Лучшие практики безопасности групп Active Directory – Группы безопасности Azure Active Directory являются мощными инструментами для администраторов, позволяющими контролировать доступ отдельных пользователей к серверам Windows и сетевым ресурсам. Неправильное управление этими группами может ненамеренно предоставить киберпреступникам доступ к вашей сети и краже чувствительной информации.
Компрометации Azure Active Directory, вызванные невыполнением рекомендаций по лучшим практикам, встречаются часто. Однако можно обеспечить безопасность вашей системы от атак, установив надежные меры защиты, ограничив уязвимости и постоянно их мониторя.
Данная статья представляет собой глубокий анализ групп Azure Active Directory безопасности и лучших практик по обеспечению безопасности для более надежного защиты вашей сети Windows.
Источник изображения: Imanami
Группы безопасности Active Directory
Группы Azure Active Directory в Azure представлены двумя типами: группы распространения Active Directory и группы безопасности Active Directory.
Распределенные группы Active Directory в основном используются для рассылки электронных писем и совместимы с Microsoft Exchange и Outlook. Они позволяют администраторам сети отправлять электронные письма подмножеству участников Active Directory.
С другой стороны, безопасность групп Active Directory управляет разрешениями пользователей и доступом к аппаратным ресурсам. Эти группы очень важны для функционирования сети организации и бизнес-операций.
Это связано с тем, что безопасность групп Active Directory настолько важна для помощи администраторам контролировать, кто имеет доступ к важным сетевым ресурсам и предотвращать доступ неавторизованных пользователей к конфиденциальным данным. Это жизненно важно, особенно для защиты личной и конфиденциальной информации.
Группы безопасности Azure Active Directory включают администраторов, операторов учетных записей, администраторов домена, администраторов DNS, пользователей, гостей, операторов сервера, защищенных пользователей и многих других.
Сферы применения групп безопасности Active Directory
Azure Active Directory безопасность групп классифицируются на 4 категории на основе их сферы: локальные, доменные локальные, глобальные и универсальные группы.
Локальные группы: Эти группы создаются и доступны только на компьютере, на котором они были созданы.
Доменные локальные группы: Доменные локальные группы используются для управления правами доступа к ресурсам в пределах домена. В доменные локальные группы входят члены из доменов любого типа, а также из доменов, доверяемых другим доменам.
Глобальные группы: Глобальные группы определяют объекты домена (пользователи, компьютеры, группы) на основе бизнес-ролей. Пользователи организуются в группы в соответствии с их ролями (например, “Маркетинг” или “Бухгалтеры”), а компьютеры могут быть организованы в глобальные группы на основе их ролей (например, “Рабочие станции Маркетинга”).
Универсальные группы: Эти группы используются в многодоменном лесе. Они позволяют администраторам определять роли и разрешения для ресурсов, расположенных в разных доменах.
Применение групп безопасности Azure Active Directory
Существует два основных применения для групп безопасности Active Directory:
Назначение прав пользователей: Группы безопасности Active Directory используются для назначения прав пользователей, определяющих, что пользователи в группе могут делать в домене или лесу. Для удобства администрирования права пользователей могут автоматически предоставляться определенным группам безопасности.
Предоставление разрешений на ресурсы: Разрешения пользователей отличаются от прав пользователей. В то время как разрешения пользователей регулируют доступ к ресурсам, права пользователей определяют возможности пользователей.
Важно отметить, что определенные разрешения по умолчанию предоставляются конкретным группам безопасности. Группы Account Operators и Domain Admins являются примерами предопределенных групп безопасности, которые по умолчанию получают определенные разрешения. Эти группы создаются автоматически при настройке Active Directory домена. Однако из-за присущих рисков безопасности, связанных с предоставлением автоматических разрешений на безопасность, необходимо особое внимание при управлении этими группами.
Улучшите свою безопасность Active Directory & Azure AD
Попробуйте нас бесплатно, доступ ко всем функциям. – более 200 шаблонов отчетов AD доступны. Легко настраивайте свои собственные отчеты AD.
8 Лучших практик для групп безопасности Active Directory
1. Избегайте избыточности
Убедитесь, что безопасность групп по умолчанию не имеют чрезмерных разрешений: регулярно проверяйте разрешения, автоматически назначенные активным каталогом по умолчанию группы безопасности, так как некоторые из этих групп имеют значительные разрешения. Убедитесь, что пользователи имеют только минимальные права доступа, необходимые для выполнения своих повседневных обязанностей. Если требуются более широкие привилегии доступа, они должны предоставляться по мере необходимости.
Убедитесь, что вы устанавливаете только необходимые инструменты и функции, и убедитесь, что учетные записи имеют только необходимые права и являются членами необходимых групп. Если вы предоставляете всем широкие права или доступ к вашей системе, становится намного сложнее обнаружить внутренние угрозы, и ваша система становится уязвимой, если в группах с высоким уровнем доступа много человек.
2. Выполнять регулярные обновления программного обеспечения
Источник изображения: Pixabay
Microsoft рекомендует регулярно обновлять программное обеспечение Windows и сторонние программы. Чтобы скомпрометировать системы, нападающие часто используют или воспользоваться известными уязвимостями. С другой стороны, специалисты по кибербезопасности постоянно ищут способы предоставления защитных патчей для этих уязвимостей. Таким образом, наличие регулярной процедуры обновления помогает обеспечить, что ваши системы защищены от кибератак.
Для достижения этого часто рекомендуется использовать менеджер патчей для поддержания актуальности программного обеспечения вашей системы. Хорошая система управления патчами уведомит вас, если какое-либо из вашего программного обеспечения содержит уязвимости, и также предоставит информацию о любых рисках, которые она обнаружит, включая атаки, нацеленные конкретно на дыры в безопасности Active Directory.
3. Реализовать хорошую политику паролей
Вместо того чтобы полагаться на правила сложности, внедряйте политики паролей, которые поощряют пользователей использовать фразы-пароли, которые они могут легко запомнить. Важно иметь политику, требующую от пользователей установки паролей с перефразированными тремя или более словами, а не сложных паролей из восьми или менее символов. Правила сложности паролей отпугивают пользователей от использования запоминающихся паролей и приводят к неизбежной практике записывания паролей, что сводит на нет цель иметь пароль в первую очередь. Также рекомендуется установить правила, которые блокируют пользователей после определенного количества неудачных попыток входа.
Например, установите политику, которая обеспечивает блокировку пользователя после трех неудачных попыток ввода пароля. Пароли могут быть сделаны еще более безопасными за счет использования двухфакторного аутентификации. Вы можете использовать Microsoft Multi-Factor Authentication (MFA), Duo и RSA для реализации двухфакторной аутентификации.
4. Защита стандартных групп и учетных записей
При создании домена Active Directory также создается набор стандартных групп безопасности, и некоторые из этих групп имеют довольно широкие разрешения. Будьте осторожны при администрировании этих групп, поскольку предоставление пользователю доступа к одной из них автоматически предоставляет им мощный административный доступ и роли групп.
Для этого убедитесь, что вы следуете следующим практикам:
- Убедитесь, что, кроме стандартного “Администратор домена”, у обычных пользователей нет доступа к группе “Администраторы домена”.
- Обеспечьте, чтобы учетная запись Администратора домена использовалась только для настройки домена и восстановления катастрофы.
- Предоставляйте временный доступ к пользователям только при необходимости.
- Убедитесь, что пароли хранятся в безопасном месте, где только авторизованные пользователи имеют доступ.
- Отключите локальный аккаунт администратора, чтобы предотвратить его использование в качестве доступной точки для злоумышленников. Это связано с тем, что киберпреступники могут легко получить доступ к вашей системе, если вы оставите его включенным, поскольку он использует один и тот же SID и пароль на всех установках.
5. Проводите регулярные аудиты Active Directory
Рекомендуется тщательно и постоянно отслеживать Active Directory, журналы и события. Будьте начеку на предмет любых признаков подозрительной активности, таких как увеличение количества неудачных попыток входа или заблокированных аккаунтов, изменение состава любых привилегированных групп, отключение или удаление антивирусного ПО, или изменение времени входа или выхода из системы.
Любое из этих событий может быть предупреждающим знаком попытки или существующего компрометации ваших систем. Более того, крайне важно отслеживать, кто имеет доступ к чему, и вносить изменения или удалять доступ, если это необходимо, чтобы никто не имел больше привилегий, чем им нужно с точки зрения безопасности.
6. Внедрить политику Zero Trust
Zero trust означает, что никто в организации не доверяется по умолчанию. Внедрить политику “нулевого доверия”, при которой ни один пользователь, внутренний или внешний, не получает автоматического доступа к защищенным участкам сети, прежде чем не будет проверен.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
Предоставляйте сотрудникам или членам вашей организации только доступ, который им нужен, и только когда это необходимо. Всякий раз, когда такой доступ не нужен, удаляйте его, и, где это возможно, всегда предоставляйте доступ на временной основе.
7. Удалить пустые группы Active Directory
В идеале, группы Active Directory, не имеющие членов, не должны существовать. Это полностью подрывает смысл наличия групп в первую очередь. Однако нередко в растущей сети Active Directory можно обнаружить несколько пустых групп.
Пустая группа безопасности Active Directory вызывает два основных проблемы. Во-первых, они добавляют ненужный беспорядок и усложняют администрирование Active Directory, даже когда используются пользовательские инструменты для Active Directory. Во-вторых, и самое главное, пустые группы представляют собой угрозу безопасности для вашей сети.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
К счастью, есть инструменты, которые могут помочь вам избавиться от неактивных групп AD. Инструменты различаются в зависимости от программного обеспечения для администрирования групп Active Directory, которое вы используете. Используйте эти инструменты для поиска пустых групп Active Directory и удалите их либо путем их объединения, либо полностью. Например, вы можете объединить связанные группы, если им всем требуются идентичные разрешения.
8. Включите многофакторную аутентификацию Azure AD (MFA)
Источник изображения: Unsplash
Azure AD MFA снижает риск аутентификации только по паролю, заставляя пользователей предоставить комбинацию двух или более факторов: “
- Что-то, что они знают (например, пароль).
- Что-то, что у них есть (например, надежное устройство, такое как телефон).
- Что-то, что они являются (например, отпечаток пальца).
В Azure существует несколько способов активации многофакторной аутентификации:
Через настройки безопасности Azure AD: Эта опция позволяет администраторам ускорить развертывание MFA и применить настройки, требующие MFA с использованием Microsoft Authenticator для всех пользователей. Этот метод также позволяет вам, как администратору, запретить устаревшие протоколы аутентификации.
С помощью политик условного доступа: Эти политики дают вам свободу требовать MFA в определенных ситуациях, например, когда вы входите с необычного места, недоверенного устройства или рискованного приложения. Требуя дополнительную проверку только в случаях обнаружения большей опасности, этот метод снижает нагрузку на пользователей.Этот метод снижает нагрузку на пользователей, требуя дополнительную проверку только при обнаружении дополнительных рисков.
Через индивидуальные изменения состояния пользователя: Этот подход поддерживается как облачным Azure AD MFA, так и сервером аутентификации Azure MFA. Он обходит ограничения условного доступа и заставляет пользователей использовать двухфакторную аутентификацию при каждом входе в систему.
Также читайте Развертывание мониторинга Azure AD
Лучшие практики безопасности групп Active Directory (заключение)
Active Directory – это мощный сервис для контроля доступа пользователей к серверам Windows и сетевым ресурсам. Возможно обеспечить безопасность системы, установив надежные средства защиты, ограничивая уязвимости и постоянно их мониторя.
Следуйте рекомендуемым практикам, описанным выше, чтобы избежать дорогостоящих неудобств и обеспечить безопасность системы.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/