Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Aanvallen tegen computerinfrastructuur zijn de afgelopen tien jaar toegenomen in alle delen van de wereld. We leven in een tijdperk van cyberoorlog, cybercriminaliteit en hacktivisme. Als gevolg hiervan hebben organisaties van alle grootten over de hele wereld te maken gehad met informatielekken, diefstal van intellectuele eigendom (IP), denial-of-service-aanvallen (DDoS) of zelfs vernietigde infrastructuur.
Aangezien het bedreigingslandschap echter in de loop der jaren is veranderd, is het beveiligingslandschap ook aangepast om deze bedreigingen tegen te gaan. Hoewel geen organisatie met een IT-infrastructuur (information technology) ooit perfect immuun is voor aanvallen, is het ultieme doel van beveiliging geen aanvalspogingen helemaal te voorkomen, maar de IT-infrastructuur te beschermen tegen aanvallen. Met de juiste beleidsregels, processen en besturingselementen kunt u belangrijke onderdelen van uw IT-infrastructuur beschermen tegen inbreuk.
In dit artikel beschrijven we de meest voorkomende typen beveiligingsproblemen die we hebben waargenomen in Ad-implementaties (Active Directory). Vervolgens bewapenen we u met aanbevelingen voor het beschermen van deze zwakke punten tegen compromissen. We hebben deze aanbevelingen ontworpen op basis van de expertise van onze MICROSOFT IT-organisaties (MSIT) en Microsoft Information Security and Risk Management (ISRM). We laten u ook zien welke stappen u kunt nemen om te beperken hoeveel kwetsbare infrastructuur of aanvalsoppervlak van uw AD aan de buitenwereld wordt blootgesteld. We bevatten ook suggesties voor het herstellen van essentiële gegevens en infrastructuurfuncties als er sprake is van een beveiligingsrisico.
Veelvoorkomende beveiligingsproblemen
Als u wilt weten hoe u uw infrastructuur het beste kunt beveiligen, moet u eerst begrijpen waar aanvallen waarschijnlijk worden aangevallen en hoe ze werken. In dit artikel worden alleen algemene aanbevelingen behandeld, maar als u meer wilt weten, hebben we koppelingen naar uitgebreidere artikelen opgenomen.
Laten we nu eens kijken naar de meest voorkomende beveiligingsproblemen.
Algemene toegangspunten
Initiële inbreukdoelen of toegangspunten zijn gebieden waar aanvallers uw IT-infrastructuur het gemakkelijkst kunnen invoeren. Toegangspunten zijn meestal hiaten in beveiligingsupdates of updates die aanvallers kunnen misbruiken om toegang te krijgen tot een systeem binnen uw infrastructuur. Aanvallers beginnen meestal met een of twee systemen tegelijk en escaleren hun aanval naarmate ze hun invloed verspreiden over meer systemen die niet zijn gedetecteerd.
De meest voorkomende beveiligingsproblemen zijn:
Leemtes in de implementatie van antivirus en antimalware
Onvolledige patching
Verouderde toepassingen en besturingssystemen
Misconfiguration
Gebrek aan beveiligingsprocedures voor het ontwikkelen van toepassingen
Referentiediefstal
Aanvallen met diefstal van referenties zijn wanneer een aanvaller bevoegde toegang krijgt tot een computer in een netwerk met behulp van hulpprogramma's om referenties te extraheren uit sessies van accounts die momenteel zijn aangemeld. Aanvallers gaan vaak voor specifieke accounts met verhoogde bevoegdheden. De aanvaller steelt de inloggegevens van dit account om de identiteit ervan na te bootsen en zo toegang tot het systeem te krijgen.
Referentiedieven richten zich meestal op dit soort accounts:
Accounts met permanente bevoegdheden
VIP-accounts
Active Directory-accounts met gekoppelde bevoegdheden
Domeincontrollers
Andere infrastructuurservices die van invloed zijn op identiteit, toegang en configuratiebeheer, zoals PKI-servers (Public Key Infrastructure) of systeembeheerservers
Gebruikers met accounts met hoge bevoegdheden maken het risico groot dat hun referenties worden gestolen door het volgende gedrag te volgen:
Aanmelden bij hun geprivilegieerde accounts op niet-beveiligde computers
Surfen op internet terwijl u bent aangemeld bij een bevoegd account
U moet ook slechte en riskante configuraties voorkomen om de referentiebeveiliging van uw systeem te beveiligen, zoals:
Lokale bevoorrechte accounts configureren met dezelfde inloggegevens op alle systemen.
Het toewijzen van te veel gebruikers aan bevoorrechte domeingroepen, waardoor overgebruik wordt aangemoedigd.
Onvoldoende beheer van de beveiliging van domeincontrollers.
Zie Aantrekkelijke accounts voor referentiediefstal voor meer informatie over kwetsbare accounts.
Kwetsbaarheid voor Active Directory-aanvallen verminderen
U kunt aanvallen voorkomen door het kwetsbaarheid voor aanvallen op uw Active Directory-implementatie te verminderen. Met andere woorden, u maakt uw implementatie veiliger door hiaten in beveiliging te sluiten die we in de vorige sectie hebben genoemd.
Vermijd het verlenen van overmatige bevoegdheden
Aanvallen met referentiediefstal zijn afhankelijk van beheerders die bepaalde accounts overmatige bevoegdheden verlenen. U kunt deze aanvallen voorkomen door het volgende te doen:
Houd er rekening mee dat er drie ingebouwde groepen zijn met de hoogste bevoegdheden in Active Directory: Ondernemingsadministratoren, domeinadministratoren en beheerders. Zorg ervoor dat u stappen onderneemt om deze drie groepen te beveiligen, samen met andere groepen waarvoor uw organisatie verhoogde bevoegdheden heeft gegeven.
Implementeer een beheermodel met minimale bevoegdheden. Gebruik geen accounts met hoge bevoegdheden voor dagelijkse beheertaken als u dit kunt voorkomen. Zorg er ook voor dat uw beheerdersaccounts alleen de basislijnbevoegdheden hebben die nodig zijn om hun taken uit te voeren, zonder extra bevoegdheden die ze niet nodig hebben. Vermijd het geven van overmatige bevoegdheden aan gebruikersaccounts die ze niet nodig hebben. Zorg ervoor dat u niet per ongeluk dezelfde bevoegdheden verleent voor alle systemen, tenzij ze ze absoluut nodig hebben.
Controleer de volgende gebieden van uw infrastructuur om ervoor te zorgen dat u geen overmatige bevoegdheden verleent aan gebruikersaccounts:
Active Directory
Lidservers
Workstations
Applications
Gegevensopslagplaatsen
Zie Beheermodellen met minimale bevoegdheden implementeren voor meer informatie.
Beveiligde beheerhosts gebruiken
Beveiligde beheerhosts zijn computers die zijn geconfigureerd ter ondersteuning van beheer voor Active Directory's en andere verbonden systemen. Deze hosts voeren geen niet-beheerderssoftware uit, zoals e-mailtoepassingen, webbrowsers of productiviteitssoftware zoals Microsoft Office.
Wanneer u een beveiligde beheerhost configureert, moet u de volgende algemene principes volgen:
Beheer nooit een vertrouwd systeem van een minder vertrouwde host.
Meervoudige verificatie vereisen bij het gebruik van bevoegde accounts of het uitvoeren van beheertaken.
Fysieke beveiliging voor uw beheerhosts is net zo belangrijk als systeem- en netwerkbeveiliging.
Zie Beveiligde beheerhosts implementeren voor meer informatie.
Uw domeincontrollers veilig houden
Als een aanvaller bevoorrechte toegang krijgt tot een domeincontroller, kan deze de AD-database wijzigen, beschadigen en vernietigen. Een aanval op de domeincontroller bedreigt mogelijk alle door AD beheerde systemen en accounts binnen uw organisatie. Daarom is het belangrijk dat u de volgende maatregelen neemt om uw domeincontrollers veilig te houden:
Houd uw domeincontrollers fysiek veilig binnen hun datacenters, filialen en externe locaties.
Raak vertrouwd met het besturingssysteem van uw domeincontroller.
Configureer uw domeincontrollers met ingebouwde en vrij beschikbare configuratiehulpprogramma's om beveiligingsconfiguratiebasislijnen te maken die u kunt afdwingen met groepsbeleidsobjecten (GPO's).
Zie Domeincontrollers beveiligen tegen aanvallen voor meer informatie.
Active Directory controleren op tekenen van aanvallen of inbreuk
Een andere manier waarop u uw AD-implementatie veilig kunt houden, is door deze te controleren op tekenen van schadelijke aanvallen of beveiligingsrisico's. U kunt verouderde auditcategorieën en subcategorieën voor controlebeleid gebruiken of Geavanceerd controlebeleid gebruiken. Zie Aanbevelingen voor controlebeleid voor meer informatie.
Voorbereiden op beveiligingsinbreuken
Hoewel u uw AD kunt beschermen tegen aanvallen van buitenaf, is er nooit echt een perfecte verdediging. Het is belangrijk dat u naast het nemen van preventieve maatregelen ook plannen maakt voor de slechtste scenario's. Bij het plannen van beveiligingsschendingen moet u de richtlijnen in Het plannen van compromissen volgen, met name de sectie Over het herzien van de aanpak. Lees ook Het onderhouden van een veiligere omgeving.
Hier volgt een kort overzicht van dingen die u moet doen bij het plannen van beveiligingscompromittaties, zoals beschreven in het onderhouden van een veiligere omgeving:
Een veiligere omgeving onderhouden
Bedrijfsgerichte beveiligingsprocedures maken voor AD
Bedrijfseigendom toewijzen aan AD-gegevens
Bedrijfsgestuurd levenscyclusbeheer implementeren
Alle AD-gegevens classificeren als systemen, toepassingen of gebruikers
Zie Een veiligere omgeving onderhouden voor meer informatie over deze procedures.
Samenvattingstabel van beveiligingsmeting
De volgende tabel bevat een overzicht van de aanbevelingen die in dit artikel worden vermeld, in volgorde van prioriteit. De tabellen die dichter bij de onderkant van de tabel staan, zijn degene die u en uw organisatie moeten prioriteren bij het instellen van uw Active Directory. U kunt echter ook de prioriteitsvolgorde aanpassen en hoe u elke meting implementeert op basis van de unieke behoeften van uw organisatie.
Elke maatregel wordt ook gecategoriseerd op basis van of deze tactisch, strategisch, preventief of detectief is. Tactische metingen richten zich op specifieke onderdelen van AD en alle gerelateerde infrastructuur. Strategische maatregelen zijn uitgebreider en vereisen daarom meer planning om te implementeren. Preventieve maatregelen voorkomen aanvallen van slechte actoren. Met rechercheurmaatregelen kunt u beveiligingsschendingen detecteren wanneer ze zich voordoen, voordat ze zich kunnen verspreiden naar andere systemen.
| Beveiligingsmaatregel | Tactisch of strategisch | Preventieve of rechercheur |
|---|---|---|
| Patchtoepassingen. | Tactical | Preventative |
| Patchbesturingssystemen. | Tactical | Preventative |
| Implementeer en werk onmiddellijk antivirus- en antimalwaresoftware bij op alle systemen en bewaak op pogingen om deze te verwijderen of uit te schakelen. | Tactical | Both |
| Bewaak gevoelige Active Directory-objecten voor wijzigingspogingen en Windows voor gebeurtenissen die kunnen duiden op inbreukpogingen. | Tactical | Detective |
| Accounts beveiligen en bewaken voor gebruikers die toegang hebben tot gevoelige gegevens | Tactical | Both |
| Voorkom dat krachtige accounts worden gebruikt op niet-geautoriseerde systemen. | Tactical | Preventative |
| Elimineren van permanent lidmaatschap in groepen met hoge bevoegdheden. | Tactical | Preventative |
| Implementeer besturingselementen om tijdelijk lidmaatschap toe te kennen aan bevoorrechte groepen wanneer dat nodig is. | Tactical | Preventative |
| Implementeer beveiligde beheerhosts. | Tactical | Preventative |
| Gebruik acceptatielijsten voor toepassingen op domeincontrollers, beheerhosts en andere gevoelige systemen. | Tactical | Preventative |
| Identificeer kritieke assets en geef prioriteit aan hun beveiliging en bewaking. | Tactical | Both |
| Implementeer minimale bevoegdheden, op rollen gebaseerd toegangsbeheer voor het beheer van de directory, de ondersteunende infrastructuur en systemen die lid zijn van een domein. | Strategic | Preventative |
| Verouderde systemen en toepassingen isoleren. | Tactical | Preventative |
| Verouderde systemen en toepassingen buiten gebruik stellen. | Strategic | Preventative |
| Implementeer veilige ontwikkelingslevenscyclusprogramma's voor aangepaste toepassingen. | Strategic | Preventative |
| Implementeer configuratiebeheer, controleer regelmatig de naleving en evalueer instellingen met elke nieuwe hardware- of softwareversie. | Strategic | Preventative |
| Migreer kritieke assets naar ongerepte bossen met strenge beveiligings- en bewakingsvereisten. | Strategic | Both |
| Vereenvoudig de beveiliging voor eindgebruikers. | Strategic | Preventative |
| Gebruik firewalls op basis van een host om communicatie te beheren en te beveiligen. | Tactical | Preventative |
| Patchapparaten. | Tactical | Preventative |
| Implementeer bedrijfsgericht levenscyclusbeheer voor IT-assets. | Strategic | N/A |
| Herstelplannen voor incidenten maken of bijwerken. | Strategic | N/A |