Pratiche consigliate per la sicurezza dei gruppi di sicurezza di Active Directory – I gruppi di sicurezza di Azure Active Directory sono strumenti potenti per gli amministratori per controllare a quali server Windows e risorse di rete singoli utenti hanno accesso. Non gestendo correttamente questi gruppi, potresti fornire inconsapevolmente ai cybercriminali un modo per entrare nella tua rete e rubare informazioni sensibili.
I compromessi di Azure Active Directory che derivano dalla mancata aderenza alle migliori pratiche sono comuni. Tuttavia, è possibile mantenere i tuoi sistemi al sicuro dagli attacchi mettendo in atto solide misure di sicurezza, limitando le vulnerabilità e monitorandole costantemente.
Questo articolo è un’analisi approfondita dei gruppi di sicurezza di Azure Active Directory e delle migliori pratiche di sicurezza da seguire per proteggere meglio la tua rete Windows.
Fonte immagine: Imanami
Gruppi di Sicurezza di Active Directory
I gruppi di Azure Active Directory in Azure sono di due tipi: gruppi di distribuzione di Active Directory e gruppi di sicurezza di Active Directory.
I gruppi di distribuzione di Active Directory vengono principalmente utilizzati per la distribuzione di posta elettronica e sono compatibili con Microsoft Exchange e Outlook. Permettono agli amministratori di rete di inviare email a sottoinsiemi di membri di Active Directory.
D’altra parte, i gruppi di sicurezza di Active Directory gestiscono i permessi utente e l’accesso alle risorse hardware. Queste gruppi sono molto importanti per il funzionamento di una rete aziendale e delle operazioni aziendali.
Questo perché i gruppi di sicurezza di Active Directory sono così importanti per aiutare gli amministratori a controllare chi ha accesso a risorse di rete importanti e impedire agli utenti non autorizzati di accedere a dati sensibili. Questo è vitale, in particolare per la protezione di informazioni private e riservate.
Gruppi di sicurezza di Azure Active Directory sono costituiti da Amministratori, Operatori Account, Amministratori di dominio, Amministratori DNS, Utenti, Ospiti, Operatori Server, Utenti Protetti e diversi altri.
Ambiti dei gruppi di sicurezza di Active Directory
Azure Active Directory i gruppi di sicurezza gruppi sono classificati in 4 categorie in base al loro ambito: locale, locale di dominio, globale e universale.
Gruppi locali: Questi gruppi vengono creati e sono disponibili solo sul computer in cui sono stati creati.
Gruppi locali di dominio: I gruppi locali di dominio vengono utilizzati per gestire i diritti di accesso alle risorse in tutto il dominio. I gruppi locali di dominio includono membri di domini di qualsiasi tipo, nonché quelli provenienti da domini fidati.
Gruppi globali: I gruppi globali definiscono gli oggetti del dominio (utenti, computer, gruppi) in base ai ruoli aziendali. Gli utenti vengono organizzati in gruppi in base ai loro ruoli (ad esempio, “Marketing” o “Accountants”), e i computer possono essere organizzati in gruppi globali in base ai loro ruoli (ad esempio, “Workstation di Marketing”).
Gruppi universali: Questi gruppi vengono utilizzati nelle foreste multi-dominio. Consentono agli amministratori di specificare ruoli e permessi per le risorse transdominio.
Utilizzo dei Gruppi di Sicurezza di Azure Active Directory
Esistono due principali utilizzi per i gruppi di sicurezza di Active Directory:
Assegnazione di diritti utente: Active Directory i gruppi di sicurezza sono utilizzati per assegnare diritti utente per specificare cosa gli utenti all’interno di un gruppo sono autorizzati a fare all’interno di un dominio o di un forest. Per comodità amministrativa, i diritti utente possono essere concessi automaticamente a determinati gruppi di sicurezza.
Concessione di permessi per le risorse: I permessi utente sono distinti dai diritti utente. Mentre i permessi utente regolano quali risorse gli utenti possono accedere, i diritti utente determinano quali capacità gli utenti hanno.
È importante notare che determinate autorizzazioni vengono concesse per impostazione predefinita a specifici gruppi di sicurezza. I gruppi Account Operators e Domain Admins sono due esempi di gruppi di sicurezza predefiniti che ricevono determinate autorizzazioni per impostazione predefinita. Questi gruppi vengono generati automaticamente quando si configura un dominio Active Directory. Tuttavia, a causa dei rischi di sicurezza inerenti associati alla concessione di autorizzazioni di sicurezza automatiche, è necessario prestare particolare attenzione nella gestione di questi gruppi.
Migliora la tua sicurezza Active Directory & Azure AD
Provali gratuitamente, accesso a tutte le funzionalità. – Disponibili oltre 200 modelli di report AD. Personalizza facilmente i tuoi report AD.
8 Migliori pratiche per i gruppi di sicurezza Active Directory
1. Evita eccessi
Garantire che i gruppi di sicurezza predefiniti non abbiano autorizzazioni eccessive: Esaminare regolarmente le autorizzazioni assegnate automaticamente dai gruppi di sicurezza predefiniti di Active Directory, poiché alcuni di questi gruppi hanno autorizzazioni considerevoli. Assicurarsi che gli utenti abbiano solo i diritti di accesso minimi necessari per svolgere le loro attività quotidiane. Se sono richiesti privilegi di accesso maggiori, dovrebbero essere concessi su base necessaria.
Assicurati di installare solo gli strumenti e le funzionalità richieste e garantire che gli account abbiano solo i diritti richiesti e siano membri dei gruppi richiesti. Se concedi a tutti diritti estesi o accesso al tuo sistema, diventa molto più difficile rilevare minacce interne e il tuo sistema diventa vulnerabile se ci sono un gran numero di individui in gruppi di sicurezza ad alto accesso.
2. Eseguire aggiornamenti software regolarmente
Fonte immagine: Pixabay
Microsoft consiglia di assicurarsi che il software di Windows e i programmi di terze parti siano aggiornati regolarmente. Al fine di compromettere i sistemi, gli aggressori spesso sfruttano o approfittano delle conosciute vulnerabilità. D’altra parte, i professionisti della cybersecurity sono sempre impegnati a fornire patch di sicurezza a queste vulnerabilità. Di conseguenza, avere una routine di patching regolare aiuta a garantire che i tuoi sistemi siano immuni agli attacchi informatici.
Per raggiungere questo obiettivo, è spesso consigliato utilizzare un gestore di patch per mantenere aggiornato il software del tuo sistema. Un buon sistema di gestione delle patch ti notificherà se qualche software contiene vulnerabilità e fornirà anche dettagli su eventuali rischi che trova, comprese le attività degli aggressori che mirano specificamente a buchi nella sicurezza di Active Directory.
3. Implementare buone politiche di password
Invece di fare affidamento su regole di complessità, attuare politiche password che incoraggino gli utenti a utilizzare passphrase che possono ricordare facilmente. È importante avere una politica che richieda agli utenti di impostare password con parafrasi di tre o più parole invece di password difficili di otto o meno caratteri. Le regole di complessità delle password scoraggiano gli utenti dal utilizzare password memorabili e portano all’inevitabile pratica di scrivere le password, il che annulla lo scopo di avere una password in primo luogo. È anche raccomandato impostare regole che blocchino gli utenti dopo un certo numero di tentativi di accesso non riusciti.
Ad esempio, impostare una politica che garantisca che un utente venga bloccato dopo tre tentativi di password non riusciti. Le password possono essere rese ancora più sicure utilizzando l’autenticazione a due fattori autenticazione. È possibile utilizzare Microsoft Multi-Factor Authentication (MFA), Duo e RSA per implementare l’autenticazione a due fattori.
4. Proteggere i Gruppi e gli Account predefiniti
Quando viene creato un dominio Active Directory, vengono anche creati un insieme di gruppi di sicurezza predefiniti, e alcuni di questi gruppi hanno permessi piuttosto ampi. Attenzione quando si gestiscono questi gruppi, poiché dare a un utente l’accesso a uno di essi automaticamente li autorizza ad avere accesso amministrativo potente e ruoli di gruppo.
Per fare ciò assicurati di seguire le seguenti pratiche:
- Assicurati che, oltre al “Domain Administrator” predefinito, nessun utente normale abbia accesso al gruppo “Domain Admins”.
- Garantisci che l’account Domain Administrator venga utilizzato solo per l’impostazione del dominio e il ripristino in caso di disastro.
- Concedi accesso temporaneo solo agli utenti quando necessario.
- Assicurati che le password siano memorizzate in un luogo sicuro dove solo gli utenti autorizzati possano accedervi.
- Disattivare l’account amministratore locale per impedirgli di diventare un punto di accesso per gli intrusi. Questo perché cybercriminali possono facilmente ottenere l’accesso al tuo sistema se lo si lascia abilitato poiché condivide lo stesso SID e password in tutte le installazioni.
5. Eseguire regolari audit di Active Directory
Si consiglia sempre di monitorare attentamente e costantemente Active Directory, log e eventi. Fatti avvisare per eventuali segni di comportamento sospetto, come un aumento del numero di tentativi di accesso falliti o account bloccati, un cambiamento nella composizione di qualsiasi gruppo privilegiato, la disattivazione o rimozione del software antivirus, o un cambiamento nell’ora di qualsiasi accesso o disconnessione.
Qualsiasi di questi eventi potrebbe essere un segnale di allarme di un tentativo o di un compromesso attuale dei tuoi sistemi. Inoltre, è fondamentale tenere traccia di chi ha accesso a cosa e apportare modifiche o rimozioni come necessario per garantire che nessuno abbia più privilegi del necessario in termini di sicurezza.
6. Implementare una politica di Zero Trust
Zero trust significa che nessuno nell’organizzazione viene fidato di default. Implementare una politica di “zero trust”, in cui nessun utente, interno o esterno, ottiene accesso automatico alle aree protette della rete senza prima essere verificato.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
Dare solo ai tuoi dipendenti o ai membri della tua organizzazione l’accesso che necessitano e solo quando ne hanno bisogno. Ogni volta che tale accesso non è necessario, rimuovilo e, ove possibile, concederlo sempre in modo temporaneo.
7. Rimuovere i Gruppi di Directory Attive Vuoti
Idealmente, gruppi di Active Directory senza membri non dovrebbero esistere. Questo mina completamente il punto di avere gruppi in primo luogo. Tuttavia, non è insolito che un’infrastruttura in crescita Active Directory abbia diversi gruppi vuoti.
Un gruppo di sicurezza di Active Directory vuoto causa due problemi principali. In primo luogo, aggiungono spreco di spazio e rendono difficile la gestione di active directory, anche quando abbinati con strumenti di Active Directory user friendly. Il secondo e punto più importante da notare è che i gruppi vuoti rappresentano un rischio per la sicurezza della tua rete.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
Fortunatamente, esistono strumenti disponibili per aiutarti a eliminare gruppi AD inattivi. Gli strumenti variano a seconda del software di gestione dei gruppi di Active Directory che utilizzi. Utilizza questi strumenti per individuare i gruppi di Active Directory vuoti ed eliminarli, sia unendo i gruppi correlati se richiedono tutti gli stessi permessi.
8. Abilita l’autenticazione a più fattori (MFA) di Azure AD
Immagine di origine: Unsplash
Azure AD MFA riduce il pericolo dell’autenticazione solo con password obbligando gli utenti a fornire una combinazione di due o più fattori: “
- Qualcosa che sanno (ad esempio, una password).
- Qualcosa che hanno (ad esempio, un dispositivo fidato come un telefono).
- Qualcosa che sono (ad esempio, un’impronta digitale).
Esistono diversi metodi per attivare l’autenticazione a più fattori in Azure:
Attraverso le impostazioni di sicurezza di Azure AD: Questa opzione consente agli amministratori di accelerare la distribuzione di MFA e applicare impostazioni che richiedono MFA utilizzando Microsoft Authenticator per tutti gli utenti. Questo metodo consente anche a te, come amministratore, di vietare i protocolli di autenticazione legacy.
Utilizzando le politiche di accesso condizionale: Queste politiche ti danno la libertà di richiedere MFA in determinate situazioni, come quando accedi da un luogo insolito, da un dispositivo non attendibile o da un’app rischiosa. Richiedendo una verifica aggiuntiva solo nei casi in cui viene rilevato un rischio maggiore, questo metodo riduce l’onere per gli utenti.Questa tecnica riduce l’onere per gli utenti richiedendo una verifica aggiuntiva solo quando viene riconosciuto un rischio aggiuntivo.
Attraverso modifiche dello stato dell’utente individuale: Questo approccio è supportato sia da Azure AD MFA basato su cloud che dal server di autenticazione Azure MFA. Esso aggira le restrizioni di Accesso condizionale e obbliga gli utenti a utilizzare l’autenticazione a due fattori ogni volta che effettuano l’accesso.
Leggi anche Implementare il Monitoraggio di Azure AD
Best Practice dei Gruppi di Sicurezza di Active Directory (Conclusione)
Active Directory è un servizio robusto per controllare a quali server Windows e risorse di rete gli utenti singoli hanno accesso. È possibile mantenere i propri sistemi al sicuro da attacchi mettendo in atto solide misure di sicurezza, limitando le vulnerabilità e monitorandole costantemente.
Seguire le pratiche consigliate sopra indicate per evitare inconvenienti costosi e mantenere i propri sistemi sicuri.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/