Miért kritikus az AD biztonság?
Az Active Directory (AD) kompromittálása egy Windows-alapú infrastruktúrában szinte teljes körű hozzáférést jelent a támadónak. Az AD tartalmazza az összes felhasználói fiókot, jelszókivonatot, csoportházirendet és erőforráshoz való hozzáférési jogosultságot. Nem véletlen, hogy a ransomware-csoportok első lépésként az AD-t célozzák meg a Domain Admin jogosultság megszerzése érdekében.
Az audit első lépése: az állapotfelmérés
A biztonsági audit megkezdése előtt szükséges egy alapszintű állapotfelmérés. Ehhez érdemes a Microsoft ingyenes Purple Knight vagy a BloodHound eszközt alkalmazni, amelyek grafikusan vizualizálják az AD jogosultsági láncokat és azonnal megmutatják a kockázatos útvonalakat. Tipikus megállapítások ebben a fázisban:
- Domain Admin csoportba tartozó feleslegesen sok felhasználó
- Régi, inaktív fiókok, amelyek nem kerültek letiltásra
- Kerberos-delegálással rendelkező szolgáltatásfiókok
- AS-REP Roastable accountok (amelyek nem igényelnek Kerberos pre-autentikációt)
Jelszóházirendek és privilegizált hozzáférés kezelése
Az AD jelszóházirendek felülvizsgálatakor ellenőrzendő, hogy a komplexitási követelmények megfelelnek-e a mai elvárásoknak. Érdemes bevezetni a Fine-Grained Password Policy-t, amellyel különböző felhasználói csoportokhoz különböző jelszóházirendek rendelhetők. A privilegizált fiókok kezelésére a Microsoft Privileged Access Workstation (PAW) és a Privileged Identity Management (PIM) megközelítése az iparági standard.
Tiered Administration Model bevezetése
A legjobb védekezési stratégiák egyike az úgynevezett Tiered Administration Model, amely három szintre osztja a privilegizált hozzáféréseket. A Tier 0 a legérzékenyebb rendszereket tartalmazza (Domain Controller, PKI), a Tier 1 a szerver-infrastruktúrát, a Tier 2 pedig a végfelhasználói eszközöket. Az adminisztrátorok csak az adott szinten belül végezhetnek feladatokat, megakadályozva a privilegiumok horizontális terjedését.
Naplózás és SIEM integráció
Az AD biztonságának nyomon követéséhez kritikus esemény-azonosítókat (Event ID) kell monitorozni: például a 4625 (sikertelen bejelentkezés), 4720 (új felhasználó létrehozása), 4728 (tagság módosítása privilegizált csoportban) és 4776 (Kerberos hitelesítési hiba). Ezeket érdemes egy SIEM-rendszerbe (Microsoft Sentinel, Splunk, IBM QRadar) továbbítani és riasztási szabályokkal ellátni.
Rendszeres penetrációs tesztelés
Az elméleti konfiguráció-ellenőrzés mellett évente legalább egyszer érdemes AD-specifikus penetrációs tesztet elvégeztetni. A Kerberoasting, Pass-the-Hash, DCSync és Silver/Golden Ticket támadások szimulálása megmutatja, hogy a védelmi intézkedések valóban hatékonyak-e a gyakorlatban. A tesztek eredményeit dokumentálni kell és nyomon kell követni a javítási lépéseket.