Active Directory Security
مقاله
  • ۱۴ دی ۱۴۰۳
  • Cybersecurity 101
  • ۱۰ دقیقه خواندن

Active Directory Security

جدول محتوا

امنیت اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری، سرویس دایرکتوری ارائه‌شده توسط مایکروسافت است که به مدیران سیستم کمک می‌کند تا مجوزها و دسترسی شبکه را پیکربندی کنند. اکتیو دایرکتوری شامل چندین قسمت، از‌جمله Active Directory Certificate Services ،Active Directory Domain Services و Active Directory Federation Services است.

مدیران فناوری اطلاعات با استفاده از خدمات اکتیو دایرکتوری مایکروسافت، برای انجام چندین فرایند روزانه، از‌جمله جریان کار Domain Controller بهره می‌برند. به‌عنوان مثال، وقتی یک کاربر به یک دستگاهِ متصل‌ به‌ Domain وارد می‌شود، Domain Controller، نام کاربری و کلمۀ عبور را اعتبار‌سنجی می‌کند. اگر کاربر، ادمین سیستم باشد، Domain Controller مجوزهای اضافی را به او اختصاص می‌دهد.

امنیت اکتیو دایرکتوری مایکروسافت برای کسب‌وکارها بسیار مهم است؛ زیرا این سرویس، کلید پادشاهی را در اختیار دارد و دسترسی به سیستم‌ها، برنامه‌ها و منابع را فراهم می‌کند. باید به آسیب‌پذیری‌ها آگاهی داشته باشید و اقداماتی مانند استفاده از ابزارهای امنیتی یا پیروی از بهترین شیوه‌ها را انجام دهید تا شبکۀ خود را در برابر حمله‌های سایبری محافظت کنید.

دلایل اهمیت امنیت اکتیو دایرکتوری

دلیل اصلی اهمیت امنیت اکتیو دایرکتوری یا AD Security برای سازمان‌ها این است که اکتیو دایرکتوری، دسترسی تمام سیستم‌ها را کنترل می‌کند. مدیریت مؤثر اکتیو دایرکتوری، به حفاظت از دسترسی غیرمجاز به اطلاعات ورود، برنامه‌ها و داده‌های محرمانۀ کسب‌وکار شما کمک می‌کند. داشتن امنیت قوی برای جلوگیری از نفوذ مهاجمان و آسیب زدن به شبکۀ شما، بسیار اهمیت دارد.

خطرات نادیده گرفتن امنیت AD

اگر امنیت اکتیو دایرکتوری را نادیده بگیرید، در معرض نوعی از حمله‌های سایبری و تشدید آن‌ها قرار خواهید گرفت:

  • مهاجمان می‌توانند اطلاعات ورود را به سرقت ببرند یا با استفاده از بدافزارها، به اطلاعات شما دسترسی پیدا کنند، سپس فعالیت‌های شما را نظارت کنند.
  • همچنین، می‌توانند به حساب‌های دیگری نفوذ کنند و در شبکۀ شما Lateral Movement کنند.
  • با دسترسی گسترده به شبکۀ شما، داده‌های شما را سرقت کنند یا سیستم شما را خراب کنند.

چالش‌های بازیابی امنیت AD

بزرگ‌ترین چالش‌های بازیابی پس از یک نفوذ امنیتی در اکتیو دایرکتوری، شناسایی منبع نفوذ، تعیین میزان آسیب و ایجاد یک محیط امن جدید است. طبق گزارش بررسی، پیرامون نشت دادۀ Verizon در سال ۲۰۲۱، ۹۸ درصد نشت داده از عوامل خارجی و ۸۵ درصد نشت داده، بیش از چند هفته به دور از دید می‌ماندند.

مهاجمان اغلب به یک حساب کاربری دسترسی پیدا می‌کنند و پیش از اینکه در سیستم بیشتر رخنه کنند، ناشناس می‌مانند. هرچه هکر، مدت زمان بیشتری در سیستم شما نامشخص بماند، خسارت‌های بیشتری می‌تواند وارد کند. همچنین، ممکن است بررسی تمام نقاطی که مهاجم به آن‌ها نفوذ کرده است، دردسرساز باشد. به همین دلیل، تلاش برای رفع آسیب‌پذیری‌ها در سیستم موجود، ممکن است ناموفق باشد. بهتر است سازمان‌هایی که زیرساخت‌های قدیمی یا پیچیده‌ای دارند، حساب‌های کاربری و اطلاعات مهم را به یک سیستم جدید و کوچک‌تر منتقل کنند و آن را ایمن نگه دارند.

به‌دلیل اهمیت امنیت اکتیو دایرکتوری، سازمان‌ها باید نقشه‌های آمادگی برای بحران را تهیه کنند تا در‌صورت حمله به اکتیو دایرکتوری، به‌‌سرعت اقدام کنند. قبل از اینکه به سیستم رخنه شود یا غیرقابل بازیابی شود، سازمان‌ها با نظارت مستمر بر دسترسی غیر‌مجاز و داشتن برنامه، فرصت بسیار مناسبی برای متوقف کردن حمله‌ها خواهند داشت.

آسیب‌پذیری‌های اکتیو دایرکتوری

بهترین روش برای نظارت بر رخنه‌ها در اکتیو دایرکتوری، استفاده از یک سیستم نظارت بر لاگ ایونت است. طبق گزارش بررسی نشت دادۀ Verizon در سال ۲۰۲۱، ۸۴ درصد سازمان‌هایی که دچار نفوذ شده‌اند، شواهد نفوذ را در لاگ رویدادهایشان داشتند. با نظارت بر فعالیت در این لاگ‌ها، سازمان‌ها می‌توانند هر نفوذ را قبل از وقوع خسارت‌های بیشتر کشف کنند.

هنگام نظارت بر لاگ رویداد، به‌ دنبال نشانه‌های فعالیت مشکوک، از‌جمله رویدادهای زیر باشید:

  • فعالیت حساب کاربری دارای سطح دسترسی: مهاجمان اغلب آسیب‌پذیری افزایش سطح دسترسی را اکسپلویت می‌کنند و تلاش می‌کنند سطح دسترسی را افزایش دهند تا سطح دسترسی حساب کاربری رخنه‌شده را بیشتر کنند. به‌طور جایگزین، شاید فعالیت پس از ساعات اداری در یک حساب کاربری دارای سطح دسترسی یا افزایش ناگهانی در میزان داده‌هایی که توسط حساب کاربری دسترسی پیدا کرده، مشاهده شود.
  • شکست ورود (Login failures): شکست‌های مکرر در ورود به حساب کاربری، ممکن است نشانه‌ای از تلاش یک فرد تهدیدکننده برای دسترسی به حساب باشد.
  • ورود از راه دور: مهاجمان اغلب تلاش می‌کنند از راه دور به سیستم شما دسترسی پیدا کنند. اگر ورودی از یک آدرس پروتکل اینترنت (IP) در کشور یا منطقۀ مختلفی مشاهده شود، ممکن است نشانگر این باشد که اکتیو دایرکتوری شما تحت‌تأثیر قرار گرفته است.

همان‌طور که نشانه‌های مختلفی از رخنۀ اکتیو دایرکتوری وجود دارد، ممکن است انواع مختلفی از آسیب‌پذیری‌ها نیز وجود داشته باشد. بیایید به بررسی برخی از رایج‌ترین آسیب‌پذیری‌هایی که مهاجمان می‌توانند از آن‌ها سوء‌استفاده کنند، بپردازیم.

همۀ کاربران اجازۀ اضافه کردن دستگاه به Domain را دارند.

به‌طور پیش‌فرض، هر کاربر Domain می‌تواند ایستگاه‌های کاری را به Domain اضافه کند. خطر این پیکربندی این است که کاربران می‌توانند کامپیوترهای شخصی خود را به Domain شرکت شما اضافه کنند تا به Domain شما دسترسی پیدا کنند. کامپیوترهای شخصی ممکن است آنتی‌ویروس شما یا نرم‌افزارهای EDR را نداشته باشند. به همین دلیل تنظیمات و سیاست‌های سازمان شما روی ایستگاه‌های اضافه‌شده اعمال نمی‌شود. همچنین، به کاربران اجازه می‌دهد دسترسی مدیریت Local را روی سیستم‌های خود داشته باشند. دسترسی مدیریت Local در سیستم‌های شخصی، یک خطر امنیتی ایجاد می‌کند؛ زیرا کاربران ممکن است با اقداماتی که انجام می‌دهند، به سایر سیستم‌های شبکه حمله کنند. برای محدود کردن این آسیب‌پذیری، ویژگی ms-DS-MachineAccountQuota را تنظیم کنید تا توانایی اضافه کردن کامپیوترها به Domain شما محدود شود. شما می‌توانید مجوزهای ایجاد حساب کامپیوتر را به کاربران یا یک گروه کاربری خاص که مشخص می‌کنید، اعطا کنید.

تعداد زیادی کاربر دارای دسترسی بالا و ممتاز در گروه‌های امنیتی اکتیو دایرکتوری

خطر رخنه در‌صورت بالا رفتن تعداد کاربران در یک گروه امنیتی دارای دسترسی ممتاز، مانند یک گروه اکتیو دایرکتوری متشکل از دامین ادمین‌ها (Domain Administrators) یا ادمین‌های شرکت (Enterprise Administrators) افزایش می‌یابد. اگر عامل تهدید، اعتبارنامۀ کاربران را (اطلاعات ورود) در این گروه‌های امنیتی سرقت کند، می‌تواند به Domain شما رخنه کند. برای محدود کردن این آسیب‌پذیری، تنظیمات مدیریت دسترسی و مدیریت Group Policy را به‌طور منظم بررسی کنید. مطمئن شوید که کاربران تنها دسترسی‌های لازم را برای انجام دادن کارهایشان دارند و فقط در مواقع ضروری، کاربران را به این گروه‌های امنیتی اضافه کنید تا گروه‌ها بیش‌از‌حد بزرگ نشود.

سیاست رمز‌عبور ضعیف

رویکرد‌های مختلفی درباره‌ی بهترین تعادل بین امنیت رمز عبور و راحتی آن وجود دارد. در‌صورتی‌که سازمان از کاربران خود بخواهد رمزهای عبور را پیچیده کنند یا پیوسته تغییر دهند، کاربران ممکن است رمزهای عبور خود را فراموش کنند و آن‌ها را به شیوه‌ی ناامنی ذخیره کنند. اگر سازمان، با رمزعبورهایی که ساده هستند موافقت کند، هکرها ممکن است به‌‌راحتی به سیستم دسترسی پیدا کنند.

برای محدود کردن این آسیب‌پذیری، سازمان‌ها باید سیاست رمز‌عبور را تعیین کنند و اطمینان حاصل کنند که سایر کنترل‌های امنیتی نیز در‌صورت نفوذ رمز‌عبور، در دسترس هستند. به‌عنوان مثال، اگر ادمین، دسترسی شما را برای کاربر Active Directory تنظیم کند که رمز‌عبور را بسازد، باید کنترل‌های امنیتی دیگری نیز برای تأیید هویت کاربر وجود داشته باشد.

بهترین ابزارها برای امنیت اکتیو دایرکتوری

شما می‌توانید از ابزارهای امنیتی برای حفاظت از امنیت اکتیو دایرکتوری و نظارت بر سلامت سیستم خود در اکتیو دایرکتوری استفاده کنید. مزایای اصلی استفاده از ابزارهای امنیتی اکتیو دایرکتوری، راحتی، اتوماسیون و افزایش امنیت است. بسیاری از ابزارهای اکتیو دایرکتوری، رابط کاربری مفیدی را برای انجام دادن وظایف مدیریتی فراهم می‌کنند. به‌عنوان مثال، حساب‌های رها‌شده را به‌‌صورت اتوماتیک پاک می‌کنند و با مانیتورینگ و هشداردهی، به امنیت کمک می‌کنند.

اکتیو دایرکتوری سرویسی بزرگ با بسیاری از برنامه‌های کاربردی است؛ بنابراین ابزارهای آن در هدف و Domain متفاوتی قرار دارند. ابزارهای موجود، از برنامه‌های رایگانی که نشانه‌های اساسی نشت را نظارت می‌کنند تا سرویس‌های قوی‌ که تشخیص و پیشگیری جامع تهدیدها را ارائه می‌کنند، متغیر است. برای مقایسه بین مزایای ابزارهای اکتیو دایرکتوری موجود، ابتدا باید بودجۀ خود را تعیین کنید، سپس ویژگی‌هایی را مد نظر قرار دهید که برای سازمان شما مهم‌تر هستند. همچنین، به فرایندهایی توجه کنید که زمان بیشتری می‌برد یا بیشترین ریسک را به سازمان شما تحمیل می‌کند و به‌ دنبال ابزاری باشید که به این نیازها پاسخ دهد.

برای اینکه بتوانید ابزار امنیتی اکتیو دایرکتوری مناسبی را برای سازمان خود انتخاب کنید، ویژگی‌های زیر را در نظر بگیرید:

  • اتوماسیون برای ایجاد حساب‌های کاربری و گروه‌های امنیتی
  • تجزیه‌و‌تحلیل مجوزهای کاربر
  • تجزیه‌و‌تحلیل آسیب‌پذیری‌ها، مانند حساب‌های رها‎‌شده
  • مانیتورینگ تغییرات پارامترها در اکتیو دایرکتوری
  • آزمایش رایگان برای تست عملکرد ابزار

همچنین، می‌توانید با انجام ارزیابی ریسک فنی، آسیب‌پذیری‌ها و پیکربندی نادرستی را شناسایی کنید که باعث شفاف نبودن اکتیو دایرکتوری می‌شوند. بر‌اساس نتایج خود، می‌توانید تشخیص دهید کدام حوزه‌های امنیتی بیشترین حمایت را نیاز دارند و ابزارهایی را شناسایی کنید که کمک‌کننده هستند. در نظر داشته باشید که ابزارهای تشخیص جامع تهدید، اگر اجازه دهند که منابع خود را به وظایف دیگری تخصیص دهید، برای کسب‌و‌کار شما ممکن است اقتصادی‌تر باشند. ابزارهای تشخیص تهدید ممکن است به‌صورت خودکار برای فعالیت‌های مشکوک مانیتور کنند و زمان لازم برای حل رخداد را کاهش دهند. زمانی که ابزار، کار سنگینی را انجام می‌دهد، کارکنان شما می‌توانند روی وظایف دیگری که برای کسب‌و‌کار شما ارزش دارند، تمرکز کنند.

بهترین روش‌های عملکرد در امنیت اکتیو دایرکتوری

بسیاری از مهاجمان با استفاده از اطلاعات ورودی مختلف شما، باعث نفوذ در سیستم شما می‌شوند؛ در نتیجه از بهترین عملکردهای اکتیو دایرکتوری برای جلوگیری از ریسک‌های امنیتی ناشناخته، استفاده کنید. بهترین روش‌های تقویت امنیت اکتیو دایرکتوری به‌صورت زیر است:

  • تنظیمات امنیتی پیش‌فرض را برای تناسب با نیازهای سازمان خود تنظیم کنید.
  • از فرایندهای پشتیبان‌گیری و بازیابی استفاده کنید.
  • مدیریت و گزارش‌دهی امنیت را متمرکز کنید.

۱. تنظیمات امنیتی پیش‌فرض

بعضی از تنظیمات پیش‌فرض اکتیو دایرکتوری، مانند تنظیماتی که به تمام کاربران اجازه می‌دهد تا ایستگاه‌های کاری را به Domain شما اضافه کنند، دسترسی‌های نامناسبی را به کاربران سازمان شما می‌دهد. هنگام نصب اکتیو دایرکتوری، پیکربندی امنیتی را مرور کنید و تغییراتی را برای تناسب با نیازهای سازمان خود اعمال کنید. همچنین، باید تمام مجوزهای کاربر را بررسی کنید و فقط حداقل سطح دسترسی ضروری را اختصاص دهید. مهاجمان با محدود کردن دسترسی‌ها، کمترین احتمال دسترسی دارای مجوز خاص را دارند و کارکنان سازمان شما، کمترین احتمال اکسپلویت دسترسی‌ها را دارند. برای تنظیمات امنیتی پیش‌فرض می‌توانید مقادیر ویژگی‌ها و دسترسی را به‌صورت دستی تغییر دهید یا از ابزارهای اکتیو دایرکتوری استفاده کنید.

۲. استفاده از فرایندهای پشتیبانی و بازیابی

مهم‌ترین اقدام پشتیبانی برای ایمن‌سازی اکتیو دایرکتوری، اطمینان حاصل کردن از پشتیبان‌گیری منظم و حداقل هر ۶۰ روز است. عمر آبجکت‌های مرتبط با پشتیبانی در اکتیو دایرکتوری ۶۰ روز است. با داشتن یک پشتیبانی اکتیو دایرکتوری که کمتر از ۶۰ روز از آن می‌گذرد، می‌توانید از خطاهای مربوط به آبجکت‌های منقضی‌شده جلوگیری کنید. همچنین، بهتر است بیش از یک پشتیبان در مکان‌های مختلف ذخیره شود تا در‌صورت دسترسی غیرمجاز به یکی از پشتیبان‌ها، اطلاعات لازم در دسترس باشد.

مهم‌ترین اقدام بازیابی برای ایمن‌سازی اکتیو دایرکتوری، فرایند بازیابی بحرانی است. این فرایند باید مراحلی را مشخص کند که تیم امنیتی شما باید هنگام بازیابی از یک نفوذ انجام دهد. شما باید توالی بازیابی و وابستگی‌ها را در نظر داشته باشید. به‌عنوان مثال، یک Domain Controller باید قبل از بازیابی سایر دستگاه‌ها، بازیابی شود.

۳. مدیریت و گزارش‌دهی امنیتی مرکزی

با متمرکز کردن مدیریت و گزارش‌دهی امنیتی، سازمان‌ها یک تیم اختصاصی‌ دارند که مسئول امنیت اکتیو دایرکتوری هستند. این کارکنان می‌توانند تخصص خود را افزایش دهند و به‌‌سرعت به حمله پاسخ دهند. همچنین، ابزار جامع شناسایی تهدید، به تیم امنیتی شما کمک می‌کند تا با استفاده از یک برنامه، اعلان‌ها را به‌‌سرعت بررسی و نظارت کنند.

 

این مقاله، ترجمه‌ای از سایت CrowdStrike است.