چک لیست امنیت اکتیو دایرکتوری (Active Directory)

اکتیو دایرکتوری یکی از سرویس های مایکروسافت است که Directory Service را در سازمان‌ها پیاده‌سازی می‌کند. اکتیو دایرکتوری منابع شبکه را به صورت سلسله مراتبی و بر اساس استاندارد X.500 طبقه بندی و مدیریت می‌کند. وظیفه اصلی اکتیو دایرکتوری:

• احراز هویت کاربران و سرویس ها.
• ایجاد و مدیریت دسترسی به منابع شبکه.
• سازماندهی منابع شبکه بر اساس چارت سازمانی.
• تعریف و پیاده‌سازی سیاست های امنیتی.
• مدیریت متمرکز منابع شبکه و ایجاد Single Sign On برای کاربران.
• ایجاد یکپارچگی بین سرویس و اپلیکیشن‌های LDAP-Aware.

چک لیست امنیت اکتیو دایرکتوری (Active Directory) به تیم‌ IT کمک می‌کند تا نقاط ضعف احتمالی را شناسایی کرده و از تهدیدهای داخلی و خارجی پیشگیری کنند.

Active Directory (Basic Level)

با توجه به اهمیت گسترده این سرویس، دوره‌ای در سه سطح طراحی شده است تا ادمین‌ها بتوانند دانش و مهارت‌های لازم را مطابق نیاز خود ارتقا دهند؛ دوره‌ی مقدماتی آن شامل ۳۵ ساعت آموزش مباحث پایه‌ای اکتیو دایرکتوری است.

مشاهده دوره

چک لیست امنیت اکتیو دایرکتوری

اکتیو دایرکتوری، مهم‌ترین تارگت برای حمله است، زیرا تمامی منابع شبکه، اتوماسیون و سرویس‌های مهم سازمان تحت مدیریت و نظارت اکتیو دایرکتوری هستند و هکر با نفوذ به این سرویس به تمامی Security Principalها، اپلیکیشن‌ها و … دسترسی پیدا می‌کند. به عبارتی بیزینس آن سازمان تحت مدیریت اکتیو دایرکتوری بوده و هک شدن این سرویس مساوی‌ست با نابودی یا ایجاد اختلال در بیزینس آن سازمان. بنابراین امنیت اکتیو دایرکتوری، اهمیت بسیار زیادی دارد.

چک‌ لیست امنیت اکتیو دایرکتوری (Active Directory Security Checklist) یک فهرست سازمان‌یافته از اقدامات و تنظیمات بوده که به منظور محافظت از محیط Active Directory طراحی شده است. هدف اصلی آن کاهش سطح حمله، جلوگیری از دسترسی غیرمجاز و افزایش تاب‌آوری سایبری سازمان است.

در ادامه 10 موردی که می‌بایست برای امنیت اکتیو دایرکتوری مورد بررسی قرار گیرد، بیان شده است:

۱. ایمن‌سازی حساب‌های دارای امتیاز بالا (Administrator Privileges)

حساب Administrator دامنه هنگام ایجاد دامنه، بالاترین سطح دسترسی را دارد و در صورت وجود Forest Root، عضو Enterprise Admins نیز می‌شود.
مایکروسافت توصیه می‌کند برای افزایش امنیت، گزینه‌ Account is sensitive and cannot be delegated را برای این حساب فعال کنید. علاوه بر این، مطمئن شوید که Group Policy Objects به‌گونه‌ای پیکربندی شده‌اند که استفاده از حساب مدیر دامنه و حساب‌های BUILT-IN Administrator در سیستم‌های عضو دامنه محدود شود.

به طور خاص، می‌بایست دسترسی این حساب‌ها به موارد زیر مسدود شود:

• استفاده از این حساب‌ها برای ورود به سرورها و ایستگاه‌های کاری (Workstations)
• استفاده از آن‌ها در Batch Jobها
• استفاده از آن‌ها در Service Accountها
• استفاده از آن‌ها در سرویس‌های Remote Desktop

۲. استفاده از گروه‌ها برای تخصیص امتیازات دسترسی

مدیریت دسترسی‌ها از طریق گروه‌ها باعث نظم، دقت و امنیت بیشتر می‌شود. کاربران را بر اساس نقش یا واحد سازمانی در گروه‌ها دسته‌بندی کرده و مجوزهای مناسب را به گروه‌ها اختصاص دهید. این روش کنترل دسترسی یکپارچه و امن را فراهم می‌کند و نیازمند هماهنگی بین تیم AD و ذی‌نفعان تجاری است.

۳. به حداقل رساندن تعداد کاربران دارای امتیاز (Privileged Users)

کاربران با دسترسی‌های ویژه نقش حیاتی در امنیت AD دارند، اما کنترل‌نشده بودن آن‌ها می‌تواند بزرگ‌ترین نقطه ضعف امنیتی باشد و نفوذ به این حساب‌ها امکان دسترسی گسترده مهاجمان را فراهم می‌کند. برای مدیریت ریسک:

• اصل کمترین سطح دسترسی را رعایت کنید؛ هر کاربر تنها به آنچه برای وظایفش نیاز دارد دسترسی داشته باشد.
• بررسی و ممیزی منظم گروه‌های دارای امتیاز (مثل Enterprise Admins، Domain Admins، Schema Admins و سایر گروه‌های عملیاتی) برای حذف دسترسی‌های غیرضروری، مهم است.
• حساب‌های موقت یا اضافی پس از اتمام کار، لازم است غیرفعال یا حذف شوند.

۴. اجرای رمزهای عبور قدرتمند در Service Accountها

یکی از مهم‌ترین تهدیدات امنیتی اکتیودایرکتوری (Active Directory) در سال‌های اخیر، حملات Kerberoasting است؛ روشی متداول که مهاجمان از طریق آن به حساب‌های دارای امتیاز بالا (Privileged Accounts) نفوذ کرده و کنترل سرور دامین را به‌دست می‌گیرند.

در حمله Kerberoasting، مهاجم معمولا با دسترسی به یک حساب کاربری معمولی (به‌عنوان مثال از طریق فیشینگ یا نفوذ اولیه کوچک)، فرایند جمع‌آوری نام‌های اصلی سرویس (Service Principal Names – SPNs) را در دامنه آغاز می‌کند. با فهرست‌برداری از این SPNها، او قادر می‌شود مجموعه‌ای از Service Accountها را شناسایی و حساب‌های دارای امتیازات بالا را پیدا کند.

سپس، با استخراج تیکت‌های Kerberos رمزگذاری‌شده با رمز عبور سرویس اکانت، مهاجم این داده‌ها را به‌صورت آفلاین اشتراک‌گذاری و کرک می‌کند تا به هش رمز عبور دست پیدا کند. به‌محض موفقیت در این مرحله، دسترسی مستقیم او به AD تثبیت می‌شود و می‌تواند در عرض چند دقیقه کل جنگل اکتیو دایرکتوری (AD Forest) را به‌خطر بیندازد.

تنها راه مقابله موثر با این حمله، تقویت رمزهای عبور Service Account‌هاست تا کرک کردن آن‌ها عملا غیرممکن شود:

• از رمزعبور هایی با حداقل ۲۵ کاراکتر و آنتروپی بالا استفاده کنید.
• رمزها را با ابزار تولید رمز ایجاد کرده و در Password Vault معتبر نگهداری کنید.
• برای تغییر خودکار و ایمن رمزها از gMSA یا Managed Identities استفاده کنید.
• رمزهای حساب‌های سرویس را به‌صورت دوره‌ای و خودکار تغییر دهید.
• از ایجاد SPNهای غیرضروری پرهیز و آن‌ها را به‌طور منظم بازبینی کنید.
• فقط از رمزنگاری‌های امن مانند AES استفاده کرده و الگوریتم‌های ضعیف را غیرفعال کنید.
• رفتارهای مشکوک و درخواست‌های Kerberos غیرعادی را پایش و ثبت کنید.
• توسعه‌دهندگان را از خطر ذخیره رمزها در کد یا فایل‌ها آگاه کرده و استفاده از الگوهای امن نگهداری Secrets را الزامی کنید.

اجرای هم‌زمان این اقدامات، مخصوصا رمزهای طولانی و مدیریت خودکار رمزها (gMSA + vault) همراه با نظارت فعال، بهترین راه برای کاهش احتمال موفقیت حملات Kerberoasting و محافظت از سرویس‌ها و داده‌های حساس در محیط Active Directory است.

۵. غیرفعال‌سازی سرویس Print Spooler (توصیه فوری برای کنترلرهای دامنه)

فعال بودن سرویس Print Spooler روی Domain Controllerها یک ریسک امنیتی جدی ایجاد کرده و امکان سوءاستفاده مهاجمان برای دسترسی به اعتبار حساب‌های کنترلر دامنه را فراهم می‌کند. به همین دلیل، توصیه می‌شود این سرویس روی تمام DCها غیرفعال شود.

۶. محدود کردن دسترسی به کنترل‌کننده‌های دامنه (Domain Controllers)

کنترل‌کننده‌های دامنه (DCs) قلب امنیت در زیرساخت Active Directory هستند؛ هرگونه دسترسی غیرمجاز یا آلوده به آن‌ها می‌تواند کل محیط را در معرض تهدید قرار دهد. برای کاهش خطر حملات بدافزاری و نفوذ، لازم است دسترسی به DCها به‌شدت محدود و کنترل‌شده باشد.

• غیرفعال‌سازی مرور وب: هیچ‌گاه اجازه‌ی وب‌گردی یا دانلود مستقیم از اینترنت روی کنترلرهای دامنه داده نشود. این کار سطح حمله را افزایش می‌دهد و خطر آلودگی را بالا می‌برد.
• محدودسازی دسترسی ریموت (RDP): از طریق Group Policy، تنظیمات را طوری پیکربندی کنید که فقط کاربران و سیستم‌های مشخص و مجاز بتوانند از طریق RDP به DCها متصل شوند.
• مدیریت دسترسی مبتنی بر نقش: تنها افرادی که وظایف مدیریتی مرتبط با Active Directory دارند باید مجاز به ورود به کنترلرهای دامنه باشند.
• جدا‌سازی شبکه‌ای DCها: کنترلرهای دامنه را در سگمنت‌های شبکه‌ای ایزوله قرار دهید تا دسترسی مستقیم از سایر سرورها یا کلاینت‌ها محدود شود.

۷. انجام ارزیابی‌های دوره‌ای برای شناسایی نقض خط‌مشی‌های رمز عبور

به‌صورت منظم خط‌مشی‌های رمز عبور را ارزیابی کرده و حساب‌هایی با گزینه PASSWD_NOTREQD یا دسترسی ناشناس را شناسایی و اصلاح کنید تا از سوءاستفاده و افشای اطلاعات در Active Directory جلوگیری شود.

۸. اجرای سیاست‌های رمز عبور مدرن در Active Directory

رمز عبور باید طولانی، منحصربه‌فرد و بدون الگوی قابل‌حدس باشد؛ گذرواژه‌های رایج را مسدود و انقضای اجباری را غیرفعال کنید. برای افزایش امنیت، از سیاست‌های دقیق سطح کاربر یا گروه (Fine-Grained Password Policy) استفاده کنید.

۹. برنامه‌ریزی برای بازیابی Active Directory

برای افزایش تاب‌آوری سایبری، از دو DC در هر دامنه، نسخه‌ پشتیبان تهیه کرده و آن را به‌صورت آفلاین نگهدارید تا امکان بازیابی در شرایط بحرانی وجود داشته باشد.

۱۰. فیلترینگ SID در Forest Trustها

برای جلوگیری از سوءاستفاده از sIDHistory و ارتقاء غیرمجاز دسترسی، فیلترینگ SID باید روی تمام forest trustها فعال باشد. این قابلیت SIDهای خارجی را از توکن دسترسی حذف کرده و از نفوذ به منابع دامنه‌های دیگر جلوگیری می‌کند. تنها در زمان مهاجرت یا ادغام کاربران، می‌توان به طور موقت آن را غیرفعال کرد.

جمع‌بندی

Active Directory نقش مهمی در مدیریت کاربران، کنترل دسترسی‌ها و حفظ امنیت شبکه دارد. ضعف در امنیت اکتیو دایرکتوری می‌تواند باعث شود مهاجمان به حساب‌های دارای امتیاز بالا دسترسی پیدا کرده و کنترل داده‌ها و سرویس‌های حیاتی را به‌دست بگیرند.

برای مقابله با تهدیدات، لازم است حساب‌های Administrator ایمن شوند، دسترسی‌ها با گروه‌ها مدیریت شود، سرویس‌ها و پروتکل‌های پرریسک غیرفعال شوند، رمزهای قوی برای Service Accountها استفاده شود و برنامه‌های پشتیبان‌گیری و بازیابی تدوین شود.

با توجه به اهمیت حیاتی این سرویس و پیچیدگی‌های مدیریت آن، دوره‌های آموزشی Active Directory نت وی پرایم طراحی شده‌اند تا ادمین‌ها و متخصصان شبکه دانش و مهارت لازم را کسب کنند. برای کسب اطلاعات بیشتر در رابطه با جزئیات دوره می‌توانید با ما در ارتباط باشید.

سوالات متداول Active Directory Security Checklist