Best Practices voor Beveiligingsgroepen in Active Directory – Azure Active Directory Beveiligingsgroepen zijn krachtige tools voor beheerders om te controleren welke Windows-servers en netwerkbronnen individuele gebruikers toegang hebben. Door deze groepen niet goed te beheren, kunt u onbedoeld cybercriminelen een achterdeur bieden om uw netwerk binnen te komen en gevoelige informatie te stelen.
Azure Active Directory compromissen die het gevolg zijn van het niet naleven van de beste praktijken zijn gebruikelijk. Het is echter mogelijk om uw systemen veilig te houden tegen aanvallen door solide beveiligingsmaatregelen in te stellen, kwetsbaarheden te beperken en ze voortdurend te monitoren.
Dit artikel is een grondige analyse van Azure Active Directory beveiligings groepen en de beste beveiligingsprocedures om na te streven om uw Windows-netwerk beter te beschermen.
Afbeeldingbron: Imanami
Active Directory Beveiligingsgroepen
Azure Active Directory groepen in Azure zijn er in twee soorten: Active Directory distributie groepen en Active Directory beveiliging groepen.
Active Directory distributiegroepen worden voornamelijk gebruikt voor e-mail distributie en zijn compatibel met Microsoft Exchange en Outlook. Ze stellen netwerk beheerders in staat om e-mails te sturen naar subsets van Active Directory leden.
Aan de andere kant beheren Active Directory beveiligingsgroepen gebruikersmachtigingen en toegang tot hardwarebronnen. Deze groepen zijn van cruciaal belang voor het functioneren van een organisatie’s netwerk en bedrijfsvoering.
Dit komt omdat Active Directory beveiligingsgroepen zo belangrijk zijn voor het helpen van beheerders bepalen wie toegang heeft tot belangrijke netwerkbronnen en onbevoegde gebruikers voorkomen toegang te krijgen tot gevoelige gegevens. Dit is essentieel, met name voor de bescherming van privé- en vertrouwelijke informatie.
Azure Active Directory beveiligingsgroepen bestaan uit Administrators, Account Operators, Domain Admins, DNS Admins, Users, Guests, Server Operators, Protected Users en verschillende anderen.
Active Directory Beveiligingsgroepen Bereiken
Azure Active Directory beveiliging groepen worden ingedeeld in 4 categorieën op basis van hun bereik: lokale, domein-lokale, globale en universele groepen.
Lokale groepen: Deze groepen worden aangemaakt en zijn alleen beschikbaar op de computer waarop ze zijn aangemaakt.
Gebiedslocale groepen: Gebiedslocale groepen worden gebruikt om de toegangsrechten voor bronnen in het domein te beheren. Gebiedslocale groepen bestaan uit leden van domeinen van welke type dan ook, evenals leden uit vertrouwde domeinen.
Globale groepen: Globale groepen definiëren domeinobjecten (gebruikers, computers, groepen) op basis van zakelijke rollen. Gebruikers worden op basis van hun rollen georganiseerd in groepen (bijvoorbeeld “Marketing” of “Accountants”), en computers kunnen worden georganiseerd in globale groepen op basis van hun rollen (bijvoorbeeld “Marketing Workstations”).
Universele groepen: Deze groepen worden gebruikt in meerdomainedobossen. Ze stellen beheerders in staat om rollen en machtigingen voor bronnen over domeinen te specificeren.
Gebruiksmogelijkheden van Azure Active Directory Beveiligingsgroepen
Er zijn twee primaire toepassingen voor Active Directory beveiligingsgroepen:
Toekennen van gebruikersrechten: Active Directory beveiliging groepen worden gebruikt om gebruikersrechten toe te kennen om aan te geven wat gebruikers binnen een groep mogen doen binnen een domein of bos. Voor administratieve gemakkelijkheid kunnen gebruikersrechten automatisch worden gegeven aan bepaalde beveiligingsgroepen.
Toekennen van resourcemachtigingen: Gebruikersmachtigingen zijn verschillend van gebruikersrechten. Terwijl gebruikersmachtigingen bepalen welke resources gebruikers kunnen openen, bepalen gebruikersrechten welke mogelijkheden gebruikers hebben.
Het is belangrijk op te merken dat bepaalde machtigingen standaard worden toegekend aan specifieke beveiligings groepen. De Account Operators en Domain Admins groepen zijn twee voorbeelden van voorgedefinieerde beveiligingsgroepen die bepaalde machtigingen standaard ontvangen. Deze groepen worden automatisch gegenereerd wanneer u een Active Directory domein instelt. Echter vanwege de inherente beveiligingsrisico’s die samenhangen met het toekennen van automatische beveiligingsmachtigingen, moet er bijzondere zorg worden besteed bij het beheren van deze groepen.
Verbeteren van uw Active Directory Beveiliging & Azure AD
Probeer ons uit voor Gratis, Toegang tot alle functies. – 200+ AD-rapport sjablonen beschikbaar. Maak gemakkelijk uw eigen AD-rapporten aan.
8 Best Practices voor Active Directory Beveiligingsgroepen
1. Vermijd overmatig gebruik
Zorg ervoor dat standaard beveiligings groepen geen overmatige machtigingen hebben: Bekijk regelmatig de machtigingen die automatisch worden toegewezen door Active Directory’s standaardbeveiligingsgroepen, aangezien sommige van deze groepen aanzienlijke machtigingen hebben. Zorg ervoor dat gebruikers slechts de minimale toegangsrechten hebben die nodig zijn om hun dagelijkse verantwoordelijkheden uit te voeren. Indien grotere toegangsrechten vereist zijn, moeten deze op basis van behoefte worden verleend.
Zorg ervoor dat u alleen de vereiste hulpmiddelen en functies installeert en zorg ervoor dat accounts slechts de vereiste rechten hebben en lid zijn van de vereiste groepen. Als u iedereen uitgebreide rechten of toegang tot uw systeem verleent, wordt het veel moeilijker om interne dreigingen te detecteren en uw systeem wordt kwetsbaar als er een groot aantal personen zijn in hoge toegangsbeveiligingsgroepen.
2. Voer regelmatig software-updates uit
Afbeeldingbron: Pixabay
Microsoft raadt aan om ervoor te zorgen dat uw Windows-software en externe programma’s regelmatig worden bijgewerkt. Om systemen te compromitteren, gebruiken aanvallers vaak bekende kwetsbaarheden uit of benutten ze deze. Aan de andere kant zijn cybersecurity professionals altijd bezig met het bieden van beveiligingspatches voor deze kwetsbaarheden. Daarom helpt een regelmatige patchroutine ervoor te zorgen dat uw systemen immuun zijn voor cyberaanvallen.
Om dit te bereiken, wordt vaak aanbevolen om een patchmanager te gebruiken om de software van uw systeem up-to-date te houden. Een goed patchbeheersysteem zal u op de hoogte stellen als een van uw softwareprogramma’s kwetsbaarheden bevat en zal ook details geven over eventuele risico’s die het vindt, inclusief aanvallers die specifiek op zoek zijn naar Active Directory beveiligingslekken.
3. Goede wachtwoordbeleid implementeren
In plaats van te vertrouwen op complexiteitsregels, moet u wachtwoordbeleid implementeren dat gebruikers aanmoedigt om passphrase te gebruiken die ze gemakkelijk kunnen onthouden. Het is belangrijk om een beleid te hebben waarbij gebruikers wachtwoorden moeten instellen met parafrases van drie of meer woorden in plaats van moeilijke wachtwoorden van acht of minder tekens. Wachtwoordcomplexiteitsregels doen gebruikers afschrikken om onthoudenbare wachtwoorden te gebruiken en leiden tot de onvermijdelijke praktijk van het opschrijven van wachtwoorden, wat het doel van het hebben van een wachtwoord in de eerste plaats ondergraaft. Het is ook aanbevolen om regels op te stellen die gebruikers na een bepaald aantal mislukte inlogpogingen blokkeren.
Bijvoorbeeld, stel een beleid in dat ervoor zorgt dat een gebruiker wordt geblokkeerd na drie mislukte wachtwoordpogingen. Wachtwoorden kunnen nog veiliger worden gemaakt door tweefactor authenticatie te gebruiken. U kunt Microsoft Multi-Factor Authentication (MFA), Duo en RSA gebruiken om tweefactor authenticatie in te stellen.
4. Standaardgroepen en -accounts beschermen.
Wanneer een Active Directory domein wordt aangemaakt, wordt ook een set standaard beveiligingsgroepen aangemaakt, en sommige van die groepen hebben behoorlijk brede machtigingen. Wees voorzichtig bij het beheren van deze groepen, aangezien het een gebruiker toegang geeft tot één groep hen automatisch machtige beheermachtigingen en groeiroles verleent.
Om dit te doen, moet je de volgende praktijken volgen:
- Zorg ervoor dat, afgezien van de standaard “Domain Administrator”, geen normale gebruikers toegang hebben tot de “Domain Admins” groep.
- Zorg ervoor dat het Domain Administrator-account alleen wordt gebruikt voor domeininstellingen en ramp herstel.
- Geef alleen tijdelijke toegang toe aan gebruikers waar dat nodig is.
- Zorg ervoor dat wachtwoorden op een veilige plaats worden opgeslagen waar alleen gemachtigde gebruikers toegang toe hebben.
- Deactiveer het lokale beheerdersaccount om te voorkomen dat het een toegangspunt wordt voor indringers. Dit komt omdat cybercriminelen gemakkelijk toegang kunnen krijgen tot uw systeem als u het ingeschakeld laat, omdat het dezelfde SID en wachtwoord deelt over installaties.
5. Voer regelmatige Active Directory-audits uit
Het wordt altijd aanbevolen dat Active Directory, logboeken en gebeurtenissen grondig en voortdurend worden gecontroleerd. Wees alert op tekenen van verdacht gedrag, zoals een toename van het aantal mislukte aanmeldpogingen of geblokkeerde accounts, een verschuiving in de leden van elke bevoorrechte groep, de deactivering of verwijdering van antivirussoftware, of een verandering in de timing van elke aanmelding of afmelding.
Een van deze gebeurtenissen kan een waarschuwingssignaal zijn van een poging tot of bestaande inbreuk op uw systemen. Bovendien is het van cruciaal belang om bij te houden wie toegang heeft tot wat en indien nodig aanpassingen of verwijderingen aan te brengen om ervoor te zorgen dat niemand meer rechten heeft dan nodig in termen van veiligheid.
6. Voer een beleid van Nul Vertrouwen in
Nul vertrouwen betekent dat niemand binnen de organisatie standaard wordt vertrouwd. Voer een beleid van “nul vertrouwen” in, waarbij geen gebruiker, intern of extern, automatisch toegang krijgt tot de beschermde gebieden van het netwerk zonder eerst te worden geverifieerd.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
Geef uw medewerkers of leden van uw organisatie alleen de toegang die zij nodig hebben, en alleen als zij dat nodig hebben. Elke keer dat zulke toegang niet nodig is, verwijder het en, waar mogelijk, verleen altijd de toegang tijdelijk.
7. Verwijder lege Active Directory Groepen
Ideaal gesproken, Active Directory groepen zonder leden zouden niet moeten bestaan. Dit ondermijnt helemaal het doel van het hebben van groepen. Toch is het niet ongewoon dat een aan het groeien netwerk’s Active Directory verschillende lege groepen heeft.
Een lege Active Directory beveiligingsgroep veroorzaakt twee grote problemen. Ten eerste, ze voegen onnodig rommel toe en maken Active Directory beheer moeilijk, zelfs wanneer ze gepaard gaan met gebruikersvriendelijke Active Directory tools.Het tweede en belangrijkste punt om op te merken is dat lege groepen een beveiligingsrisico vormen voor uw netwerk.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
Gelukkig zijn er hulpmiddelen beschikbaar om inactieve AD-groepen te verwijderen. De hulpmiddelen verschillen afhankelijk van de Active Directory groepsbeheersoftware die u gebruikt. Gebruik deze hulpmiddelen om lege Active Directory groepen te vinden en ze te verwijderen of te fuseren. Bijvoorbeeld, fuseren verwante groepen als ze allemaal identieke machtigingen vereisen.
8. Schakel Azure AD Multi-Factor Authentication (MFA) in
Afbeeldingbron: Unsplash
Azure AD MFA vermindert het risico van alleen wachtwoordauthenticatie door gebruikers te dwingen om een combinatie van twee of meer factoren te gebruiken: “
- Iets wat ze weten (bijvoorbeeld een wachtwoord).
- Iets wat ze hebben (bijvoorbeeld een vertrouwd apparaat zoals een telefoon).
- Iets wat ze zijn (bijvoorbeeld een vingerafdruk).
Er zijn verschillende methoden om multi-factor authenticatie te activeren in Azure:
Door middel van Azure AD beveiligingsstandaarden: Deze optie stelt beheerders in staat om de implementatie van MFA te versnellen en instellingen toe te passen die MFA vereisen met behulp van Microsoft Authenticator voor alle gebruikers. Deze methode stelt u ook als beheerder in staat om verouderde authenticatieprotocollen te verbieden.
Door gebruik te maken van voorwaardelijke toegangsbeleidsregels: Deze beleidsregels geven u de vrijheid om MFA te eisen in bepaalde situaties, zoals wanneer u inlogt vanaf een ongebruikelijke locatie, een apparaat dat u niet vertrouwt, of een risicovolle app. Door alleen om extra verificatie te vragen wanneer er een groter gevaar wordt ontdekt, vermindert deze methode de last voor gebruikers.Deze techniek vermindert de last voor gebruikers door alleen extra verificatie te vereisen wanneer er een extra risico wordt herkend.
Door individuele gebruikersstatusaanpassingen: Deze aanpak wordt ondersteund door zowel op de cloud gebaseerde Azure AD MFA als de Azure MFA Authenticatieserver. Het omzeilt voorwaardelijke toegangsbeperkingen en dwingt gebruikers om tweefactorauthenticatie te gebruiken wanneer ze inloggen.
Ook lezen Implementeer Azure AD Monitoring
Beste praktijken voor beveiligingsgroepen in Active Directory (Conclusie)
Active Directory is een krachtige service voor het beheersen van de toegang van individuele gebruikers tot Windows-servers en netwerkbronnen. Het is mogelijk om uw systemen te beschermen tegen aanvallen door solide beveiligingsmaatregelen te implementeren, kwetsbaarheden te beperken en deze voortdurend te monitoren.
Volg de bovenstaande aanbevolen werkwijzen om kostbare ongemakken te voorkomen en uw systemen veilig te houden.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/