Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Attackerna mot databehandlingsinfrastrukturen har ökat under det senaste decenniet i alla delar av världen. Vi lever i en tid av cyberkrigföring, cyberbrottslighet och hacktivism. Därför har organisationer av alla storlekar över hela världen varit tvungna att hantera informationsläckor, stöld av immateriella rättigheter (IP), överbelastningsattacker (DDoS) eller till och med förstörd infrastruktur.
Men i takt med att hotlandskapet har förändrats under årens lopp har säkerhetslandskapet också anpassat sig för att motverka dessa hot. Ingen organisation med en IT-infrastruktur (IT) är alltid helt immun mot angrepp, men det ultimata målet med säkerhet hindrar inte angreppsförsök helt och hållet, utan skyddar IT-infrastrukturen från attacker. Med rätt principer, processer och kontroller kan du skydda viktiga delar av IT-infrastrukturen från att komprometteras.
I den här artikeln beskriver vi de vanligaste typerna av sårbarheter som vi har observerat i Active Directory-distributioner (AD). Därefter beväpnar vi dig med rekommendationer för hur du skyddar dessa svaga punkter från kompromisser. Vi har utformat dessa rekommendationer baserat på expertisen hos våra Organisationer för Microsoft IT (MSIT) och Microsoft Information Security and Risk Management (ISRM). Vi visar också hur du kan vidta åtgärder för att minska hur mycket sårbar infrastruktur, eller attackyta, på din AD som exponeras för omvärlden. Vi innehåller också förslag på hur du återställer viktiga data och infrastrukturfunktioner om det uppstår en säkerhetskompromiss.
Vanliga säkerhetsrisker
För att lära dig hur du bäst skyddar din infrastruktur måste du först förstå var attacker är mest sannolika att slå till och hur de fungerar. Den här artikeln beskriver bara allmänna rekommendationer, men om du vill gå in mer detaljerat har vi inkluderat länkar till mer ingående artiklar.
Nu ska vi titta på de vanligaste säkerhetsriskerna.
Vanliga startpunkter
Inledande mål för intrång, eller startpunkter, är områden där angripare enklast kan komma in i DIN IT-infrastruktur. Startpunkter är vanligtvis luckor i säkerhet eller uppdateringar som angripare kan utnyttja för att få åtkomst till ett system i infrastrukturen. Angripare börjar vanligtvis med ett eller två system i taget och eskalerar sedan sina attacker när de sprider sitt inflytande över fler system som inte identifieras.
De vanligaste säkerhetsriskerna är:
Luckor i distributioner av antivirusprogram och program mot skadlig kod
Ofullständig korrigering
Inaktuella program och operativsystem
Felaktig konfiguration
Brist på säkra metoder för programutveckling
Stöld av autentiseringsuppgifter
Stöld av autentiseringsuppgifter är när en angripare får privilegierad åtkomst till en dator i ett nätverk med hjälp av verktyg för att extrahera autentiseringsuppgifter från sessioner med konton som för närvarande är inloggade. Angripare går ofta för specifika konton som redan har förhöjd behörighet. Angriparen stjäl autentiseringsuppgifterna för det här kontot för att efterlikna dess identitet för att få åtkomst till systemet.
Tjuvar med autentiseringsuppgifter riktar vanligtvis in sig på den här typen av konton:
Permanent privilegierade konton
VIP-konton
Privilegierade Active Directory-konton
Domänkontrollanter
Andra infrastrukturtjänster som påverkar identitets-, åtkomst- och konfigurationshantering, till exempel PKI-servrar (Public Key Infrastructure) eller systemhanteringsservrar
Användare med mycket privilegierade konton ökar risken för att deras autentiseringsuppgifter blir stulna genom att använda följande beteenden:
Logga in på sina privilegierade konton på oskyddade datorer
Surfa på Internet när du är inloggad på ett privilegierat konto
Du bör också undvika dåliga och riskfyllda konfigurationer för att skydda systemets säkerhet för autentiseringsuppgifter, till exempel:
Konfigurera lokala privilegierade konton med samma autentiseringsuppgifter i alla system.
Tilldela för många användare till privilegierade domängrupper, vilket uppmuntrar till överanvändning.
Otillräcklig hantering av domänkontrollantsäkerhet.
Mer information om sårbara konton finns i Attraktiva konton för stöld av autentiseringsuppgifter.
Minska Active Directory-attackytan
Du kan förhindra attacker genom att minska attackytan på din Active Directory-distribution. Med andra ord gör du distributionen säkrare genom att minska säkerhetsbristerna som vi nämnde i föregående avsnitt.
Undvik att bevilja för höga privilegier
Stöld av autentiseringsuppgifter är beroende av att administratörer beviljar vissa konton för höga privilegier. Du kan förhindra dessa attacker är att göra följande:
Kom ihåg att det finns tre inbyggda grupper som har högsta behörighet i Active Directory som standard: Företagsadministratörer, Domänadministratörer och Administratörer. Se till att du vidtar åtgärder för att skydda dessa tre grupper, tillsammans med andra grupper som din organisation har gett utökade privilegier till.
Implementera en administrativ modell med minst privilegier. Använd inte konton med hög behörighet för dagliga administrativa uppgifter om du kan undvika det. Kontrollera också att dina administratörskonton bara har de baslinjeprivilegier som krävs för att utföra sina jobb, utan extra privilegier som de inte behöver. Undvik att ge överdrivna privilegier till användarkonton som inte behöver dem. Se till att du inte av misstag ger ett konto samma behörigheter i olika system om de inte absolut behöver dem.
Kontrollera följande områden i infrastrukturen för att se till att du inte beviljar överdrivna privilegier till användarkonton:
Active Directory
Medlemsservrar
Arbetsstationer
Ansökningar
Datalagringsplatser
Mer information finns i Implementera administrativa modeller med lägsta behörighet.
Använda säkra administrativa värdar
Säkra administrativa värdar är datorer som har konfigurerats för att stödja administration för aktiva kataloger och andra anslutna system. Dessa värdar kör inte icke-ministrativ programvara som e-postprogram, webbläsare eller produktivitetsprogram som Microsoft Office.
När du konfigurerar en säker administrativ värd måste du följa dessa allmänna principer:
Administrera aldrig ett betrott system från en mindre betrodd värd.
Kräv multifaktorautentisering när du använder privilegierade konton eller utför administrativa uppgifter.
Fysisk säkerhet för dina administrativa värdar är lika viktig som system- och nätverkssäkerhet.
Mer information finns i Implementera säkra administrativa värdar.
Skydda dina domänkontrollanter
Om en angripare får privilegierad åtkomst till en domänkontrollant kan de ändra, skada och förstöra AD-databasen. Ett angrepp på domänkontrollanten kan hota alla AD-hanterade system och konton i din organisation. Därför är det viktigt att du vidtar följande åtgärder för att skydda domänkontrollanterna:
Håll domänkontrollanterna fysiskt säkra i sina datacenter, avdelningskontor och fjärrplatser.
Bekanta dig med operativsystemet för domänkontrollanten.
Konfigurera dina domänkontrollanter med inbyggda och fritt tillgängliga konfigurationsverktyg för att skapa säkerhetskonfigurationsbaslinjer som du kan tillämpa med grupprincipobjekt (GPO).
Mer information finns i Skydda domänkontrollanter mot angrepp.
Övervaka Active Directory för tecken på attacker eller säkerhetsintrång
Ett annat sätt att skydda AD-distributionen är att övervaka den för tecken på skadliga attacker eller säkerhetskompromisser. Du kan använda äldre granskningskategorier och underkategorier för granskningsprinciper eller använda Avancerad granskningsprincip. Mer information finns i Rekommendationer för granskningsprinciper.
Planera för säkerhetskompromisser
Även om du kan skydda din AD mot attacker utifrån är inget försvar någonsin perfekt. Det är viktigt att du förutom att vidta förebyggande åtgärder även planerar för värsta tänkbara scenarier. När du planerar för säkerhetsöverträdelser bör du följa riktlinjerna i Planera för kompromisser, särskilt avsnittet Omprövning av metoden. Du bör också läsa Underhålla en säkrare miljö.
Här är en kort sammanfattning av saker du bör göra när du planerar för säkerhetskompromisser, som beskrivs mer detaljerat i Underhålla en säkrare miljö:
Upprätthålla en säkrare miljö
Skapa affärsinriktade säkerhetsrutiner för AD
Tilldela företagsägarskap till AD-data
Implementera verksamhetsdriven livscykelhantering
Klassificera alla AD-data som system, program eller användare
Mer information om dessa metoder finns i Underhålla en säkrare miljö.
Sammanfattningstabell för säkerhetsmått
I följande tabell sammanfattas rekommendationerna i den här artikeln, listade i prioritetsordning. De som ligger närmare tabellens nederkant är de som du och din organisation bör prioritera när du konfigurerar Active Directory. Men du kan också justera prioritetsordningen och hur du implementerar varje mått baserat på organisationens unika behov.
Varje åtgärd kategoriseras också baserat på om det är taktiskt, strategiskt, förebyggande eller detektiv. Taktiska åtgärder fokuserar på specifika komponenter i AD och eventuell relaterad infrastruktur. Strategiska åtgärder är mer omfattande och kräver därför mer planering för att genomföra. Förebyggande åtgärder förhindrar attacker från dåliga aktörer. Detektivåtgärder hjälper dig att identifiera säkerhetsöverträdelser när de inträffar, innan de kan spridas till andra system.
| Säkerhetsmått | Taktisk eller strategisk | Förebyggande eller detekterande |
|---|---|---|
| Korrigera program. | Taktisk | Förebyggande |
| Korrigera operativsystem. | Taktisk | Förebyggande |
| Distribuera och uppdatera antivirusprogram och program mot skadlig kod i alla system och övervaka försök att ta bort eller inaktivera det. | Taktisk | Båda |
| Övervaka känsliga Active Directory-objekt för ändringsförsök och Windows för händelser som kan tyda på försök att kompromettera. | Taktisk | Detektiv |
| Skydda och övervaka konton för användare som har åtkomst till känsliga data | Taktisk | Båda |
| Förhindra att kraftfulla konton används på obehöriga system. | Taktisk | Förebyggande |
| Eliminera permanent medlemskap i mycket privilegierade grupper. | Taktisk | Förebyggande |
| Implementera kontroller för att bevilja tillfälligt medlemskap i privilegierade grupper vid behov. | Taktisk | Förebyggande |
| Implementera säkra administrativa värdar. | Taktisk | Förebyggande |
| Använd program allowlists på domänkontrollanter, administrativa värdar och andra känsliga system. | Taktisk | Förebyggande |
| Identifiera kritiska tillgångar och prioritera deras säkerhet och övervakning. | Taktisk | Båda |
| Implementera rollbaserade åtkomstkontroller med minst privilegier för administration av katalogen, dess stödinfrastruktur och domänanslutna system. | Strategisk | Förebyggande |
| Isolera äldre system och program. | Taktisk | Förebyggande |
| Inaktivera äldre system och program. | Strategisk | Förebyggande |
| Implementera säkra livscykelprogram för utveckling för anpassade program. | Strategisk | Förebyggande |
| Implementera konfigurationshantering, granska efterlevnaden regelbundet och utvärdera inställningarna för varje ny maskin- eller programvaruversion. | Strategisk | Förebyggande |
| Migrera kritiska tillgångar till orörda skogar med stränga säkerhets- och övervakningskrav. | Strategisk | Båda |
| Förenkla säkerheten för slutanvändare. | Strategisk | Förebyggande |
| Använd värdbaserade brandväggar för att styra och skydda kommunikationen. | Taktisk | Förebyggande |
| Korrigera enheter. | Taktisk | Förebyggande |
| Implementera verksamhetscentrerad livscykelhantering för IT-tillgångar. | Strategisk | Inte tillgänglig |
| Skapa eller uppdatera incidentåterställningsplaner. | Strategisk | Inte tillgänglig |