации или уничтожения всех компонентов инфраструктуры, которыми управляет это ПО. Отделяя управление исправлениями и системами для контроллеров домена от остальных компонентов инфраструктуры, можно уменьшить объем программного обеспечения, установленного на контроллерах домена, а также ужесточить контроль над управлением ими.
Блокировка доступа к Интернету для контроллеров домена
Одним из проверка, выполняемых в рамках оценки безопасности Active Directory, является использование и настройка Интернет-Обозреватель на контроллерах домена. Веб-браузер не должен использоваться на контроллерах домена. Анализ тысяч контроллеров домена показал множество случаев, когда привилегированные пользователи использовали Интернет Обозреватель для просмотра интрасети организации или Интернета.
Как описано ранее в разделе "Неправильное настройка" авеню для компрометации, просмотр Интернета или зараженной интрасети с одного из самых мощных компьютеров в инфраструктуре Windows с использованием высоко привилегированной учетной записи представляет чрезвычайный риск для безопасности организации. Независимо от того, можно ли получить доступ через диск путем скачивания или скачивания вредоносных программ, инфицированных вредоносными программами, злоумышленники могут получить доступ ко всему, что необходимо для полного компрометации или уничтожения среды Active Directory.
Хотя Windows Server и текущие версии Интернет-Обозреватель обеспечивают много защиты от вредоносных скачиваемых файлов, в большинстве случаев, когда контроллеры домена и привилегированные учетные записи использовались для просмотра Интернета, контроллеры домена работали под управлением Windows Server 2003 или защиты, предлагаемые более новыми операционными системами и браузерами, были намеренно отключены.
Запуск веб-браузеров на контроллерах домена должен быть ограничен политикой и техническими элементами управления. Кроме того, следует строго контролировать общий доступ к Интернету к контроллерам домена и из нее.
Корпорация Майкрософт призывает все организации перейти к облачному подходу к управлению удостоверениями и доступом и переходить из Active Directory в идентификатор Microsoft Entra. Идентификатор Microsoft Entra — это полное облачное решение по управлению каталогами и доступом для управления каталогами, предоставление доступа к локальным и облачным приложениям и защита удостоверений от угроз безопасности. Идентификатор Microsoft Entra id также предлагает надежный и детализированный набор элементов управления безопасностью для защиты удостоверений, таких как многофакторная проверка подлинности, политики условного доступа, защита идентификации, управление удостоверениями и управление привилегированными пользователями.
Большинство организаций будут работать в гибридной модели удостоверений во время перехода в облако, где некоторые элементы их локальная служба Active Directory будут синхронизированы с помощью Microsoft Entra Подключение. Хотя эта гибридная модель существует в любой организации, корпорация Майкрософт рекомендует облачную защиту локальных удостоверений с помощью Microsoft Defender для удостоверений. Конфигурация датчика Defender для удостоверений на контроллерах домена и серверах AD FS обеспечивает высокозащищенное односторонняя связь с облачной службой через прокси-сервер и определенные конечные точки. Полное описание настройки этого прокси-подключения можно найти в технической документации по Defender для удостоверений. Эта жестко контролируемая конфигурация гарантирует, что риск подключения этих серверов к облачной службе снижается, и организации получают выгоду от увеличения возможностей защиты Defender для удостоверений. Корпорация Майкрософт также рекомендует защитить эти серверы с помощью обнаружения облачных конечных точек, таких как Microsoft Defender для серверов.
Для тех организаций, у которых есть нормативные или другие требования к политике для поддержания локальной реализации Active Directory, корпорация Майкрософт рекомендует полностью ограничить доступ к Интернету контроллерам домена и от них.
Ограничения брандмауэра периметра
Брандмауэры периметра должны быть настроены для блокировки исходящих подключений от контроллеров домена к Интернету. Хотя контроллеры домена могут нуждаться в обмене данными между границами сайта, брандмауэры периметра можно настроить, чтобы разрешить взаимодействие между сайтами, следуя инструкциям, приведенным в руководстве по настройке брандмауэра для доменов и доверия Active Directory.
Предотвращение просмотра веб-сайтов с контроллеров домена
Вы можете использовать сочетание конфигурации AppLocker, конфигурации прокси-сервера "черной дыры" и конфигурации WFAS, чтобы предотвратить доступ контроллеров домена к Интернету и запретить использование веб-браузеров на контроллерах домена.