Active Directory – jak poprawnie zabezpieczyć

Active Directory to potężne narzędzie do organizowania i zarządzania dostępem do zasobów informatycznych firmy. Jako usługa katalogowa pozwala administratorom IT m.in. na centralne zarządzanie konfiguracją stacji roboczych, kontami i uprawnieniami użytkowników, zdalną instalację oprogramowania użytkowego, a także integrację z innymi, opartymi na niej zewnętrznymi systemami. Ponadto dzięki implementacji protokołu Kerberos pozwala w znaczący sposób podnieść poziom bezpieczeństwa informatycznego w organizacji. 

Warto jednak zdać sobie sprawę, że sama instalacja i wdrożenie Active Directory w domyślnej konfiguracji to dopiero początek w drodze do bezpiecznej infrastruktury bazującej na tym rozwiązaniu, zaś pozostawienie usługi w takim stanie to otwarta furtka dla działań cyberprzestępców.

Jednym z podstawowych elementów, od którego należy zacząć jest polityka haseł. Domyślna długość hasła wynosząca 8 znaków, nawet przy włączonym wymogu co do złożoności hasła w dobie rosnącej obecnie liczby ataków jest niewystarczająca. Przeciętny komputer osobisty przy użyciu specjalnego oprogramowania jest w stanie złamać takie hasło w mniej niż dobę, dlatego znaczenie ma nie tyle częstotliwość zmiany haseł co ich minimalna długość. W połączeniu z konfiguracją mechanizmu czasowej blokady haseł po określonej liczbie nieudanych prób oraz inspekcją nieudanych zdarzeń logowania pozwala znacząco ukrócić nieautoryzowane próby łamania haseł.

W przypadku haseł warto tutaj rozważyć osobne polityki dla zwykłych użytkowników, osobne dla administratorów a jeszcze inne dla kont, w kontekście których działają skonfigurowane usługi systemowe. Jeśli chodzi o te ostatnie, to dobrym rozwiązaniem pozwalającym na utrzymanie ich bezpieczeństwa na wysokim poziomie jest wdrożenie mechanizmu MSA (Managed Service Accounts), wspomagającemu zarządzanie takimi kontami w bezpieczny sposób.

Kolejna dobra praktyka, to zasada minimalnych uprawnień, a więc ograniczenie zakresu uprawnień dla używanych w organizacji kont do najmniejszego jak to tylko możliwe, pozwalającego na wykonywanie niezbędnych zadań. Ponadto do zadań wymagających administracyjnych uprawnień (np. zmiany haseł, modyfikacja uprawnień, backup danych na serwerze plików) powinny być używane odrębne konta i używane tylko w takiej konieczności. Na co dzień administratorzy również powinni pracować na zwykłych, ograniczonych w uprawnienia kontach. Przy okazji warto zastanowić się nad konfiguracją delegacji dla poszczególnych kont administracyjnych, gdzie można skonfigurować granularnie zakres operacji możliwych do wykonania na obiektach (użytkowników, komputerów) znajdujących się w konkretnej jednostce organizacyjnej (OU) struktury AD.

Następnym elementem, wymagającym uwagi i podjęcia działań w domyślnej konfiguracji AD jest fakt, że każdy kto dysponuje kontem zwykłego użytkownika domenowego może sam podłączyć do domeny do dziesięciu dowolnych komputerów. Niezbędnym jest tutaj ograniczenie takich operacji wyłącznie dla ustalonych wcześniej kont administracyjnych.

Ważnym aspektem w kontekście bezpieczeństwa są także konta lokalnych administratorów na stacjach roboczych używane w razie konieczności do zadań wymagających wyższych uprawnień niż konto użytkownika. Bardzo często dla takich kont administratorzy IT stosują dla wygody jedno, identyczne hasło na wszystkich komputerach w firmie. Oznacza to, że przejęcie kontroli nad jedną stacją roboczą oznacza przejęcie kontroli na wszystkimi komputerami w przedsiębiorstwie! Stosowanie dla takich kont długich i trudnych do złamania haseł, unikalnych na każdej stacji roboczej jest trudne w utrzymaniu, zwłaszcza jeśli komputerów w przedsiębiorstwie są setki lub tysiące. Z pomocą jednak przychodzi tutaj mechanizm LAPS (Local Administrator Password Solution), którego wdrożenie pozwoli zautomatyzować proces zarządzania takimi kontami. 

Wspomniane metody zabezpieczania AD, choć stanowią jedynie fragment z możliwych rozwiązań (wszak mechanizmów ochrony oferowanych przez Microsoft w systemach Windows Server jest więcej), pozwalają w znaczący sposób poprawić poziom bezpieczeństwa w organizacji bazującej na tej usłudze. Trzeba również pamiętać, że dbanie o bezpieczeństwo to nie tylko implementacja konkretnych rozwiązań, ale też codzienne czynności zapewniające utrzymanie środowiska w bezpiecznym stanie oraz pozwalające zareagować w porę na wykryte incydenty bezpieczeństwa. Mowa tu nie tylko o regularnym aktualizowaniu systemów o najnowsze poprawki zabezpieczeń, lecz także bieżącym przeglądaniu logów zdarzeń (zbierających m.in. informacje na podstawie skonfigurowanych wcześniej reguł inspekcji), regularnym weryfikowaniu kont domenowych, członkostwa w grupach oraz kontroli list dostępu do danych na serwerach plikowych. To także stałe poszerzanie swojej wiedzy na temat nowych zagrożeń oraz rozwiązań pozwalającym na skuteczną z nimi walkę.

Zarówno, jeśli chodzi o opisywane rozwiązania jak i stałe utrzymywanie wysokiego poziomu ochrony infrastruktury IT w firmie nasi specjaliści chętnie służą pomocą w tym obszarze. Począwszy od audytu, mającego na celu ustalenie aktualnego stanu bezpieczeństwa IT w organizacji, przedstawieniu i wdrożeniu konkretnych rozwiązań podnoszących stan ochrony badanego środowiska, skończywszy na szkoleniach z zakresu bezpieczeństwa i obsługi wdrożonych mechanizmów oraz stałej pomocy w dbaniu o wysoki poziom bezpieczeństwa systemów informatycznych.

PK