Určení požadavků pro posílení zabezpečení Doména služby Active Directory Services (AD DS)
Následující tabulka obsahuje souhrn doporučení uvedených v tomto dokumentu pro zabezpečení instalace služby AD DS. Některé osvědčené postupy jsou strategické povahy a vyžadují komplexní projekty plánování a provádění; ostatní jsou taktické a zaměřují se na konkrétní komponenty služby Active Directory a související infrastrukturu.
Postupy jsou uvedeny v přibližném pořadí priority, tj. nižší čísla označují vyšší prioritu. V případě potřeby jsou osvědčené postupy identifikovány jako prevence nebo detektiv v přírodě. Všechna tato doporučení by se měla důkladně testovat a upravovat podle potřeby pro charakteristiky a požadavky vaší organizace.
| Osvědčený postup | Taktické nebo strategické | Prevence nebo detektiv |
|---|---|---|
| Opravovat aplikace. | Taktické | Preventivní |
| Opravte operační systémy. | Taktické | Preventivní |
| Nasaďte a okamžitě aktualizujte antivirový a antimalwarový software ve všech systémech a monitorujte pokusy o jeho odebrání nebo zakázání. | Taktické | Oba |
| Monitorujte citlivé objekty služby Active Directory pro pokusy o úpravy a Windows pro události, které mohou znamenat pokus o ohrožení zabezpečení. | Taktické | Detekční |
| Ochrana a monitorování účtů pro uživatele, kteří mají přístup k citlivým datům | Taktické | Oba |
| Znemožnit použití výkonných účtů v neautorizovaných systémech. | Taktické | Preventivní |
| Eliminujte trvalé členství ve vysoce privilegovaných skupinách. | Taktické | Preventivní |
| Implementujte ovládací prvky pro udělení dočasného členství v privilegovaných skupinách v případě potřeby. | Taktické | Preventivní |
| Implementace zabezpečených hostitelů pro správu | Taktické | Preventivní |
| Používejte seznamy povolených aplikací na řadičích domény, hostitelích pro správu a dalších citlivých systémech. | Taktické | Preventivní |
| Identifikujte kritické prostředky a upřednostňují jejich zabezpečení a monitorování. | Taktické | Oba |
| Implementujte řízení přístupu na základě role s nejnižšími oprávněními pro správu adresáře, jeho podpůrnou infrastrukturu a systémy připojené k doméně. | Strategické | Preventivní |
| Izolace starších systémů a aplikací | Taktické | Preventivní |
| Vyřazení starších systémů a aplikací z provozu | Strategické | Preventivní |
| Implementujte zabezpečené programy životního cyklu vývoje pro vlastní aplikace. | Strategické | Preventivní |
| Implementujte správu konfigurace, pravidelně kontrolujte dodržování předpisů a vyhodnocujte nastavení s každou novou verzí hardwaru nebo softwaru. | Strategické | Preventivní |
| Migrace důležitých prostředků do nedotčených doménových struktur s přísnými požadavky na zabezpečení a monitorování | Strategické | Oba |
| Zjednodušení zabezpečení pro koncové uživatele | Strategické | Preventivní |
| K řízení a zabezpečení komunikace použijte brány firewall založené na hostiteli. | Taktické | Preventivní |
| Opravte zařízení. | Taktické | Preventivní |
| Implementujte správu životního cyklu zaměřeného na firmu pro IT prostředky. | Strategické | – |
| Vytvořte nebo aktualizujte plány obnovení incidentů. | Strategické | – |
Omezení prostoru pro útok na službu Active Directory
Tato část se zaměřuje na technické kontroly, které snižují prostor pro útoky na instalaci služby Active Directory. Součástí této části jsou následující témata:
Oddíl Privilegované účty a skupiny ve službě Active Directory popisuje nejvyšší privilegované účty a skupiny ve službě Active Directory a mechanismy, kterými jsou privilegované účty chráněny. Ve službě Active Directory jsou tři předdefinované skupiny oprávnění v adresáři (Enterprise Admins, Domain Admins a Administrators), i když by mělo být chráněno i několik dalších skupin a účtů.
Část Implementace modelů správy s nejnižšími oprávněními se zaměřuje na identifikaci rizika, že používání vysoce privilegovaných účtů pro každodenní správu představuje kromě poskytování doporučení ke snížení tohoto rizika.
Nadměrné oprávnění se nenašel jenom ve službě Active Directory v ohrožených prostředích. Když organizace vyvinula zvyk udělit více oprávnění, než je potřeba, obvykle se nachází v celé infrastruktuře:
Ve službě Active Directory
Na členských serverech
Na pracovních stanicích
V aplikacích
V úložištích dat
Část Implementace zabezpečených hostitelů pro správu popisuje zabezpečené hostitele pro správu, což jsou počítače nakonfigurované tak, aby podporovaly správu služby Active Directory a připojených systémů. Tito hostitelé jsou vyhrazeni pro funkce správy a nespouštějí software, jako jsou e-mailové aplikace, webové prohlížeče nebo kancelářský software (například systém Microsoft Office).
Součástí této části jsou následující:
Principy vytváření zabezpečených hostitelů pro správu – obecné principy, které je potřeba mít na paměti, jsou:
- Nikdy nespravujte důvěryhodný systém z méně důvěryhodného hostitele.
- Při provádění privilegovaných aktivit nespoléhejte na jediný ověřovací faktor.
- Při navrhování a implementaci zabezpečených hostitelů pro správu nezapomeňte na fyzické zabezpečení.
Zabezpečení řadičů domény proti útoku – Pokud uživatel se zlými úmysly získá privilegovaný přístup k řadiči domény, může ho upravit, poškodit a zničit databázi služby Active Directory a podle rozšíření všechny systémy a účty spravované službou Active Directory.
Součástí této části jsou následující témata:
Fyzické zabezpečení pro řadiče domény – obsahuje doporučení pro zajištění fyzického zabezpečení řadičů domény v datacentrech, pobočkách a vzdálených umístěních.
Operační systémy řadiče domény – Obsahuje doporučení pro zabezpečení operačních systémů řadiče domény.
Zabezpečená konfigurace řadičů domény – Nativní a volně dostupné konfigurační nástroje a nastavení lze použít k vytvoření standardních hodnot konfigurace zabezpečení pro řadiče domény, které lze následně vynutit objekty zásad skupiny (GPO).