Molte organizzazioni fanno fatica a per proteggere i loro sistemi perché la loro Active Directory è già compromessa. A livello statistico AD risulta essere compromessa nella maggioranza dei casi dai cosiddetti Insiders. Non esiste una definizione unica di insider: ai fini dell’articolo considereremo “insider threat” un individuo o un programma che sfrutta la sua posizione interna al sistema per commettere azioni malevole. Quindi, come mantenere l’ambiente protetto anche quando un account privilegiato è stato violato?

In ambito Windows Server troviamo alcune funzionalità spesso sottovalutate che ci permettono di tenere sotto controllo la gestione dei permessi e delle attività relativamente a quelle che sono utenze di tipo amministrativo e che quindi potrebbero permettersi di eseguire qualsiasi operazioni sui sistemi connessi alla rete ed agganciati al dominio Active Directory.

Sicurezza Active Directory

Vediamo quali sono le 7 funzionalità che ci permettono di difendere al meglio il nostro ambiente AD.

User Rights:

I diritti utente determinano quali attività possono essere completate da un account utente. Le best practices richiedono l’assegnazione dei diritti dell’utente in conformità con il principio del minimo privilegio, ovvero ogni utente dovrebbe avere i diritti minimi richiesti al fine di portare a termine il loro compito assegnato. Questo limita il danno che il proprietario dell’account può fare, intenzionalmente o accidentalmente, e inoltre riduce al minimo la portata di un attaccante che ottiene il controllo di un account.

E’ buona norma quella di assegnare gli utenti direttamente aggiungendoli ai gruppi a cui sono state assegnate le autorizzazioni appropriate.È anche possibile assegnare diritti di account utente anche tramite i diritti in Criteri di gruppo (Group Policy), ma questo è sconsigliato perché rende difficile tenere traccia delle autorizzazioni e aderire al principio dei minimi privilegi.

Sfortunatamente, le organizzazioni tendono a concedere più privilegi rispetto a quelli di cui hanno effettivamente bisogno perché è conveniente – è più facile aggiungere un account al gruppo Administrators locale di una macchina, per esempio, piuttosto che capire il preciso set di privilegi di cui l’account ha bisogno e aggiungere l’utente ai gruppi appropriati. Inoltre la mancanza di comunicazione e procedure standard, spesso contribuiscono alla mancata revoca dei privilegi gli utenti non hanno più bisogno, nel momento in cui cambiano i ruoli all’interno dell’organizzazione. Di conseguenza, queste organizzazioni sono esposte a rischio di perdita di dati, tempi di inattività e errori di conformità.

Delegation of Control wizard:

Le organizzazioni spesso vogliono abilitare determinati membri del personale ad eseguire compiti amministrativi specifici senza dare loro pieno privilegio amministrativo. Ad esempio, potrebbero desiderare di consentire al personale delle operazioni IT di reimpostare le password degli utenti ma non creare o eliminare account. Per aiutare, Microsoft Windows Server 2016 offre la procedura guidata Delega di controllo, che consente di delegare i seguenti privilegi:

  • Create, delete, and manage user accounts
  • Reset user passwords and force password change at next logon
  • Read all user information
  • Create, delete, and manage groups
  • Change group membership
  • Manage Group Policy links
  • Generate Resultant Set of Policy (Planning)
  • Generate Resultant Set of Policy (Logging)
  • Create, delete, and manage inetOrgPerson accounts
  • Read all inetOrgPerson information

deleghe_in_Active_Directory

Privileged Access Workstation (PAW):

Un’altra parte integrante della protezione di un ambiente consiste nell’effettuare le azioni amministrative effettuare dagli amministratori IT solamente tramite Server Windows sicuri per le attività che effettivamente richiedono privilegi amministrativi. Gli IT Admins dovrebbero utilizzare altre macchine per le attività quotidiane, come la navigazione in Internet, rispondere alle e-mail e aprire i file creati da altre persone, dal momento che tali azioni aumentano il rischio di un host essere compromesso.

Una workstation con accesso privilegiato (PAW), è un computer speciale che viene utilizzato solo per eseguirecompiti privilegiati. Per creare un PAW, è necessario:

  • Assicurarsi che solo gli utenti autorizzati possano accedere all’host.
  • Utilizzare i criteri Device Guard e AppLocker per limitare l’applicazione esecuzione su applicazioni attendibili trustate a livello di organizzazione 
  • Abilitare la protezione delle credenziali di Windows Defender per proteggere contro il furto di credenziali.
  • Abilitare BitLocker per proteggere l’ambiente di boot e le unità disco rigido dalla manomissione.
  • Assicurarsi che il PC PAW sia bloccato dall’accesso a tutti gli esterni siti dal firewall di rete perimetrale.
  • Bloccare Remote Desktop Protocol (RDP), Windows PowerShell e della console di gestione da qualsiasi computer che non è un PAW.

Just Enough Administration (JEA):

Just Enough Administration è una nuova tecnologia amministrativa che ti consente di applicare il controllo degli accessi basato sui ruoli (RBAC) tramite sessioni remote di Windows PowerShell. Invece di assegnare ruoli generali agli utenti che concedono loro più permessi di quelli di cui hanno effettivamente bisogno di fare il loro lavoro, puoi usare JEA per configurare Windows PowerShell come speciale endpoint, al fine di fornire le funzionalità necessarie per l’esecuzione un’attività specifica: un utente autorizzato può connettersi a l’endpoint e utilizzare un set specifico di Windows PowerShell cmdlet, parametri e valori dei parametri. I compiti sono eseguito da un account virtuale privilegiato, piuttosto che dall’account dell’utente.

Securing domain controllers:

I controller di dominio sono uno degli obiettivi più preziosi su una rete; un attaccante che compromette una DC ha il controllo di tutte le identità di dominio. Per proteggere i tuoi DC, prendi in considerazione l’assunzione i seguenti passaggi:

  • Assicurarsi che tutti i controller di dominio siano aggiornati a livello patch
  • Mantenere i controller di dominio distribuiti fisicamente in rack sicuri dedicati e separati da altri server.
  • Distribuire i controller di dominio su hardware che include a Chip TPM (Trusted Platform Module) e configurare tutti i volumi con Crittografia unità BitLocker.
  • Utilizzare Security Compliance Manager per applicare la configurazione linee di base ai controller di dominio.
  • Usa AppLocker e Device Guard per controllare l’esecuzione di file eseguibili e script sui controller di dominio.
  • Configurare il firewall perimetrale per bloccare le connessioni in uscita dai controller di dominio a Internet.
  • Utilizzare i Criteri di gruppo assegnati ai controller di dominio OU per assicurare che le connessioni RDP possano essere fatte solo dalle workstation con accesso privilegiato.
  • Distribuire i controller di dominio utilizzando l’installazione “Server Core” opzione piuttosto che tramite la solita GUI.

 Enhanced Security Administrative Environment (ESAE) forests:

Un ambiente amministrativo avanzato per la sicurezza (ESAE) foresta, anche chiamata “foresta rossa”, è una speciale foresta Active Directory che ospita account con privilegi. Il posizionare tutti gli account privilegiati in una foresta ESAE rende più facile l’applicazione di più politiche restrittive per proteggerli. Una foresta ESAE è configurata con una relazione di fiducia unidirezionale con la Foresta di produzione – gli account della foresta ESAE possono essere utilizzati nel foresta di produzione, ma gli account nella foresta di produzione non possono essere utilizzati nella foresta ESAE. La Forest di Produzione è configurata in modo tale che le attività amministrative possano essere eseguite solo da account ospitati nella foresta ESAE.

Microsoft Identity Manager (MIM):

I Servizi di dominio Active Directory (AD DS) consentono di creare, modificare ed eliminare account utente, ma forniscono pochissimi strumenti per automatizzare la gestione del ciclo di vita degli account. MIM (Microsoft Identity Manager) è un prodotto che colma questa lacuna. Ad esempio, con MIM, è possibile consentire agli utenti di utilizzare un portale self-service reimpostare le proprie password e consentire la sincronizzazione delle identità tra i tuoi archivi di identità locali e quelli nelle applicazioni cloud.

Microsoft_Identity_Manager