Określanie wymagań dotyczących wzmacniania zabezpieczeń usług domena usługi Active Directory (AD DS)
Poniższa tabela zawiera podsumowanie zaleceń przedstawionych w tym dokumencie dotyczących zabezpieczania instalacji usług AD DS. Niektóre najlepsze rozwiązania mają charakter strategiczny i wymagają kompleksowego planowania i wdrażania projektów; inne są taktyczne i koncentrują się na określonych składnikach usługi Active Directory i powiązanej infrastrukturze.
Praktyki są wymienione w przybliżonej kolejności priorytetu, czyli niższe liczby wskazują wyższy priorytet. W stosownych przypadkach najlepsze rozwiązania są identyfikowane jako rozwiązania prewencyjne lub wykrywające w naturze. Wszystkie te zalecenia powinny być dokładnie przetestowane i zmodyfikowane zgodnie z potrzebami dotyczącymi cech i wymagań organizacji.
| Najlepsze rozwiązanie | Taktyczne lub strategiczne | Zapobieganie lub wykrywanie |
|---|---|---|
| Stosowanie poprawek aplikacji. | Taktyczne | Zapobiegawcza |
| Stosowanie poprawek systemów operacyjnych. | Taktyczne | Zapobiegawcza |
| Wdróż i szybko zaktualizuj oprogramowanie antywirusowe i chroniące przed złośliwym kodem we wszystkich systemach oraz monitoruj próby jego usunięcia lub wyłączenia. | Taktyczne | Oba |
| Monitoruj poufne obiekty usługi Active Directory pod kątem prób modyfikacji i systemu Windows pod kątem zdarzeń, które mogą wskazywać na próbę naruszenia zabezpieczeń. | Taktyczne | Wykrywająca |
| Ochrona i monitorowanie kont użytkowników, którzy mają dostęp do poufnych danych | Taktyczne | Oba |
| Zapobiegaj użyciu zaawansowanych kont w nieautoryzowanych systemach. | Taktyczne | Zapobiegawcza |
| Eliminowanie stałego członkostwa w wysoce uprzywilejowanych grupach. | Taktyczne | Zapobiegawcza |
| W razie potrzeby zaimplementuj mechanizmy kontroli w celu udzielenia tymczasowego członkostwa w grupach uprzywilejowanych. | Taktyczne | Zapobiegawcza |
| Zaimplementuj bezpieczne hosty administracyjne. | Taktyczne | Zapobiegawcza |
| Używaj list dozwolonych aplikacji na kontrolerach domeny, hostach administracyjnych i innych systemach poufnych. | Taktyczne | Zapobiegawcza |
| Identyfikowanie krytycznych zasobów i określanie priorytetów ich zabezpieczeń i monitorowania. | Taktyczne | Oba |
| Zaimplementuj najmniej uprzywilejowane, oparte na rolach mechanizmy kontroli dostępu do administracji katalogu, jego infrastruktury pomocniczej i systemów przyłączonych do domeny. | Strategiczne | Zapobiegawcza |
| Izolowanie starszych systemów i aplikacji. | Taktyczne | Zapobiegawcza |
| Likwiduj starsze systemy i aplikacje. | Strategiczne | Zapobiegawcza |
| Implementowanie bezpiecznych programów cyklu życia programowania dla aplikacji niestandardowych. | Strategiczne | Zapobiegawcza |
| Implementowanie zarządzania konfiguracją, regularne przeglądanie zgodności i ocenianie ustawień przy użyciu każdego nowego sprzętu lub wersji oprogramowania. | Strategiczne | Zapobiegawcza |
| Migrowanie krytycznych zasobów do nieskazitelnych lasów z rygorystycznymi wymaganiami dotyczącymi zabezpieczeń i monitorowania. | Strategiczne | Oba |
| Uproszczenie zabezpieczeń dla użytkowników końcowych. | Strategiczne | Zapobiegawcza |
| Użyj zapór opartych na hoście, aby kontrolować i zabezpieczać komunikację. | Taktyczne | Zapobiegawcza |
| Stosowanie poprawek urządzeń. | Taktyczne | Zapobiegawcza |
| Implementowanie zarządzania cyklem życia skoncentrowanego na działalności biznesowej dla zasobów IT. | Strategiczne | Nie dotyczy |
| Tworzenie lub aktualizowanie planów odzyskiwania zdarzeń. | Strategiczne | Nie dotyczy |
Zmniejszenie obszaru ataków na usługi Active Directory
Ta sekcja koncentruje się na kontrolach technicznych w celu zmniejszenia obszaru podatnego na ataki instalacji usługi Active Directory. W tej sekcji znajdują się następujące tematy:
W sekcji Uprzywilejowane konta i grupy w usłudze Active Directory omówiono konta i grupy o najwyższych uprawnieniach w usłudze Active Directory oraz mechanizmy, za pomocą których chronione są konta uprzywilejowane. W usłudze Active Directory trzy wbudowane grupy są najwyższymi grupami uprawnień w katalogu (administratorzy przedsiębiorstwa, administratorzy domeny i administratorzy), chociaż należy również chronić wiele dodatkowych grup i kont.
Sekcja Implementowanie modeli administracyjnych o najniższych uprawnieniach koncentruje się na identyfikowaniu ryzyka, że korzystanie z kont o wysokim poziomie uprzywilejowanych dla bieżącej administracji stanowi oprócz udostępniania zaleceń w celu zmniejszenia tego ryzyka.
Nadmierne uprawnienia nie są dostępne tylko w usłudze Active Directory w środowiskach, których bezpieczeństwo zostało naruszone. Gdy organizacja opracowała zwyczaj udzielania większej liczby uprawnień niż jest to wymagane, zwykle znajduje się w całej infrastrukturze:
W usłudze Active Directory
Na serwerach członkowskich
Na stacjach roboczych
W aplikacjach
W repozytoriach danych
W sekcji Implementowanie bezpiecznych hostów administracyjnych opisano bezpieczne hosty administracyjne, które są komputerami skonfigurowanymi do obsługi administrowania usługą Active Directory i połączonymi systemami. Te hosty są przeznaczone dla funkcji administracyjnych i nie uruchamiają oprogramowania, takiego jak aplikacje poczty e-mail, przeglądarki internetowe lub oprogramowanie zwiększające produktywność (takie jak Microsoft Office).
W tej sekcji znajdują się następujące elementy:
Zasady tworzenia bezpiecznych hostów administracyjnych — ogólne zasady, które należy wziąć pod uwagę, to:
- Nigdy nie należy administrować zaufanym systemem z mniej zaufanego hosta.
- Nie należy polegać na pojedynczym współczynniku uwierzytelniania podczas wykonywania działań uprzywilejowanych.
- Nie zapomnij o zabezpieczeniach fizycznych podczas projektowania i implementowania bezpiecznych hostów administracyjnych.
Zabezpieczanie kontrolerów domeny przed atakiem — jeśli złośliwy użytkownik uzyskuje uprzywilejowany dostęp do kontrolera domeny, ten użytkownik może modyfikować, uszkodzić i niszczyć bazę danych usługi Active Directory, a także przez rozszerzenie, wszystkie systemy i konta zarządzane przez usługę Active Directory.
W tej sekcji znajdują się następujące tematy:
Zabezpieczenia fizyczne kontrolerów domeny — zawiera zalecenia dotyczące zapewniania zabezpieczeń fizycznych kontrolerów domeny w centrach danych, oddziałach i lokalizacjach zdalnych.
Systemy operacyjne kontrolera domeny — zawiera zalecenia dotyczące zabezpieczania systemów operacyjnych kontrolera domeny.
Bezpieczna konfiguracja kontrolerów domeny — natywne i swobodnie dostępne narzędzia konfiguracji i ustawienia mogą służyć do tworzenia punktów odniesienia konfiguracji zabezpieczeń dla kontrolerów domeny, które następnie mogą być wymuszane przez obiekty zasad grupy (GPO).