Vereisten opgeven voor het beperken van Active Directory-domein Services (AD DS)
De volgende tabel bevat een overzicht van de aanbevelingen in dit document voor het beveiligen van een AD DS-installatie. Sommige best practices zijn strategisch van aard en vereisen uitgebreide plannings- en implementatieprojecten; andere zijn tactisch en gericht op specifieke onderdelen van Active Directory en gerelateerde infrastructuur.
Praktijken worden weergegeven in geschatte volgorde van prioriteit, dat wil gezegd, lagere getallen geven hogere prioriteit aan. Waar van toepassing worden best practices geïdentificeerd als preventieve of rechercheur in de natuur. Al deze aanbevelingen moeten indien nodig grondig worden getest en gewijzigd voor de kenmerken en vereisten van uw organisatie.
| Best practice | Tactisch of strategisch | Preventieve of rechercheur |
|---|---|---|
| Patchtoepassingen. | Tactisch | Preventie |
| Patchbesturingssystemen. | Tactisch | Preventie |
| Implementeer en werk onmiddellijk antivirus- en antimalwaresoftware bij op alle systemen en bewaak op pogingen om deze te verwijderen of uit te schakelen. | Tactisch | Beide |
| Bewaak gevoelige Active Directory-objecten voor wijzigingspogingen en Windows voor gebeurtenissen die kunnen duiden op inbreukpogingen. | Tactisch | Detectie |
| Accounts beveiligen en bewaken voor gebruikers die toegang hebben tot gevoelige gegevens | Tactisch | Beide |
| Voorkom dat krachtige accounts worden gebruikt op niet-geautoriseerde systemen. | Tactisch | Preventie |
| Elimineren van permanent lidmaatschap in groepen met hoge bevoegdheden. | Tactisch | Preventie |
| Implementeer besturingselementen om tijdelijk lidmaatschap toe te kennen aan bevoorrechte groepen wanneer dat nodig is. | Tactisch | Preventie |
| Implementeer beveiligde beheerhosts. | Tactisch | Preventie |
| Gebruik acceptatielijsten voor toepassingen op domeincontrollers, beheerhosts en andere gevoelige systemen. | Tactisch | Preventie |
| Identificeer kritieke assets en geef prioriteit aan hun beveiliging en bewaking. | Tactisch | Beide |
| Implementeer minimale bevoegdheden, op rollen gebaseerd toegangsbeheer voor het beheer van de directory, de ondersteunende infrastructuur en systemen die lid zijn van een domein. | Strategisch | Preventie |
| Verouderde systemen en toepassingen isoleren. | Tactisch | Preventie |
| Verouderde systemen en toepassingen buiten gebruik stellen. | Strategisch | Preventie |
| Implementeer veilige ontwikkelingslevenscyclusprogramma's voor aangepaste toepassingen. | Strategisch | Preventie |
| Implementeer configuratiebeheer, controleer regelmatig de naleving en evalueer instellingen met elke nieuwe hardware- of softwareversie. | Strategisch | Preventie |
| Migreer kritieke assets naar ongerepte bossen met strenge beveiligings- en bewakingsvereisten. | Strategisch | Beide |
| Vereenvoudig de beveiliging voor eindgebruikers. | Strategisch | Preventie |
| Gebruik firewalls op basis van een host om communicatie te beheren en te beveiligen. | Tactisch | Preventie |
| Patchapparaten. | Tactisch | Preventie |
| Implementeer bedrijfsgericht levenscyclusbeheer voor IT-assets. | Strategisch | N.v.t. |
| Herstelplannen voor incidenten maken of bijwerken. | Strategisch | N.v.t. |
Active Directory-aanvallen verminderen
Deze sectie is gericht op technische besturingselementen om de kwetsbaarheid voor aanvallen van een Active Directory-installatie te verminderen. Deze sectie bevat de volgende onderwerpen:
In de sectie Bevoegde accounts en groepen in Active Directory worden de accounts en groepen met hoogste bevoegdheden in Active Directory besproken en de mechanismen waarmee bevoegde accounts worden beveiligd. Binnen Active Directory zijn drie ingebouwde groepen de hoogste bevoegdheidsgroepen in de directory (Ondernemingsadministratoren, domeinadministratoren en beheerders), hoewel een aantal extra groepen en accounts ook moeten worden beveiligd.
De sectie Least-Privilege Administrative Models implementeren richt zich op het identificeren van het risico dat het gebruik van accounts met hoge bevoegdheden voor dagelijkse beheer presenteert, naast het bieden van aanbevelingen om dat risico te verminderen.
Overmatige bevoegdheden worden niet alleen gevonden in Active Directory in gecompromitteerde omgevingen. Wanneer een organisatie de gewoonte heeft ontwikkeld om meer bevoegdheden toe te kennen dan vereist is, wordt deze doorgaans overal in de infrastructuur gevonden:
In Active Directory
Op lidservers
Op werkstations
In toepassingen
In gegevensopslagplaatsen
In de sectie Secure Administrative Hosts worden beveiligde beheerhosts beschreven. Dit zijn computers die zijn geconfigureerd ter ondersteuning van het beheer van Active Directory en verbonden systemen. Deze hosts zijn toegewezen aan beheerfunctionaliteit en voeren geen software uit, zoals e-mailtoepassingen, webbrowsers of productiviteitssoftware (zoals Microsoft Office).
Opgenomen in deze sectie zijn de volgende:
Principes voor het maken van beveiligde beheerhosts : de algemene principes waarmee u rekening moet houden, zijn:
- Beheer nooit een vertrouwd systeem van een minder vertrouwde host.
- Vertrouw niet op één verificatiefactor bij het uitvoeren van bevoorrechte activiteiten.
- Vergeet de fysieke beveiliging niet bij het ontwerpen en implementeren van beveiligde beheerhosts.
Domeincontrollers beveiligen tegen aanvallen : als een kwaadwillende gebruiker bevoegde toegang krijgt tot een domeincontroller, kan die gebruiker de Active Directory-database wijzigen, beschadigen en vernietigen, en extensie, alle systemen en accounts die worden beheerd door Active Directory.
Deze sectie bevat de volgende onderwerpen:
Fysieke beveiliging voor domeincontrollers : bevat aanbevelingen voor het bieden van fysieke beveiliging voor domeincontrollers in datacenters, filialen en externe locaties.
Domeincontrollerbesturingssystemen - Bevat aanbevelingen voor het beveiligen van de domeincontrollerbesturingssystemen.
Beveiligde configuratie van domeincontrollers : systeemeigen en vrij beschikbare configuratiehulpprogramma's en instellingen kunnen worden gebruikt om beveiligingsconfiguratiebasislijnen te maken voor domeincontrollers die vervolgens kunnen worden afgedwongen door groepsbeleidsobjecten (GPO's).