تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری

چگونه می‌توان تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری را به نحوی مدیریت کرد تا ضعف‌های رایج برطرف شود؟ اگر این سوال برای شما هم ایجاد شده با ما همراه باشید.

بسیاری از کامپیوترهای اداری و سازمانی از مایکروسافت اکتیو دایرکتوری برای مدیریت هویت و دسترسی استفاده می کنند. در نتیجه این برنامه به یکی از رایج‌ترین نرم افزارها در جهان تبدیل شده‌ است. اما شوربختانه این فراگیر بودن آن را نیز به هدفی جذاب برای مهاجمان سایبری تبدیل کرده است. تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری دسترسی کاربران به سیستم ‌ها و نرم ‌افزار های موجود در شبکه را کنترل می ‌کند. اگر این تنظیمات به درستی انجام نگیرد، مهاجمان و بدافزارها می‌‌توانند آن را به خطر انداخته و دسترسی مورد نیاز برای دستیابی به اهداف خود را در اختیار داشته باشند. علاوه بر این، کنترل اکتیو دایرکتوری به مهاجم این امکان را می دهد که باج افزار را مستقر کند، اطلاعات حساس را سرقت کند، یا اعمال مجرمانه ی دیگری انجام دهد. جلوگیری از همه این اقدامات برای سیستمی که مورد حمله قرار گرفته است تقریبا غیرممکن است.

متأسفانه، بیشتر محیط‌ های اکتیو دایرکتوری سازمانی میلیون‌ ها پیکربندی نادرست و آسیب‌ پذیر دارند که مهاجمان می‌توانند از آنها سوء استفاده کنند. ابزارهای داخلی و رابط کاربری، بررسی امتیازات کاربر را برای تیم‌ های امنیتی دشوار می ‌کند، به این معنی که خطاها و پیکربندی ‌های نادرست می ‌توانند به سرعت در طول زمان ایجاد شوند.

« بدهی پیکربندی نادرست » چیست؟

در صورتی که تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری به عنوان اولویت اول قرار داده نشود، اکثر سازمان ‌ها از «بدهی پیکربندی نادرست» رنج خواهند برد که در آن خطاها در طول زمان چند برابر می ‌شوند. این موضوع را در نظر بگیرید که اکتیور دایرکتوری روزانه از طریق ایجاد یا حذف کاربران، گروه ‌ها و نرم ‌افزار ها تغییر می ‌کند و به راحتی می ‌توان فهمید که چرا شرکت‌ ها (که صد ها یا هزاران کاربر خواهند داشت) مشکلات امنیتی زیادی دارند.

این مسائل امنیتی ناشی از طیف وسیعی از خطاها هستند. به عنوان مثال، مدیران ممکن است به طور تصادفی به کاربران یا گروه‌ ها امتیازات بیشتر از نیاز خود بدهند، یا مدیران می ‌توانند از اعتبار مدیریت دامنه خود برای ورود به آدرس هایی استفاده کنند که در معرض خطر سرقت قرار دارند.

عدم تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری ، مسیر را برای یک تکنیک حمله به نام مسیرهای حمله هویت باز می‌کنند. در این تکنیک، مهاجم ابتدا توانایی اجرای کد روی یک ماشین واحد در شبکه را به دست می ‌آورد (مثلا از طریق یک ایمیل فیشینگ یا هک اعتبار یک کاربر در تخلیه داده ‌ای) سپس از ابزارهای مختلف برای سوء استفاده از این خطا ها و مسائل امنیتی برای سرقت سایر اطلاعات کاربری استفاده می کند.

بعد از آن، سودجویان از دسترسی آن اعتبار نامه های جدید برای به خطر انداختن سیستم های اضافی تا هنگامی که به هدف خود برسند استفاده می کنند. شناسایی این حملات می تواند دشوار باشد زیرا از ابزار ها و اعتبار نامه های قانونی استفاده می کنند.

دفاع در برابر مسیرهای حمله مستلزم رفع مشکلات امنیتی و تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری است که مهاجمان از آنها استفاده می کنند. خبر خوب این است که مدیران آی تی IT می توانند بسیاری از این مشکلات را در عرض چند دقیقه با تغییر تنظیمات پیش فرض حل کنند.

۳ روش برای بازیابی فایل ذخیره نشده در مایکروسافت ورد

محدود کردن مالکیت کنترل ‌کننده‌ های دامنه به مدیران دامنه

به دلایل مختلف، کنترل کننده های دامنه اغلب در اختیار مدیران امنیتی غیر از مدیران دامنه قرار می گیرند. به عنوان مثال، یک کاربر Help Desk را در نظر بگیرید که یک سرور جدید در دامنه ایجاد می کند.

چند ماه بعد، نقش این سیستم تغییر کرده و تیم مدیریت سیستم را به یک Domain Controller (کنترل کننده ی دامنه ) ارتقا می دهد. این کاربر Help Desk اکنون صاحب یک Domain Controller (کنترل کننده ی دامنه ) است و مسیری برای کنترل کامل موثر بر محیط دارد. این بسیار خطرناک است، زیرا اگر یک مهاجم اعتبار این کاربر Help Desk را دریافت کند، به راحتی می تواند Domain Controller (کنترل کننده ی دامنه ) را در معرض خطر قرار دهد. هرچه موقعیت ‌های بیشتری از این قبیل اتفاق می ‌افتد، Domain Controller (کنترل کننده ی دامنه ) مالکان بیشتری جمع کرده و خطر افزایش می‌ یابد.

خوشبختانه رفع این مشکل با تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری آسان است. برای انجام این کار، ابتدا لیستی از هر شیء Domain Controller (کنترل کننده ی دامنه ) در محیط هدف ایجاد کنید. این داده‌ ها را می‌توان مستقیماً جمع‌ آوری کرد، اما استفاده از ابزاری مانند BloodHound  این کار را بسیار آسان‌ تر می کند. سپس موارد زیر را انجام دهید:

اکتیور دایرکتوری  Users and Computers را باز کنید

ویژگی های پیشرفته را فعال کنید

مکان هر شیء Domain Controller (کنترل کننده ی دامنه) را بر اساس لیست انتخاب کرده و روی آن کلیک راست کرده و «Properties»، سپس «Security»، سپس «Advanced» و سپس «Change» را انتخاب کنید.

مالک هر شیء Domain Controller (کنترل کننده ی دامنه)  را به گروه Domain Admins (ادمین های دامنه ) تغییر دهید.

اکنون فقط ادمین های دامنه به این اشیاء همانطور که در نظر گرفته شده است دسترسی دارند.

برای ادامه تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری فراتر از اصول اولیه، سازمان ها باید از روشی مانند مدیریت مسیر حمله برای اندازه گیری میزان قرار گرفتن در معرض خطر کلی سازمان ها استفاده کنند.

تیم‌ها این امکان را پیدا می کنند تا تمام مسیرهای حمله ممکن را ترسیم کنند، «نقاط انسداد» با ارزش را شناسایی کنند، یعنی جایی که یک اصلاح واحد می‌تواند بسیاری از مسیرهای حمله را حذف کند، و رفع این مشکلات را بر اساس خطرشان در اولویت قرار دهند.

جمع بندی

با وجود همه ی توضیحات داده شده، حتی اگر سازمانی تصمیم بگیرد که امنیت را در اولویت قرار ندهد، راه حل سریع توضیح داده شده در بالا به میزان قابل توجهی آسیب پذیری آنها را در برابر مسیرهای حمله هویت کاهش می دهد. بهتر است با متخصصان بیشتری در زمینه تنظیمات امنیتی در مایکروسافت اکتیو دایرکتوری مشورت کنید تا خطرات احتمالی را به حداقل کاهش دهید.