در چند سال اخیر، حملات سایبری که اکتیو دایرکتوری (AD) را هدف قرار می دهند، افزایش یافته است. این به دلیل منسوخ شدن معماری Active Directory است که توسط اکثر شرکت های بزرگ بیش از 10 سال پیش به کار گرفته شده است. در آن زمان، نگرانی ها در مورد امنیت سایبری مانند امروز نبود و در نتیجه، معماری فعلی به شدت در برابر حملات سایبری آسیب پذیر است. شایان ذکر است که معماری صرفاً بر اساس DIT (درخت اطلاعات فهرست) است که مدل تفویض مدیریت و منطق برنامه برای GPOها است. در طول سال ها، اکتیو دایرکتوری دستخوش تغییرات متعددی شده است. به عنوان مثال، مایکروسافت تغییرات مختلفی را در معماری – بدون در نظر گرفتن امنیت – توصیه کرد و با گذشت زمان این تغییرات منجر به مشکلات پیکربندی و در نتیجه چندین برابر شدن آسیبپذیریها شده است. علاوه بر این، اقدامات بد امنیت سایبری، مانند استفاده از رمزهای عبور ضعیف یا یکسان برای چندین برنامه، اکتیو دایرکتوری را بیشتر افشا کرده است.
بنابراین، ایمن سازی اکتیو دایرکتوری تبدیل به یک بازی فکری واقعی برای شرکت هایی می شود که در مواجهه با حجم کار به سادگی “تسلیم” شده اند. با این حال، Active Directory مرکز عصبی IS یک شرکت است. AD همه ایستگاه های کاری ویندوز و کاربران آنها را فهرست می کند و مکانیسم های لازم را برای شناسایی و احراز هویت آنها ارائه می کند. بنابراین درک اینکه چرا AD یک هدف اصلی برای هکرها است آسان است. اگر یک فرد مخرب موفق شود با سرقت نام کاربری و رمز عبور، کنترل حساب های کاربری و به ویژه مدیران سیستم (کاربران ریشه) که دارای امتیازات کامل هستند را در دست بگیرد، این شخص به تمام داده های شرکت از جمله حساس ترین آنها دسترسی خواهد داشت. به عنوان مثال قادر به راه اندازی یک حمله باج افزار خواهد بود.
NIST (استانداردها و فناوری مؤسسه ملی ایالات متحده) از سال 2017 در حال افزایش آگاهی در بین شرکت ها از طریق توصیه هایی برای ایمن سازی AD است. با این حال، حملات سایبری علیه اکتیو دایرکتوری افزایش یافته است، مانند حمله به بیمارستان دانشگاه روئن (فرانسه) در سال 2019. یک باج افزار که با افزایش امتیازات از طریق حساب های AD بیمارستان منتشر شده است. داعش را برای چند روز فلج کرد.
چگونه از اکتیو دایرکتوری محافظت کنیم؟
برای ایمن سازی موثر AD، NIST و مایکروسافت توصیه می کنند که مدیران IS شرکت یک حساب کاربری خاص در AD داشته باشند، متفاوت از حساب سرپرست “عادی” آنها. بنابراین، مدیر با یک جفت شناسه/رمز عبور منحصر به فرد، در ایستگاه کاری که به مدیریت اختصاص داده شده است و از آنجا فقط می تواند AD را مدیریت کند (بدون اتصال به اینترنت و بدون برنامه دیگر) وارد سیستم می شود. این امر سرقت اعتبار و رمز عبور را به شدت محدود می کند و در نتیجه سطح امنیت را افزایش می دهد.
سپس، برای تقویت امنیت، معماری بهینه اکتیو دایرکتوری مطابق با مایکروسافت بر اساس ایجاد 3 سیلو مدیریت است:
سیلویی به نام Tier-0 برای مدیریت منابع IS حیاتی (AD، سرورهای به روز رسانی، ایستگاه های کاری سرپرست و غیره).
سیلویی به نام Tier-1 برای منابع حیاتی IS (سرورهای پست الکترونیکی، سرورهای تجاری و غیره).
سیلو Tier-2 برای منابع غیر حیاتی (ایستگاه های کاری کاربر، چاپگرها و غیره).
با این معماری، زمانی که کاربر سعی می کند به یک ایستگاه کاری متصل شود، AD بررسی می کند که آیا او حقوق لازم برای انجام این کار را دارد یا خیر. بنابراین، یک مدیر Tier-0 نمی تواند به یک ایستگاه کاری Tier-2 متصل شود.
پس از انجام این تایید و تایید، ویندوز رمز عبور کاربر را می خواهد. این اصل عدم انتشار رمزهای عبور را تضمین می کند. آنها را نمی توان در خارج از سیلو استفاده کرد.
با این حال، با وجود همه اینها، خطر سرقت هویت هنوز برطرف نشده است. تنها پاسخ این است که یک راه حل مدیریت حساب ممتاز را پیاده سازی کنید که یک لایه امنیتی اضافی را فراهم می کند و حفاظت از داده ها را تضمین می کند.
این معماری متناسب با زیرساخت های داخلی است. مدل جدید مایکروسافت برای ایمن کردن دسترسی ممتاز، اگرچه بیشتر مبتنی بر ابر است، با این رویکرد سازگار است: این فقط یک تنظیم دقیق است.
WALLIX Bastion، برای تقویت ایمن اکتیو دایرکتوری
WALLIX Bastion، راه حل پیشرو مدیریت حساب ممتاز (PAM) در مجموعه راه حل های یکپارچه WALLIX از Active Directory 1300 سازمان در سراسر جهان، از جمله بسیاری از OIV ها، OSE ها و مدیریت ها محافظت می کند.
به طور خاص، WALLIX Bastion با ادغام در معماری سیلو، امنیت AD را تقویت می کند. می توان سیلوها را به دو بخش تقسیم کرد: منابع فناوری اطلاعات از یک طرف و کاربران (از جمله مدیران) از طرف دیگر. WALLIX Bastion دسترسی به این منابع IT را مدیریت می کند، به این معنی که مدیر مستقیماً به Active Directory متصل نمی شود بلکه به طور غیر مستقیم از طریق WALLIX Bastion به آن دسترسی دارد. فقط WALLIX Bastion نامهای کاربری و رمزهای عبور لازم برای این اتصال را دارد: حتی مدیر آنها را نمیداند. علاوه بر این، WALLIX Bastion تمام اقدامات انجام شده را ثبت می کند، که امکان ردیابی کامل اقدامات انجام شده در AD (و به طور کلی تر در IS) و مداخله در صورت رفتار مشکوک را فراهم می کند.