أفضل الممارسات لمجموعات أمان الدليل النشط

الدروس التعليمية

أفضل الممارسات لمجموعات أمان Active Directory – مجموعات أمان Azure Active Directory هي أدوات قوية للمسؤولين للتحكم في الخوادم والموارد الشبكية التي يمتلكها كل مستخدم. من خلال عدم إدارة هذه المجموعات بشكل صحيح، قد توفر بغير قصد مساحة خلفية لدخول الجرائم الإلكترونية إلى شبكتك وسرقة المعلومات الحساسة.

تعتبر تنازلات مجموعة Azure Active Directory التي تنتج عن عدم الالتزام بأفضل الممارسات شائعة. ومع ذلك، يمكن الحفاظ على نظمك آمنة من الهجوم عن طريق وضع إجراءات أمان قوية، وتقليل الثغرات، ومراقبتها باستمرار.هذا المقال هو تحليل شامل لمجموعات أمان Azure Active Directory وأفضل الممارسات الأمنية التي يجب اتباعها لتعزيز أمان شبكتك في ويندوز.

هذا المقال هو تحليل شامل لمجموعات Azure Active Directory الأمان وأفضل الممارسات الأمنية التي يجب اتباعها للتأهل في حماية ويندوز الشبكة الخاصة بك بشكل أفضل.

مصدر الصورة: Imanami

اقرأ أيضاً أنواع Azure AD Group تفسير – أمان / مجموعات Microsoft 365

مجموعات الأمان لـ Active Directory

في Azure Active Directory مجموعات في Azure تأتي على نوعين: مجموعات توزيع Active Directory ومجموعات أمان Active Directory.

مجموعات التوزيع في Active Directory تستخدم بشكل رئيسي لتوزيع البريد الإلكتروني وتتوافق مع Microsoft Exchange و Outlook. تسمح للمسؤولين الشبكة بإرسال رسائل البريد إلى مجموعات جزئية من أعضاء Active Directory.

من ناحية أخرى، تُدير مجموعات الأمان في Active Directory أذون المستخدمين والوصول إلى موارد الأجهزة. هذه المجموعات ضرورية للغاية لعملية عمل شبكة المؤسسة وعولمتها.

وذلك لأن مجموعات الأمان في Active Directory مهمة جدًا لمساعدة المسؤولين على التحكم في من يحصل على الوصول إلى موارد الشبكة الهامة ومنع المستخدمين غير المصرح لهم من الوصول إلى البيانات الحساسة. وهذا أمر حيوي بشكل خاص لحماية المعلومات الخاصة والسرية.

مجموعات الأمان في Azure Active Directory تتألف من مدراء النظام ومشغلي الحساب ومدراء المجال ومدراء DNS ومستخدمين وضيوف ومشغلي الخوادم والمستخدمين المحميين وغيرهم الكثير.

اقرأ أيضًا أفضل الممارسات الأمنية في Azure – للامتثال (قوائم التحقق)

نطاقات مجموعات أمان Active Directory

تصنف مجموعات الأمان في Azure Active Directory إلى 4 فئات بناءً على نطاقها: محلية ومحلية المجال وإقليمية وعالمية.

المجموعات المحلية: تُنشئ هذه المجموعات وتتوفر فقط على الكمبيوتر الذي تم إنشاؤها عليه.

المجموعات المحلية للمجال: تُستخدم المجموعات المحلية للمجال لإدارة حقوق الوصول إلى الموارد عبر المجال. تتألف المجموعات المحلية للمجال من أعضاء من أي نوع من أجل المجالات ومن أجل تلك التي هي على ثقة من المجالات. 

المجموعات العالمية: المجموعات العالمية المجموعات تعرِّف الكائنات في المجال (المستخدمين، الكمبيوترات، المجموعات) على أساس الأدوار التجارية. المستخدمين يتم تنظيمهم في مجموعات حسب أدوارهم (على سبيل المثال، “التسويق” أو “محاسبون”)، ويمكن تنظيم الكمبيوترات في مجموعات عالمية حسب أدوارها (على سبيل المثال، “أجهزة العمل التسويقية”).

المجموعات العالمية: تُستخدم هذه المجموعات في الغابات المتعددة المجالات. يتيح للمسؤولين المسؤولين تحديد الأدوار والأذونات للموارد عبر المجالات.

اقرأ أيضًا كيفية التحقق من تمكين MFA في Office 365 للمستخدمين

الاستخدامات لمجموعات أمان Azure Active Directory

هناك اثنين من الاستخدامات الرئيسية لمجموعات أمان Active Directory:

تعيين حقوق المستخدم: Active Directory الأمان مجموعات تستخدم لتعيين حقوق المستخدم لتحديد ما يسمح للمستخدمين داخل مجموعة ما يمكنهم فعله داخل عالم أو غابة. للراحة الإدارية، قد يتم منح حقوق المستخدم تلقائيًا لبعض مجموعات الأمان.

منح أذونات الموارد: تختلف أذونات المستخدم عن حقوق المستخدم. حيث تحكم أذونات المستخدم في أي موارد يمكن للمستخدمين الوصول إليها، تحدد حقوق المستخدم القدرات التي يمتلكها المستخدمون. 

لا بد من الإشارة إلى أن بعض الأذونات تُمنح لمجموعات أمان معينة بشكل افتراضي. تعد مجموعة المشرفين على الحسابات ومجموعة مدراء المجالات مثالين للمجموعات الأمنية المحددة مسبقًا التي تتلقى بعض الأذونات بشكل افتراضي. يتم إنشاء هذه المجموعات تلقائيًا عند تهيئة مجال نشاط الدليل . ومع ذلك، بسبب المخاطر الأمنية المرتبطة بمنح الأذونات الأمنية التلقائية، يجب أن يتم الاحتياط في إدارة هذه المجموعات.

اقرأ أيضًا إنشاء تقارير أمان نشاط الدليل باستخدام PowerShell

تحسين أمان نشاط الدليل الخاص بك و Azure AD

جربنا مجانًا، والوصول إلى جميع الميزات. – 200+ قوالب تقارير AD متاحة. قم بتخصيص تقارير AD الخاصة بك بسهولة.




8 ممارسات أفضل للمجموعات الأمنية في نشاط الدليل

1. تجنب الزيادات

تأكد من عدم وجود مجموعات أمان افتراضية بأذونات مفرطة: قم بفحص الأذونات التي يتم تعيينها تلقائيًا من قبل مجموعات الأمان الافتراضية لـ Active Directory’s، حيث تمتلك بعض هذه المجموعات أذونات كبيرة للغاية. تأكد من أن المستخدمين يتمتعون فقط بالحقوق الوصول الدنيا اللازمة لأداء مهامهم اليومية. إذا كانت تحتاج إلى حقوق إذن أكبر، فيجب منحها على أساس كما هو مطلوب.

تأكد من تثبيت الأدوات والميزات المطلوبة فقط وتأكد من أن الحسابات لديها الحقوق المطلوبة فقط وينتمون إلى المجموعات المطلوبة المجموعات. إذا مكنت الجميع من الحقوق الواسعة أو الوصول إلى النظام الخاص بك، فإنه يصبح أكثر صعوبة في الكشف عن الالتهديدات الداخلية، ويصبح نظامك عرضة للخطر إذا كان هناك عدد كبير من الأفراد في مجموعات الأمان عالية الوصول.

2. أجري تحديثات البرامج بانتظام

مصدر الصورة: Pixabay

يوصى بواسطة مايكروسوفت بالتأكد من تحديث برامج ويندوز الخاصة بك والبرامج الثالثة من حيث التوافق بشكل دوري. للتسلل إلى الأنظمة، المهاجمون غالبًا ما يستغلون أو يستفيدون من الثغرات المعروفة. من ناحية أخرى، يحرك دائمًا خبراء الأمن السيبراني لتوفير التصحيحات الأمنية لهذه الثغرات. ونتيجة لذلك، يساعد وجود روتين تصحيحي دوري على التأكد من أن أنظمتك محصنة من الهجمات السيبرانية.

لتحقيق ذلك، غالبًا ما يُنصح باستخدام مدير التصحيح للحفاظ على تحديث برامج نظام الكمبيوتر الخاص بك. سيعلمك نظام إدارة التصحيح الجيد إذا كانت أي من برامجك تحتوي على نقاط ضعف وسيقدم أيضًا تفاصيل حول أي مخاطر يجدها، بما في ذلك المهاجمين الذين يستهدفون عيوب أمان Active Directory.

اقرأ أيضًا كيفية فحص حالة صحة النسخ المتكررة لـ Active Directory

3. تنفيذ سياسات كلمة المرور الجيدة

بدلاً من الاعتماد على قواعد التعقيد، تنفيذ سياسات كلمة السر تشجع المستخدمين على استخدام عبارات كلمات السر التي يمكنهم تذكرها بسهولة. من المهم اتباع سياسة تتطلب من المستخدمين تعيين كلمات السر باستخدام عبارات من ثلاث كلمات أو أكثر بدلاً من كلمات السر الصعبة التي تتكون من ثمانية أحرف أو أقل. تمنع قواعد تعقيد كلمة السر المستخدمين من استخدام كلمات السر التي يمكن تذكرها وتؤدي إلى الممارسة المحتملة لكتابة كلمات السر، مما يلغي الغرض من وجود كلمة السر في المقام الأول. من المستحسن الاقتراح أيضًا تعيين قواعد تقفل حسابات المستخدمين بعد عدد معين من المحاولات الفاشلة لتسجيل الدخول.

على سبيل المثال، وضع سياسة تضمن أن يتم قفل المستخدم بعد ثلاث محاولات غير ناجحة لكلمة السر. يمكن جعل كلمات السر أكثر أمانًا من خلال استخدام التحقق الثنائي العامل. يمكنك استخدام Microsoft Multi-Factor Authentication (MFA)، Duo و RSA لتنفيذ التحقق الثنائي العامل.

4. حماية المجموعات والحسابات الافتراضية

عندما يتم إنشاء مجال Active Directory، يتم إنشاء مجموعة افتراضية من المجموعات الأمنية أيضًا، وبعض هذه المجموعات لديها أذونات واسعة للغاية. احترس عند إدارة هذه المجموعات، حيث يُمنح المستخدم الوصول إلى أحدها تلقائيًا إلى الوصول الإداري القوي وأدوار المجموعة.

للقيام بذلك تأكد من اتباع الممارسات التالية

  • تأكد من أنه باستثناء المسؤول البسيط “مدير المجال” الافتراضي، لا يحصل أي مستخدم عادي على الوصول إلى مجموعة “مدراء المجال”. 
  • تأكد من أن حساب مدير المجال يستخدم فقط لإعداد المجال واستعادة النظام الإصلاحية
  • فقط منح الوصول المؤقت لـ المستخدمين حيثما يكون ذلك ضروريًا. 
  • تأكد من أن كلمات السر مخزنة في مكان آمن حيث يحصل عليها المستخدمون المصرح لهم بالوصول.
  • قم بتعطيل حساب المشرف المحلي لمنعه من أن يصبح نقطة اتصال للدخلاء. هذا لأن المجرمين الإلكترونيين يمكنهم بسهولة تسليم الوصول إلى نظامك إذا تركته مفعلًا حيث يتشارك نفس المعرف الشخصي وكلمة المرور عبر التثبيتات.

اقرأ أيضًا أفضل 10 أدوات البحث عن التهديد في إجراءات أمن المعلومات (الإيجابيات والسلبيات)

5. أجري مراجعات نشاط Active Directory بانتظام

يوصى دائمًا بمراقبة Active Directory وسجلاته وأحداثه بعناية وباستمرار. كن على أتم اليقظة لأي علامات على السلوك المشبوه، مثل زيادة في عدد محاولات تسجيل الدخول الفاشلة أو الحسابات المؤلفة، تغيير في عضوية المجموعات الممتازة، تعطيل أو إزالة برنامج مكافحة الفيروسات، أو تغيير في وقت تسجيل الدخول أو تسجيل الخروج.

أي من هذه الأحداث يمكن أن تكون إشارة تحذيرية لمحاولة أو وجود خرق محايد أو موجود لأجهزتك. علاوة على ذلك، من الحاسم متابعة من لديه الوصول إلى ماذا وإجراء تعديلات أو إزالة كما هو ضروري لضمان عدم وجود أي شخص لديه أي حقوق أكثر مما يحتاج إليه فيما يتعلق بالأمان. 

6. تطبيق سياسة الثقة الصفرية

الثقة الصفرية تعني أنه لا أحد في المؤسسة يُثق بشكل افتراضي. قم بتطبيق سياسة “الثقة الصفرية”، حيث لا يُمنح أي مستخدم، داخلي أو خارجي، الوصول التلقائي إلى المناطق المحمية للشبكة دون التحقق منه أولاً.

A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.

أمنح موظفيك أو أفراد المؤسسة الخاصة بك الوصول الذي يحتاجون إليه فقط، وفقط عندما يحتاجون إليه. كلما لم يكن هذا الوصول ضروريًا، أزله، وأينما كان ذلك ممكنًا، قم دائمًا بمنح الوصول لفترة زمنية مؤقتة.

7. إزالة مجموعات Active Directory الفارغة

في الأفضل، مجموعات الوصول النشط التي ليس لها أعضاء لا ينبغي أن تتواجد. هذا يدحض تمامًا الهدف من وجود مجموعات في المقام الأول. ومع ذلك، ليس من النادر أن يحتوي شبكة متزايدة على مجموعات الوصول النشط تحتوي على عدة أوساخ.

تسبب المجموعة الخالية في Active Directory الأمان المجموعة في حدوث مشكلتين رئيسيتين. أولاً، يضيفون الفوضى غير الضرورية ويجعلون إدارة الوصول النشط صعبة، حتى عندما يتم إقرانهم بأدوات Active Directory مصغرة المستخدم. النقطة الثانية والأكثر أهمية هي أن المجموعات الفارغة هي خطر أمني لشبكتك. 

I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information. 

لحسن الحظ، تتوفر أدوات لمساعدتك في التخلص من المجموعات غير النشطة في مجموعات AD. تختلف الأدوات اعتمادًا على برنامج إدارة مجموعات Active Directory الذي تستخدمه. استخدم هذه الأدوات لتحديد المجموعات الفارغة في Active Directory والتخلص منها إما عن طريق دمجها أو إزالتها بالكامل. على سبيل المثال، يمكنك دمج المجموعات ذات الصلة إذا كانت تحتاج جميعها إلى أذونات متطابقة.

اقرأ أيضًا كيفية تمكين MFA (Multi-Factor Authentication) للمستخدمين

8. تمكين Azure AD Multi-Factor Authentication (MFA)

مصدر الصورة: Unsplash

Azure AD MFA يقلل من خطر التوثيق المشروط بالرقم السري فقط عن طريق مطالبة المستخدمين بتوفير مجموعة من عوامل أكثر من عامل: “

  • شيء يعرفونه (على سبيل المثال، كلمة مرور).
  • شيء لديهم (على سبيل المثال، جهاز موثوق مثل الهاتف).
  • شيء هم عليه (على سبيل المثال، بصمة الإصبع).

هناك عدة طرق لتفعيل المصادقة متعددة العوامل في Azure:

من خلال الإعدادات الافتراضية لأمان Azure AD: تتيح للمسؤولين تسريع نشر MFA وتطبيق الإعدادات التي تتطلب MFA باستخدام Microsoft Authenticator لجميع المستخدمين. تسمح لك هذه الطريقة أيضًا كمسؤول بمنع بروتوكولات المصادقة التقليدية.

عن طريق استخدام سياسات الوصول الشرطية: تمنحك هذه السياسات حرية طلب MFA في حالات معينة، مثل عند تسجيل الدخول من مكان غير عادي، أو جهاز غير موثوق به، أو تطبيق غير آمن. من خلال المطالبة بالتحقق الإضافي فقط في حالة اكتشاف مخاطر أكبر، تقلل هذه الطريقة من العبء على المستخدمين.تقلل هذه الطريقة من العبء على المستخدمين من خلال طلب التحقق الإضافي فقط عند اكتشاف مخاطر إضافية.

من خلال تعديل حالة المستخدم الفردية: يدعم هذا النهج كل من خدمة Azure AD MFA القائمة على السحابة وخادم مصادقة Azure MFA. يتجاوز قيود الوصول الشرطي ويجبر المستخدمين على استخدام المصادقة ذات العاملينن عند تسجيل الدخول.

اقرأ أيضاً: نشر مراقبة Azure AD

أفضل الممارسات لمجموعات أمان Active Directory (الاستنتاج)

Active Directory هو خدمة قوية للتحكم في الوصول الذي يتمتع به المستخدمون الفرديون إلى خوادم Windows وموارد الشبكة. يمكن الحفاظ على أنظمتك بأمان من الهجمات عن طريق وضع تدابير أمان قوية، وتقييد الثغرات، ومراقبتها باستمرار.

اتبع الممارسات الموصى بها أعلاه لتجنب الإزعاجات المكلفة والحفاظ على أنظمتك آمنة.

Source:
https://infrasos.com/active-directory-security-groups-best-practices/