維護更安全的環境
第 10 條定律:技術不是萬能仙丹。 - 安全性管理 10 大定律
在為重要的商務資產建立可管理且安全的環境時,請確保能夠安全地進行維護。 即使擁有可提升 AD DS 安裝安全性的特定技術控制項,如果 IT 部門沒有與企業合作,共同維護安全、可用的基礎結構,則光靠技術本身無法保護環境。 本章節將提供可作為指導方針的高階建議,協助您開發更有效的安全性與生命週期管理。
您的 IT 組織可能已與業務單位有著密切合作關係,在執行這些建議時能更加輕鬆; 若在組織中,IT 部門與業務單位關係並不密切,您可能須先獲得執行階層主管支援,促進 IT 與業務單位緊密合作。 執行摘要為供執行階層主管檢閱的獨立文件,可發布給組織中的決策者。
針對 Active Directory 建立以企業為中心的安全性做法
過去,許多組織認為其內部的資訊技術屬於支援結構和成本中心。 IT 部門通常與企業用戶並無交集,互動僅限於要求-回應模型,即企業提出資源要求,而 IT 進行回應。
隨著技術迅速發展成長,「讓每個家庭桌上都有一台電腦」的願景已成功於世界大多數地區實現,甚至由現今各種能輕鬆取得的技術取代。 資訊技術不再只是支援功能,而是搖身成為核心商務功能。 若是無法使用任何 IT 服務,您的組織便無法繼續運作,即代表組織中至少有一部分業務為資訊技術。
如果要建立有效的危害因應復原計畫,IT 服務部門必須與組織中的業務單位密切合作,以識別 IT 環境中最重要的元件,以及業務所需的重要功能。 藉由識別哪些項目對於組織最為重要,您便能專注於保護最具價值的元件。 然而,這並不代表可以忽略低價值系統與資料的安全性。 相反地,就像須決定系統執行時間的服務等級,也應根據資產的重要程度決定安全性控制與監控等級。
完成建立最新、安全且可管理環境後,便可將注意力轉移至如何有效管理,並確定有效的生命週期管理程序並非僅由 IT 定奪,而是由全體企業決定。 若要達成此目的,您不僅必須與企業合作,更須讓企業擁有 Active Directory 資料與系統的「所有權」。
如果少了指定擁有者、企業擁有者和 IT 擁有者,將資料與系統導入 Active Directory 時,將缺乏明確的佈建、管理、監控、更新,以及最終解除委派系統的責任鍊。 由於所有權不明確,若在基礎結構中,組織因系統而面臨風險,也無法解除委派系統。 若要有效管理 Active Directory 安裝所管理之使用者、資料、應用程式和系統的生命週期,請遵循本章節所述的原則。
為 Active Directory 資料指派企業擁有者
Active Directory 中的資料應該具有已識別的企業擁有者,即擔任資產生命週期決策連絡點的指定部門或使用者。 在某些情況下,Active Directory 元件的企業擁有者會是 IT 部門或使用者。 IT 部門很可能「擁有」網域控制站、DHCP 和 DNS 伺服器,以及 Active Directory 等基礎結構元件。 新增至 AD DS 以支援業務的資料 (例如,新員工、新應用程式和新資訊存放庫),必須與指定的業務單位或使用者有所關聯。
無論是使用 Active Directory 以記錄目錄中資料的擁有權,或是執行個別的資料庫以追蹤 IT 資產,若無認列的指定擁有者,不得建立任何使用者帳戶、不得安裝任何伺服器或工作站,且不得部署任何應用程式。 將系統部署於生產環境後,便很難再建立系統的所有權,在某些情況下甚至不可能。 因此,在將資料導入 Active Directory 前便應建立所有權。
實施商務導向生命週期管理
應針對 Active Directory 中的所有資料實施生命週期管理。 例如,當新的應用程式導入 Active Directory 網域時,應用程式的企業擁有者應定期證明有持續使用應用程式。 應用程式發行新版本時,應用程式的企業擁有者應會收到相關通知,並須決定是否採用新版本。
如果企業擁有者決定不部署新版應用程式,則應會收到關於目前版本停止支援日期的通知,並決定是否解除委任或替換應用程式。 請勿繼續執行不受支援的舊版應用程式。
在 Active Directory 中建立使用者帳戶時,其認列管理者應收到物件建立通知,並須定期證明帳戶有效性。 藉由實施商務導向生命週期,並定期證明資料的有效性,資料檢閱人員將最有可能識別資料異常。
例如,攻擊者可能會遵循組織的命名慣例和物件放置方式,建立看似有效帳戶的使用者帳戶。 若要偵測這類帳戶建立行為,可設定每日任務,要求傳回所有未具指定企業擁有者的使用者物件,以利調查帳戶。 如果攻擊者建立帳戶並指派企業擁有者,可執行向企業擁有者報告新物件建立活動的任務,企業擁有者便能迅速識別該帳戶是否合法。
安全性與通訊群組也應實施類似的措施。 雖然某些群組可能是 IT 所建立的功能群組,但藉由為所有群組指派擁有者,便可擷取所有指定使用者擁有的群組,並要求使用者證明其成員資格的有效性。 類似於建立使用者帳戶時採取的方法,您也可以在發生群組修改時針對指定的企業擁有者觸發報告。 企業擁有者越頻繁證明 Active Directory 中資料的有效性或不正確,對於識別異常情況的幫助便越大,可協助發現程序失敗或實際危害。
分類所有 Active Directory 資料
在新增所有 Active Directory 資料至目錄時,除了紀錄其企業擁有者,也須要求企業擁有者針對資料進行分類。 例如,如果某應用程式儲存商務重要資料,企業擁有者應根據組織的分類基礎結構標記此類應用程式。
有些組織會實施資料分類原則,根據資料遭竊或暴露後會造成的損失進行標記。 其他組織則會根據資料的重要程度、存取需求和保留情形進行分類與標記。 無論您的組織使用何種資料分類模型,都應確保此分類可套用至 Active Directory 資料,而不僅僅是「檔案」資料。 如果使用者帳戶為 VIP 帳戶,均應利用 AD DS 中的物件屬性,或部署個別的資產分類資料庫,在資產分類資料庫中加以識別。
在資料分類模型中,應包含如下的 AD DS 資料分類。
認證的系統
不只資料,伺服器群體也應進行分類。 針對每部伺服器,應了解其安裝的作業系統、提供何種一般功能、伺服器上執行的應用程式、認列 IT 擁有者,以及適用的認列企業擁有者。 針對伺服器上所有執行的資料或應用程式,則應要求進行分類,並根據所支援的工作負載需求,以及套用至系統和資料的分類來保護伺服器。 此外,也可以依工作負載分類將伺服器結成群組,以快速識別最須嚴密監控並嚴格設定的伺服器。
應用程式
應根據功能 (用途)、使用者 (誰使用應用程式),以及其執行的作業系統進行應用程式分類; 應維護包含版本資訊、修補狀態,以及任何其他相關資訊的紀錄; 此外,如前所述,也應根據處理的資料類型進行應用程式分類。
使用者
無論標記為「VIP」使用者、重要帳戶或其他標籤,都應進行標記並監控 Active Directory 安裝中最有可能遭攻擊的帳戶。 大部分的組織都不可能監控所有使用者活動, 不過,如果您能夠識別 Active Directory 安裝中的重要帳戶,便能如本章節先前所述,監控這類帳戶是否發生變更。
在稽核帳戶時,也可以開始針對這類帳戶建立「預期行為」資料庫。 例如,您知道某特定執行階層主管會從辦公室與家中,使用安全工作站存取商務重要資料,但很少從其他位置進行存取。如果您發現有未經授權的電腦,或從與該主管目前所在位置不符的遙遠地點試圖使用其帳戶,便能更迅速地識別並調查此異常行為。
藉由整合商務資訊與基礎結構,您可以利用商務資訊協助您識別是否誤判。 例如,如果負責監控環境的 IT 人員可存取行事曆,並獲得該主管差旅的紀錄,便能釐清連線與主管已知位置的關係。
假設執行階層主管 A 通常位於芝加哥,並習慣使用安全的工作站自桌面存取商務重要資料,若某人試圖從亞特蘭大使用不安全工作站存取資料,便會觸發失敗事件。 如果您確認主管目前在亞特蘭大,可連絡主管或主管助理,判斷是否是因為主管忘記使用安全工作站才導致資料存取失敗,進一步解決事件。 利用規劃危害因應措施中所述的方法建構程式,便能開始針對 Active Directory 安裝中最「重要」的帳戶建立預期行為資料庫,以利更快速地發現並因應攻擊。