Specificare i requisiti per rendere più forte Active Directory Domain Services (AD DS)
Nella tabella seguente viene fornito un riepilogo delle raccomandazioni fornite in questo documento per la protezione di un'installazione di Active Directory Domain Services. Alcune procedure consigliate sono strategiche in natura e richiedono progetti di pianificazione e implementazione completi; altri sono tattici e incentrati su componenti specifici di Active Directory e sull'infrastruttura correlata.
Le procedure sono elencate in ordine approssimativo di priorità, ovvero numeri inferiori indicano priorità più alta. Ove applicabile, le procedure consigliate vengono identificate come preventive o detective in natura. Tutte questi elementi consigliati devono essere testati e modificati accuratamente in base alle esigenze correlate alle caratteristiche e ai requisiti dell'organizzazione.
| Procedure consigliate | Tattiche o strategiche | Preventive o investigative |
|---|---|---|
| Applicare patch alle applicazioni. | Tattico | Preventiva |
| Applicare patch ai sistemi operativi. | Tattico | Preventiva |
| Distribuire e aggiornare tempestivamente il software antivirus e antimalware in tutti i sistemi e monitorare i tentativi di rimuoverlo o disabilitarlo. | Tattico | Entrambi |
| Monitorare gli oggetti Active Directory sensibili per i tentativi di modifica e Windows per gli eventi che potrebbero indicare tentativi di compromissione. | Tattico | Rilevamento |
| Proteggere e monitorare gli account per gli utenti che hanno accesso ai dati sensibili | Tattico | Entrambi |
| Impedire l'uso di account avanzati in sistemi non autorizzati. | Tattico | Preventiva |
| Eliminare l'appartenenza permanente a gruppi con privilegi elevati. | Tattico | Preventiva |
| Implementare i controlli per concedere l'appartenenza temporanea ai gruppi con privilegi quando necessario. | Tattico | Preventiva |
| Implementare host amministrativi protetti. | Tattico | Preventiva |
| Usare gli elenchi consentiti dell'applicazione nei controller di dominio, negli host amministrativi e in altri sistemi sensibili. | Tattico | Preventiva |
| Identificare gli asset critici e classificare in ordine di priorità la sicurezza e il monitoraggio. | Tattico | Entrambi |
| Implementare i controlli degli accessi in base al ruolo e con privilegi minimi per l'amministrazione della directory, l'infrastruttura di supporto e i sistemi aggiunti a un dominio. | Strategico | Preventiva |
| Isolare i sistemi e le applicazioni legacy. | Tattico | Preventiva |
| Rimuovere le autorizzazioni di sistemi e applicazioni legacy. | Strategico | Preventiva |
| Implementare programmi del ciclo di vita di sviluppo sicuri per applicazioni personalizzate. | Strategico | Preventiva |
| Implementare la gestione della configurazione, esaminare regolarmente la conformità e valutare le impostazioni con ogni nuova versione hardware o software. | Strategico | Preventiva |
| Eseguire la migrazione di asset critici in foreste incontaminate con requisiti rigorosi di sicurezza e monitoraggio. | Strategico | Entrambi |
| Semplificare la sicurezza per gli utenti finali. | Strategico | Preventiva |
| Usare firewall basati su host per controllare e proteggere le comunicazioni. | Tattico | Preventiva |
| Applicare patch ai dispositivi. | Tattico | Preventiva |
| Implementare la gestione del ciclo di vita incentrato sul business per gli asset IT. | Strategico | N/D |
| Creare o aggiornare i piani di ripristino degli eventi imprevisti. | Strategico | N/D |
Riduzione della superficie di attacco di Active Directory
Questa sezione è incentrata sui controlli tecnici per ridurre la superficie di attacco di un'installazione Active Directory. Incluso in questa sezione sono gli argomenti seguenti:
La sezione Account e gruppi con privilegi in Active Directory illustra gli account e i gruppi con privilegi più elevati in Active Directory e i meccanismi in base ai quali gli account con privilegi sono protetti. All'interno di Active Directory, tre gruppi predefiniti sono i gruppi con privilegi più elevati nella directory (Enterprise Admins, Domain Admins e Administrators), sebbene sia necessario proteggere anche un certo numero di gruppi e account aggiuntivi.
Implementazione di modelli amministrativi con privilegi minimi: è incentrata sull'identificazione del rischio legato all'uso di account con privilegi elevati per l'amministrazione quotidiana, oltre alla presentazione di raccomandazioni da implementare per ridurre il rischio legato agli account con privilegi.
Concessione dei privilegi eccessivi non solo trovare in Active Directory negli ambienti di compromessi. Quando un'organizzazione ha sviluppato l'abitudine di concedere più privilegi di quanto necessario, in genere ciò risulta evidente in tutta l'infrastruttura:
In Active Directory
Sui server membri
Sulle workstation
Nelle applicazioni
In archivi dati
La sezione Implementazione di host amministrativi sicuri descrive gli host amministrativi sicuri, che sono computer configurati per supportare l'amministrazione dei sistemi Active Directory e connessi. Questi host sono dedicati alle funzionalità amministrative e non eseguono software come applicazioni di posta elettronica, Web browser o software di produttività (ad esempio Microsoft Office).
Incluso in questa sezione sono i seguenti:
Principi per la creazione di host amministrativi sicuri: I principi generali da tenere presente sono:
- Non amministrare mai un sistema attendibile da un host meno attendibile.
- Non basarsi su un singolo fattore di autenticazione quando si eseguono attività con privilegi.
- Non dimenticare la sicurezza fisica durante la progettazione e l'implementazione di host amministrativi sicuri.
Protezione dei controller di dominio da attacchi : se un utente malintenzionato ottiene l'accesso con privilegi a un controller di dominio, l'utente può modificare, danneggiare e distruggere il database di Active Directory e, per estensione, tutti i sistemi e gli account gestiti da Active Directory.
Incluso in questa sezione sono gli argomenti seguenti:
Sicurezza fisica per i controller di dominio : contiene raccomandazioni per fornire sicurezza fisica per i controller di dominio nei data center, nelle succursali e nelle posizioni remote.
Sistemi operativi controller di dominio : contiene raccomandazioni per proteggere i sistemi operativi del controller di dominio.
Configurazione sicura dei controller di dominio: gli strumenti e le impostazioni di configurazione nativi e liberamente disponibili possono essere usati per creare linee di base di configurazione di sicurezza per i controller di dominio che possono essere successivamente applicati da oggetti Criteri di gruppo oggetti (Oggetti Criteri di gruppo).