Windows Server Active Directory biztonsági audit: lépésről lépésre

Megosztás: Link másolva!
Windows Server Active Directory biztonsági audit: lépésről lépésre

Miért kritikus az AD biztonság?

Az Active Directory (AD) kompromittálása egy Windows-alapú infrastruktúrában szinte teljes körű hozzáférést jelent a támadónak. Az AD tartalmazza az összes felhasználói fiókot, jelszókivonatot, csoportházirendet és erőforráshoz való hozzáférési jogosultságot. Nem véletlen, hogy a ransomware-csoportok első lépésként az AD-t célozzák meg a Domain Admin jogosultság megszerzése érdekében.

Az audit első lépése: az állapotfelmérés

A biztonsági audit megkezdése előtt szükséges egy alapszintű állapotfelmérés. Ehhez érdemes a Microsoft ingyenes Purple Knight vagy a BloodHound eszközt alkalmazni, amelyek grafikusan vizualizálják az AD jogosultsági láncokat és azonnal megmutatják a kockázatos útvonalakat. Tipikus megállapítások ebben a fázisban:

  • Domain Admin csoportba tartozó feleslegesen sok felhasználó
  • Régi, inaktív fiókok, amelyek nem kerültek letiltásra
  • Kerberos-delegálással rendelkező szolgáltatásfiókok
  • AS-REP Roastable accountok (amelyek nem igényelnek Kerberos pre-autentikációt)

Jelszóházirendek és privilegizált hozzáférés kezelése

Az AD jelszóházirendek felülvizsgálatakor ellenőrzendő, hogy a komplexitási követelmények megfelelnek-e a mai elvárásoknak. Érdemes bevezetni a Fine-Grained Password Policy-t, amellyel különböző felhasználói csoportokhoz különböző jelszóházirendek rendelhetők. A privilegizált fiókok kezelésére a Microsoft Privileged Access Workstation (PAW) és a Privileged Identity Management (PIM) megközelítése az iparági standard.

Tiered Administration Model bevezetése

A legjobb védekezési stratégiák egyike az úgynevezett Tiered Administration Model, amely három szintre osztja a privilegizált hozzáféréseket. A Tier 0 a legérzékenyebb rendszereket tartalmazza (Domain Controller, PKI), a Tier 1 a szerver-infrastruktúrát, a Tier 2 pedig a végfelhasználói eszközöket. Az adminisztrátorok csak az adott szinten belül végezhetnek feladatokat, megakadályozva a privilegiumok horizontális terjedését.

Naplózás és SIEM integráció

Az AD biztonságának nyomon követéséhez kritikus esemény-azonosítókat (Event ID) kell monitorozni: például a 4625 (sikertelen bejelentkezés), 4720 (új felhasználó létrehozása), 4728 (tagság módosítása privilegizált csoportban) és 4776 (Kerberos hitelesítési hiba). Ezeket érdemes egy SIEM-rendszerbe (Microsoft Sentinel, Splunk, IBM QRadar) továbbítani és riasztási szabályokkal ellátni.

Rendszeres penetrációs tesztelés

Az elméleti konfiguráció-ellenőrzés mellett évente legalább egyszer érdemes AD-specifikus penetrációs tesztet elvégeztetni. A Kerberoasting, Pass-the-Hash, DCSync és Silver/Golden Ticket támadások szimulálása megmutatja, hogy a védelmi intézkedések valóban hatékonyak-e a gyakorlatban. A tesztek eredményeit dokumentálni kell és nyomon kell követni a javítási lépéseket.

Szeretnéd, hogy szakértő csapatunk kezelje az IT rendszereidet?

IT üzemeltetés Szolgáltatásaink
Tetszett? Oszd meg: