Active Directory (AD) är en guldgruva för cyberkriminella eftersom den omfattar hela din IT-infrastruktur. Cyberbrottslingar utnyttjar sårbarheter och genomför attacker på AD för att få tillgång till dina nätverksresurser. Med otillräckliga säkerhetsåtgärder kan din AD-miljö äventyras så att cyberkriminella kan stjäla känslig information. Så det är ingen tvekan om att det är viktigt att skydda ert AD.
Följande praxis kan hjälpa till att skydda ditt AD och mildra dataintrång i din organisation:
Minska attackytan i ditt Active Directory
En attackyta innehåller olika punkter genom vilka skadliga aktörer kan få obehörig åtkomst till ditt nätverk. Eftersom AD är värd för olika kritiska resurser som domänkontrollanter (DCs), säkerhetsgrupper och data som användarkontouppgifter och säkerhetskopior är det viktigt att minska AD-attackytan för att försvara sig mot cyberattacker. För att minska attackytan, börja med att minska antalet domäner i din katalog. Identifiera och ta bort dubbletter och andra onödiga grupper. Skapa konton med utgångsdatum för tillfälligt anställda och begränsa deras behörigheter.
Säkra dina domänkontrollanter
För att skydda dina DC:er mot attacker ska du inte flytta dem från standard domänkontrollantens organization unit (OU). Tillåt endast åtkomst till DC från en säker dator utan internetanslutning. Minimera grupperna och användarna med DC-administratörs- eller inloggningsrättigheter. Håll dina DC-enheter fria från oönskade program för att förhindra att angripare utnyttjar kända sårbarheter. Patcha kritiska säkerhetsuppdateringar på dina DC-enheter så snart som möjligt för att minska exponeringen för attacker.
Följ principen "least privilege"
Använd en effektiv strategi för åtkomsthantering för att begränsa obehörig tillgång till resurser. Least privilege modellen ger domänanvändare tillräckligt med tillgång till nödvändiga resurser när de utför sina uppgifter. Detta medför en säkrare arbetsmiljö för anställda och förhindrar att de oavsiktligt eller avsiktligt missbrukar sina behörigheter. Många sårbarheter kan inte utnyttjas av cyberkriminella då de behöver högre behörighet.
Hantera dina säkerhetsgrupper
Medlemskap i säkerhetsgrupp bestämmer behörigheter som en domänanvändare har. Obehöriga ändringar av säkerhetsgrupper kan leda till ett storskaligt dataintrång, så övervaka ständigt grupper med höga privilegier som domänadministratörer och organisationsadministratörer för förändring av behörigheter.
Implementera en stark lösenordspolicy
Svaga lösenord gör det lättare för angripare att utföra attacker där lösenord gissas. En stark lösenordspolicy som kräver att användare skapar lösenord med minst 8-12 tecken kan skydda kontona från sådana attacker. Distribuera också granulära lösenordspolicyer för användare med förhöjda behörigheter och håll reda på lösenordsändringar på deras konton.
Håll ett öga på lokala administratörer
Det är vanligt att lokala administratörskonton konfigureras med samma lösenord på alla datorer i domänen. Om en inkräktare kommer över de lokala administratörsrättigheterna för en komprometterad dator har den användaren samma rättigheter på alla domänanslutna datorer. För att förhindra att det sker använd LAPS (Local Administrator Password Solution). LAPS säkerställer att varje lokalt administratörskonto har ett unikt lösenord lagrat i AD.
Utbilda användare om säkerhet
När alla säkerhetsåtgärder är tillräckligt konfigurerade använder sig cyberkriminella av social engineering med fokus på mänsklig interaktion. Ovetande användare faller för nätfiske- och spear phishing bedrägerier så att angripare kan föra in skadlig programvara i systemen. För att undvika detta utbilda användare om att känna igen dessa attacker och att de ska varna IT-säkerhetsteamet om de misstänker att deras konto är hackat.
Övervaka ditt AD för indikatorer på intrång
Slutligen, håll alltid koll på alla förändringar i din AD-miljö. Spåra allt skapande och radering av AD-objekt i din katalog. Undersök noggrant alla ändringar i dina användar- eller datorkonton, säkerhetsgrupper, organisationsenheter och GPO:er för eventuella tecken på intrång.
Stärk säkerheten i ditt AD
Utan ett säkerhetsverktyg för Active Directory har du svårt att hålla koll på allt som händer i din AD-miljö. ADAudit Plus - är en User behavior Analytics (UBA) AD-audit-lösning från ManageEngine som ger dig fullständigt anpassningsbara rapporter för granskning av förändringar på användare, datorer, grupper, OU:er och GPO:er. Dessa rapporter hjälper dig att övervaka inloggningar till DC:er, ändringar av lösenordsinställningar, ändringar av säkerhetsgrupper, LAPS-aktivitet och mycket mer.
Ta del av fler artiklar om Active Directory och hybrida AD-miljöer med AzureAD. Där kan du bl.a. läsa om hur PowerShell har blivit en allt vanligare attackmetod för cyberkriminella och få fler tips och råd om hur du härdar AD och undviker vanliga misstag.
