שיטות מומלצות לאבטחת קבוצות אבטחה של Active Directory – קבוצות אבטחה של Azure Active Directory הן כלי עוצמתי למנהלים לשלוט על אילו שרתי Windows ומשאבי רשת אישיים יש גישה אצל משתמשים ספציפיים. על ידי שלא לנהל נכון את הקבוצות הללו, ייתכן ותעניק באופן בלתי מתודע לך לפושעי סייבר ערוץ להיכנס לרשת שלך ולגנוב ממנה מידע רגיש.
הפשיטות באבטחה של Azure Active Directory שתוצאה מחוסר היקף עקבות לשיטות המומלצות הן נפוצות. אך אפשר לשמור על המערכות שלך מפני תקיפה על ידי הטמעת הגנות אבטחה יציבות, הגבלת חולשות, והם מעקב באופן קבוע עליהם.
המאמר הזה הוא ניתוח מעמיק של Azure Active Directory קבוצות בטיחות ושיטות הטיפוח הבטחוני הטובות ביותר לבצע כדי לשמור על הרבה יותר מוגן רשת הון שלך Windows.
מקור התמונה: Imanami
קבוצות בטיחות של Active Directory
Azure Active Directory קבוצות בAzure מגיעות בשני סוגים: קבוצות פצצה של Active Directory ו – קבוצות בטיחות של Active Directory.
קבוצות פצת הודעות ב-Active Directory בעיקר משמשות לפצת דואר אלקטרוני ותואמות ל-Microsoft Exchange ו-Outlook. הן מאפשרות ניהול רשת למנהלים רשת לשלוח מיילים לתתי קבוצות של Active Directory חברים.
מצד שני, קבוצות Active Directory בטחוניות מנהלות רמת ההרשאות של המשתמשים וגישה למשאבים חומריים. קבוצות אלו קבוצות חיוניות מאוד לפעולה של רשת הארגון ופעילות העסקית.
זאת משום שקבוצות Active Directory בטחוניות Active Directory כל כך חשובות לעזרת מנהלים בשליטה מי יש גישה למשאבי רשת חשובים ומונעים ממשתמשים לא מורשים מגישה לנתונים רגישים. זה קריטי, במיוחד להגנה על מידע פרטי ובסגר.
Azure Active Directory קבוצות בטיחות מורכבות ממנהיגים, מפעילי חשבון, דומיין אדמין, מנהלי DNS, משתמשים, אורחים, מפעילי שרת, משתמשים מוגנים ועוד מספרים.
תחומי קבוצות בטיחות של Active Directory
Azure Active Directory קבוצות בטיחות קבוצות מסודרות לרבעון בארבעה קטגוריות על פי התחום שלהם: מקומי, מקומי דומיין, גלובלי ואוניברסלי.
קבוצות מקומיות: קבוצות אלו קבוצות נוצרות וזמינות רק במחשב שבו נוצרו.
קבוצות מקומיות של מדינה: קבוצות מקומיות של מדינה משמשות לניהול זכויות גישה למשאבים ברחבי המדינה. קבוצות מקומיות של מדינה מורכבות מחברים ממדינות מכל סוג וגם מאלו ממדינות מאושרות.
קבוצות גלובליות: קבוצות גלובליות קבוצות מגדירות אובייקטים מדינה (משתמשים, מחשבים, קבוצות) על פי תפקידים עסקיים. משתמשים מאורגנים לפי קבוצות על פי תפקידם (למשל, "שיווק" או "רואי חשבון"), ומחשבים יכולים להיות מאורגנים לפי קבוצות גלובליות על פי תפקידם (למשל, "כונות שיווק").
קבוצות אוניברסליות: קבוצות אלה משמשות ביערות רב-מדינה יער. הן מאפשרות מנהלים לציין תפקיקים והרשאות למשאבים בין מדינה.
שימושים בקבוצות אבטחה של Azure Active Directory
יש שני שימושים עיקריים לקבוצות אבטחה של Active Directory:
הקצאת זכויות משתמש: Active Directory קבוצות אבטחה המשתמשים בשימוש כדי להקצות זכויות משתמש כדי לציין מה משתמשים בתוך קבוצה מורשים לעשות בתוך תחום או יער. לשיקולם המנהלים, זכויות משתמש עשויות להיות מוקצות אוטומטית לקבוצות אבטחה מסוימות .
נתינת הרשאות משאב: הרשאות משתמש שונות מזכויות משתמש. בעוד שהרשאות משתמש שולטות באילו משאבים משתמשים יכולים לגשת, זכויות משתמש קובעות אילו יכולות יש למשתמשים.
חשוב לציין שמספר הרשאות מותרש לקבוצות בטיחות ספציפיות מראש. קבוצות ה-Account Operators ו-Domain Admins הן שתי דוגמאות לקבוצות בטיחות קיומיות המקבלות הרשאות מסוימות מראש. קבוצות אלה נוצרות באופן אוטומטי כשאתה מגדיר Active Directory ידיעה. עם זאת, בגלל הסיכונים הבטחוניים המובילים הקשורים להענקת הרשאות בטיחות אוטומטיות, יש להיזהר במיוחד בניהול קבוצות אלה.
שפר את בטיחות Active Directory שלך & Azure AD
נסה אותנו בחינם, גישה לכל התכונות. – יש לך תבניות דוח AD של 200+. בקלות תוכנן את הדוחות האישיים שלך.
8 פרקטיקות טובות ביותר לקבוצות בטיחות ב-Active Directory
1. הימנע משיתוק מוחלט
הוודא שקבוצות האבטחה הברירת מחדל אינן מספקות רשות מוגזמות: בדוק באופן קבוע את הרשויות שמוקצות באופן אוטומטי על ידי קבוצות האבטחה הברירת מחדל של Active Directory, שכן חלק מהקבוצות הללו מספקות רשות משמעותית. הבטח שלמשתמשים יש רק את הגישה המינימלית הנחוצה על מנת לבצע את משימותיהם היום יומיות. אם נדרשת גישה רבה יותר, כן יש להקצות אותה בהתאם לצורך.
הבטח שתתקין רק את הכלים והתכונות הנחוצים והבטח שלחשבונות יש רק את הזכויות הנדרשות והם חברים בקבוצות הנחוצות. אם תיתן לכולם זכויות רבות או גישה למערכת שלך, יהיה קשה יותר לזהות איומים פנימיים, והמערכת שלך תהיה פגיעה אם ישנם מספר גדול של אנשים בקבוצות אבטחה בעלות גישה גבוהה.
2. בצע עדכוני תוכנה קבועים
מקור התמונה: Pixabay
Microsoft ממליץ לך לוודא שהתוכנה של Windows שלך ותוכנות שלישיות מעודכנות באופן קבוע. כדי להתחסל במערכות, פורצים לעתים קרובות מנצלים או מנצלים תוצאות ידועות פגמים. מצד שני, מומחים לאבטחת מידע ממהרים תמיד לספק דוקרים לפגמים אלה. כתוצאה מכך, יש שגרה של תיקון קבוע עוזרת להבטיח שהמערכות שלך חסינות ל התקפות קייבר.
לשם כך, מומלץ לעתים קרובות להשתמש בניהול פטצים כדי לשמור על תכנות המערכת שלך מעודכן. מערכת ניהול פטצים טובה תודיע לך אם תוכנתך כלשהי מכילה פגמים וכן תספק פרטים על כל הסיכונים שהיא מגלה, כולל התקפים הממוקדים בפגמים בטריקי Active Directory.
3. ישום מדיניות סיסמאות טובות
במקום להסתמך על חוקים מורכבים, להשיג סיסמאות מדיניות שמעודדת משתמשים להשתמש במשפטי סיסמה שהם יכולים לזכור בקלות. חשוב שיהיה מדיניות שדורשת ממשתמשים להגדיר סיסמאות עם פראפרס של שלושה או יותר מילים במקום סיסמאות קשות של שמונה או פחות תווים. חוקי מורכבות סיסמה מעכבים משתמשים משימוש בסיסמאות שניתן לזכור ומובילים למנהג הבלתי נמנע של כתיבת סיסמאות, מה שמנטרל את המטרה של שימוש בסיסמה מלכתחילה. כמו כן, מומלץ להגדיר חוקים שמנעים משתמשים לאחר מספר מסוים של ניסיונות כניסה כושלים.
לדוגמה, להגדיר מדיניות שמבטלת את השימוש במשתמש לאחר שלושה ניסיונות כניסה כושלים. ניתן להפוך את הסיסמאות לאבטחה נוספת על ידי שימוש באומנם אימות. ניתן להשתמש ב- Microsoft Multi-Factor Authentication (MFA), Duo ו- RSA ליישום אימות דו-שלבי.
4. שמור על קבוצות וחשבונות ברירת מחדל
Please note that I have kept the custom delimiters , , etc. as requested.
כאשר מיוצר דומיין Active Directory, נוצר גם סט של קבוצות אבטחה ברירת מחדל, וחלקן מהקבוצות הללו מגיעות עם הרבה הרשאות רחבות מאוד. היזהרו כשאתם מנהלים את הקבוצות הללו, כיוון שלכם לתת למשתמש גישה לאחת מהן מייד מעניקים להם גישה משופעת לשליטה ולתפקידים קבוצתיים.
כדי לעשות זאת, וודאו שאתם עוקבים אחרי השיטות הבאות:
- וודאו שחוץ מה"מנהל התחום" הברירת מחדל, אף משתמש רגיל אין גישה לקבוצת "מנהלי התחום".
- וודא שחשבון מנהל התחום משמש רק להגדרת התחום ושחזור אסון.
- תן גישה זמנית רק למשתמשים שצריכים אותה.
- וודא שסיסמאות מאוחסנות במקום בטוח שבו יש גישה רק למשתמשים מוסמכים.
- לבטל את חשבון המנהל המקומי כדי למנוע ממנו להפוך לנקודת גישה לפורענויות. זאת מכיוון שפורעניות תוך-מערכת יכולים להשיג בקלות גישה למערכת שלך אם תשאיר אותו מופעל, שכן הוא חולק את אותו מזהה משתמש וסיסמה במהלך התקמים.
5. בצע אודיטוריות פעילות דירקטוריונים באופן קבוע
תמיד מומלץ לפקח בקפידה וברציפות על דירקטוריון פעילות, יומנים ואירועים. היזהר לכל סימן של התנהגות חשודה, כגון עליה במספר הניסיונות הכושלים להתחבר או חשבונות ננעלים, שינוי בשחסום של קבוצות מוקדמות, השבתה או הסרה של תוכנות מניעת וירוסים, או שינוי בזמן ההתחברות או התנתקות.
כל אחד מאירועים אלה יכול להיות איתור אזהרה לניסיון או קיימת חדירה במערכות שלך. עם זאת, חיוני לעקוב אחר מי שיש לו גישה למה ולעשות שינויים או הסרות כפי שצריך כדי לוודא שאף אחד לא יש יותר פריוולגיות ממה שהם צריכים במונחים של אבטחה.
6. ישום מדיניות אפס אמון
אפס אמון פירושו שאף אחד בארגון לא מאמץ כברירת מחדל. יש ליישם מדיניות של "אפס אמון", שבה שום משתמש, פנימי או חיצוני, לא זכאי לגישה אוטומטית לאזורים המוגנים של הרשת לפני שהוא מוערך תחילה.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
תן רק לעובדים שלך או לחברים בארגון שלך את הגישה שהם צריכים, ורק כשהם צריכים אותה. כשגישה זו אינה נחוצה, הסר אותה, ובמידת האפשר, תמיד מסר את הגישה בסיסית.
7. הסרת קבוצות פעילות דירקטוריונית ריקות
באופן אידיאלי, קבוצות Active Directory ללא חברים לא צריכות להתקיים. זה לגמרי מנפץ את הטעם בכלל להיות קבוצות. עם זאת, זה לא נדיר שברשת גדלה יש Active Directory עם מספר קבוצות ריקות.
קבוצת אבטחת Active Directory ריקה גורמת לשתי בעיות מרכזיות. ראשית, הן מוסיפות עיטור מיותר ומקשות על ניהול Active Directory, אפילו כשמשודרגים עם כלים ידידותיים למשתמש. הנקודה השנייה והחשובה ביותר לציין היא שקבוצות ריקות מהוות סכנה ברשת שלך.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
למרבה המזל יש כלים שקיימים כדי לעזור לך להיפטר מקבוצות לא פעילות AD. הכלים משתנים תלויים בתוכנת הניהול של קבוצות Active Directory שאתה משתמש. השתמש בכלים אלה כדי למצוא קבוצות ריקות של Active Directory ולחסל אותן גם על ידי שילובן או בהפרדה מהן לחלוטין. לדוגמה, אם אתה משלב קבוצות קשורות אם כולן זקוקות להרשאות זהות.
8. הפעל Azure AD Multi-Factor Authentication (MFA)
מקור התמונה: Unsplash
Azure AD MFA מקטין את הסיכון של אימות בסיסי רק בסיס סיסמה על ידי כך שמחייבים את המשתמשים לספק שילוב של שניים או יותר מהגורמים: "
- משהו שהם יודעים (לדוגמה, סיסמה).
- משהו שיש להם (לדוגמה, מכשיר אמין כמו טלפון).
- משהו שהם (לדוגמה, אצבעות).
ישנם מספר שיטות להפעלת אימות מרובה גורמים ב-Azure:
דרך הגדרות אבטחה של Azure AD: אפשרות זו מאפשרת למנהלים לזרז את הפעלת MFA ולהחיל הגדרות שדורשות MFA באמצעות Microsoft Authenticator לכל המשתמשים. שיטה זו מאפשרת גם לך, כמנהל, לאפשר או לאפשר פרוטוקולי אימות מורשים ישנים.
על ידי שימוש במדיניות גישה תנאית: מדיניות זו נותנת לך את החופש לדרוש MFA במצבים מסוימים, כמו כשאתה מתחבר ממקום לא רגיל, מכשיר שאינך סומך עליו או אפליקציה מסוכנת. על ידי דרישת אימות נוסף רק במקרים שבהם אותר סיכון גבוה יותר, שיטה זו מפחיתה את המשא ומתן על המשתמשים.שיטה זו מפחיתה את המשא ומתן על המשתמשים על ידי דרישת אימות נוסף רק כאשר זוהה סיכון נוסף.
באמצעות שינויים במצב משתמשים בודדים: שיטה זו נתמכת גם על ידי שירות הענן Azure AD MFA ושרת האימות Azure MFA. היא עוקפת מגבלות גישה מותנית ומאלצת את המשתמשים להשתמש באימות דו-שלבי בכל פעם שהם מתחילים שיחה.
קרא גם פרוס Azure AD מעקב
פירוט על קבוצות אבטחה ב-Active Directory – סיכום
Active Directory הוא שירות חזק לשליטה באיזה שרתי Windows ומשאבי רשת יש למשתמשים בודדים גישה. ניתן לשמור על מערכות בטיחות מהתקפות על ידי יצירת מאמרים שליטה אבטחה, מגבילים פגמים, ומנטרים אותם כל הזמן.
עקוב אחר הנחיות המומלצות לעיל כדי להימנע מאי-נוחויות יקרות ולשמור על בטיחות המערכות שלך.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/