Med tanke på att katalogtjänsten Active Directory (AD) håller koll på alla användare, alla behörigheter och rättigheter samt all utrustning i Windows-baserade företagsnätverk är det svårt att tillräckligt understryka hur viktigt det är att skydda den från angripare. Faktum är att om en angripare vet vad han eller hon ska leta efter så kan AD vara som en öppen bok som kan göra det enkelt att ta sig runt i nätverket. Efter flera år i säkerhetsbranschen, vet jag att det lyckligtvis finns effektiva sätt att skydda AD. Men det gäller att ta hänsyn till flera aspekter.
Förstå ADs roll i helheten
Om du blir attackerad kommer AD att påverkas. På grund av ADs roll i nätverket kan det ibland till och med vara det första målet. Eftersom de flesta medelstora till stora företag kör AD är det osannolikt att detta kommer att förändras den närmsta tiden. När angripare kommer in i systemet kan de använda AD för att nå sina mål. Intressanta personer, system, felaktiga konfigurationer – allt är synligt. För att kunna skydda systemen är det viktigt att vara medveten om detta. Smarta angripare vet också att det finns gott om konton utan relevanta behörighetinställningar. En vanlig användare som har tillgång till en databas som innehåller personligt identifierbar information kan vara lika intressant för en angripare som ett domänadministratörskonto.
Tänk som en hackare
Daniel Wingenblixt, Nordenchef, Semperis
Många tror att attacker i princip alltid är automatiserade. Det stämmer inte. Angripare lägger mycket tid på att studera miljön och leta efter mönster och konfigurationer som exempelvis privilegierade grupper eller viktiga resurser. De kör skript för att leta efter säkerhetshål och gör antaganden om hur verksamheter använder sin katalogtjänst. Det finns många exempel på sofistikerade attacker, exempelvis SolarWinds-attacken. Men faktum är att de flesta angripare är inte så avancerat utformade. Sannolikheten för att drabbas av en avancerad attack snarare än att bli måltavla för en opportunist är ganska låg. De flesta angripare som använder utpressningstrojaner, särskilt de som köper utpressningstrojaner som en tjänst (RaaS), är helt enkelt ute efter snabba pengar. De använder grundläggande kommandon, utnyttjar kända säkerhetshål och använder enkla attackvägar för att samla in information. Många angripare tenderar att vara ganska lata och det är just därför du måste tvinga dem att jobba hårt. Locka in dem i fällor där de luras att göra misstag som är lätta att upptäcka, ge dem falska mål och implementera försvar som gör det svårt för dem. Förr eller senare kommer många att lämna dig ifred då de inte tycker det är värt ansträngningen.
Överväg att använda något annat än grupprinciper (ibland)
Inom AD kan grupprincipobjekt (GPO:er) användas i säkerhetsyfte. Realistiskt sett är domändatorer de enda enheter som behöver läsa GPO:er. Autentiserade användare behöver generellt inte åtkomst. Genom att begränsa användarnas åtkomst kan du minska synligheten för angripare. Ett annat alternativ är att använda icke-standardtekniker i stället för GPO:er. Alla angripare tittar på standardinställningen för domänprinciper för att avgöra hur du ställer in din lösenordsprincip. Om du använder en detaljerad lösenordsprincip i stället vet angriparen inte var de ska leta.
Organisera kring allt som rör åtkomst
Alla standardråd för lösenord gäller även för AD. Skapa komplicerade lösenord, lagra dem säkert och byt ut lösenorden regelbundet. Om du strävar efter säkerhet kan du även införa ytterligare regelverk:
- Lösenord för grupprincipsinställningar bör inte finnas någonstans i SYSVOL. De är till hjälp för angripare.
- Behandla alla konton med tjänstens huvudnamn som högt privilegierade och säkra dem i enlighet med detta.
- Gå över till grupphanterade tjänstkonton. Om det inte är möjligt ska du se till att tjänstkonton inte är privilegierade.
Inaktivera NTLM
I stort är NTLM (New Technology Lan Manager) roten till allt ont i Windows och Active Directory. Nyligen upptäckta DFSCoerce är till exempel en Windows NTLM-attack. Att inaktivera NTLM innebär inte att du blir av med alla problem, men många av dem kan åtgärdas av detta. De flesta organisationer är dock ovilliga att inaktivera NTLM då de är rädda för vad de kan förstöra. Du kan börja med att aktivera granskning inom grupprincipen på dina domänkontrollanter för att få insikt i hur mycket NTLM-aktivitet som sker i domänmiljön. Ju mer du kan inaktivera, desto mer skyddar du AD.
Säkerhet är ett pågående arbete och med detta dessa tips kan du bli betydligt bättre på att skydda AD. Använd gärna dessa strategier i praktiken – ju förr, desto bättre.
Daniel Wingenblixt, Nordenchef, Semperis
