Procedure consigliate per la protezione di Active Directory

Gli attacchi contro l'infrastruttura di calcolo sono aumentati nell'ultimo decennio ovunque nel mondo. Viviamo in un'epoca di cyber-guerra, cybercrime e hacktivismo. Di conseguenza, le organizzazioni di tutte le dimensioni di tutto il mondo hanno dovuto gestire le perdite di informazioni, il furto di proprietà intellettuale (IP), attacchi Denial of Service (DDoS) o persino l'infrastruttura distrutta.

Tuttavia, poiché il panorama delle minacce è cambiato nel corso degli anni, anche il panorama della sicurezza si è adattato per contrastare queste minacce. Sebbene nessuna organizzazione con un'infrastruttura IT (Information Technology) sia mai perfettamente immune agli attacchi, l'obiettivo finale della sicurezza non impedisce del tutto i tentativi di attacco, ma protegge l'infrastruttura IT dagli attacchi. Con i criteri, i processi e i controlli corretti, è possibile proteggere le parti chiave dell'infrastruttura IT da eventuali compromissioni.

In questo articolo, vengono illustrati i tipi di vulnerabilità più comuni osservati nelle distribuzioni di Active Directory (AD). Successivamente, vi armeremo con raccomandazioni su come proteggere questi punti deboli da eventuali compromissioni. Queste raccomandazioni sono state progettate in base alle competenze delle organizzazioni Microsoft IT (MSIT) e Microsoft Information Security and Risk Management (ISRM). Mostreremo anche i passaggi da eseguire per ridurre la quantità di infrastruttura vulnerabile, o superficie di attacco sull'AD che viene esposta al mondo esterno. Sono inclusi anche suggerimenti su come ripristinare i dati vitali e la funzione dell'infrastruttura in caso di compromissione della sicurezza.

Vulnerabilità di sicurezza comuni

Per imparare a proteggere al meglio l'infrastruttura, è prima necessario capire dove sono più probabili attacchi e come funzionano. Questo articolo illustra solo le raccomandazioni generali, ma se si desidera approfondire i dettagli, sono stati inclusi collegamenti ad articoli più approfonditi.

Verranno ora esaminate le vulnerabilità di sicurezza più comuni.

Punti di ingresso comuni

Gli obiettivi iniziali di violazione, o i punti di ingresso, sono aree in cui gli utenti malintenzionati possono accedere più facilmente all'infrastruttura IT. I punti di ingresso sono in genere gap nella sicurezza o negli aggiornamenti che gli utenti malintenzionati possono sfruttare per ottenere l'accesso a un sistema all'interno dell'infrastruttura. Gli utenti malintenzionati iniziano in genere con uno o due sistemi alla volta, quindi inoltrano l'attacco man mano che distribuiscono la loro influenza in più sistemi non rilevati.

Le vulnerabilità più comuni sono le seguenti:

  • Lacune nelle distribuzioni antivirus e antimalware

  • Patch incomplete

  • Applicazioni e sistemi operativi obsoleti

  • Errore di configurazione

  • Mancanza di procedure di sviluppo di applicazioni sicure

Furto di credenziali

I furti di credenziali avvengono quando un utente malintenzionato ottiene l'accesso con privilegi a un computer in una rete usando strumenti per reperire le credenziali dalle sessioni di account attualmente connessi. I malintenzionati spesso usano account specifici che hanno già privilegi elevati. Il malintenzionato ruba le credenziali di questo account per poter simulare la propria identità e ottenere l'accesso al sistema.

I ladri di credenziali sono in genere interessati a questi tipi di account:

  • Account con privilegi permanenti

  • Account VIP

  • Account di Active Directory collegati con privilegi

  • Controller di dominio

  • Altri servizi di infrastruttura che influiscono sulla gestione delle identità, dell'accesso e della configurazione, ad esempio i server dell'infrastruttura a chiave pubblica (PKI) o i server di gestione dei sistemi

Gli utenti con account con privilegi elevati aumentano il rischio di furto delle credenziali impegnandosi nei comportamenti seguenti:

  • Accedere ai propri account privilegiati su computer non protetti

  • Navigazione in Internet durante l'accesso a un account con privilegi

È anche consigliabile evitare configurazioni scarse e rischiose per proteggere la sicurezza delle credenziali del sistema, ad esempio:

  • Configurazione di account con privilegi locali con le stesse credenziali in tutti i sistemi.

  • Assegnare troppi utenti a gruppi di dominio con privilegi, incoraggiare l'uso eccessivo.

  • Gestione insufficiente della sicurezza del controller di dominio.

Per maggiori informazioni sugli account vulnerabili, consultare la sezione Account interessanti dal furto di credenziali.

Riduzione della superficie di attacco di Active Directory

È possibile evitare gli attacchi riducendo la superficie di attacco nella distribuzione di Active Directory. In altre parole, la distribuzione è più sicura colmando le lacune di sicurezza menzionate nella sezione precedente.

Evitare di concedere privilegi eccessivi

Il furto di credenziali dipende dagli amministratori che concedono a determinati account privilegi eccessivi. È possibile prevenire questi attacchi eseguendo le operazioni seguenti:

  • Si tenga presente che esistono tre gruppi predefiniti che dispongono di privilegi più elevati in Active Directory per impostazione predefinita: Admin Enterprise, Amministratori di dominio e Amministratori. Assicurarsi di adottare misure per proteggere questi tre gruppi, insieme a tutti gli altri gruppi a cui l'organizzazione ha concesso privilegi elevati.

  • Implementare un modello amministrativo con privilegi minimi Non usare account con privilegi elevati per le attività amministrative quotidiane, se è possibile evitarlo. Assicurarsi inoltre che gli account amministratore abbiano solo i privilegi di base necessari per svolgere le proprie attività, senza privilegi aggiuntivi non necessari. Evitare di concedere privilegi eccessivi agli account utente che non ne hanno bisogno. Assicurarsi di non concedere accidentalmente a un account gli stessi privilegi nei sistemi, a meno che non siano assolutamente necessari.

  • Controllare le aree seguenti dell'infrastruttura per assicurarsi di non concedere privilegi eccessivi agli account utente:

    • Active Directory

    • Server membri

    • Workstation

    • Applicazioni

    • Repository di dati

Per maggiori informazioni, consultare la sezione Implementazione di modelli amministrativi con privilegi minimi.

Usare host amministrativi sicuri

Gli host amministrativi sicuri sono computer configurati per supportare l'amministrazione per Active Directory e altri sistemi connessi. Questi host non eseguono software non amministrativi, ad esempio, applicazioni di posta elettronica, Web browser o software di produttività come Microsoft Office.

Quando si configura un host amministrativo sicuro, è necessario seguire questi principi generali:

  • Non amministrare mai un sistema attendibile da un host meno attendibile.

  • Richiedere l'autenticazione a più fattori quando si usano account con privilegi o si eseguono attività amministrative.

  • La sicurezza fisica per gli host amministrativi è importante quanto la sicurezza di sistema e di rete.

Per maggiori informazioni, consultare la sezione Implementazione di host amministrativi sicuri.

Mantenere protetti i controller di dominio

Se un malintenzionato ottiene l'accesso con privilegi a un controller di dominio, può modificare, danneggiare ed eliminare definitivamente il database di Active Directory. Un attacco al controller di dominio minaccia potenzialmente tutti i sistemi e gli account gestiti da AD all'interno dell'organizzazione. È quindi importante adottare le misure seguenti per proteggere i controller di dominio:

  • Mantenere i controller di dominio fisicamente protetti all'interno dei data center, delle succursali e delle posizioni remote.

  • Acquisire familiarità con il sistema operativo del controller di dominio.

  • Configurare i controller di dominio con strumenti di configurazione predefiniti e liberamente disponibili per rendere le baseline di configurazione della sicurezza che è possibile applicare con oggetti Criteri di gruppo (GPO).

Per maggiori informazioni, consultare la sezione Protezione dei controller di dominio dagli attacchi.

Monitoraggio dei segnali di attacco o compromissione di Active Directory

Un altro modo per proteggere la distribuzione di Active Directory consiste nel monitorarla per individuare eventuali segnali di attacchi dannosi o compromissioni della sicurezza. È possibile usare le categorie di controllo legacy e le sottocategorie dei criteri di controllo oppure usare Criteri di controllo avanzati. Per maggiori informazioni, consultare la sezione Raccomandazioni sui criteri di controllo.

Pianificare azioni in caso di infrazioni della sicurezza

Anche se si è in grado di proteggere il proprio AD dagli attacchi esterni, nessuna difesa è mai perfetta. È importante anche adottare misure preventive pianificate anche per scenari peggiori. Quando si prevedono infrazioni della sicurezza, è consigliabile seguire le linee guida riportate in Pianificazione di azioni in caso di infrazioni, in particolare nella sezione Ripensare l'approccio, vedere Anche Gestire un ambiente più sicuro.

Di seguito è riportato un breve riepilogo delle operazioni da eseguire durante la pianificazione delle azioni in caso di infrazioni della sicurezza, come descritto più dettagliatamente in Gestione di un ambiente più sicuro:

  • Mantenere un ambiente più protetto

  • Creare procedure di sicurezza incentrate sul business per AD

  • Assegnare la proprietà aziendale ai dati di AD

  • Implementare una gestione del ciclo di vita basata sul business

  • Classificare tutti i dati di AD come sistemi, applicazioni o utenti

Per ulteriori dettagli su queste procedure, consultare la sezione Gestione di un ambiente più sicuro.

Tabella di riepilogo delle misure di sicurezza

La tabella seguente riepiloga le raccomandazioni elencate in questo articolo, elencate in ordine di priorità. Quelle più vicini alla parte inferiore della tabella sono quelle per cui l'utente e l'organizzazione devono definire la priorità durante la configurazione di Active Directory. Tuttavia, è anche possibile modificare l'ordine di priorità e il modo di implementare ogni misura in base alle esigenze specifiche dell'organizzazione.

Ogni misura viene inoltre categorizzata in base al fatto che sia tattica, strategica, preventiva o investigativa. Le misure tattiche si concentrano su componenti specifici di AD e qualsiasi infrastruttura correlata. Le misure strategiche sono più complete e pertanto richiedono una maggiore pianificazione dell'attuazione. Le misure preventive impediscono attacchi da malintenzionati. Le misure investigative consentono di rilevare eventuali infrazioni della sicurezza man mano che si verificano, prima che possano essere distribuite in altri sistemi.

Misura di sicurezza Tattiche o strategiche Preventive o investigative
Applicare patch alle applicazioni. Tattico Preventiva
Applicare patch ai sistemi operativi. Tattico Preventiva
Distribuire e aggiornare tempestivamente il software antivirus e antimalware in tutti i sistemi e monitorare i tentativi di rimuoverlo o disabilitarlo. Tattico Entrambi
Monitorare gli oggetti sensibili di Active Directory per i tentativi di modifica e Windows per gli eventi che potrebbero indicare un tentativo di compromissione. Tattico Rilevamento
Proteggere e monitorare gli account per gli utenti che hanno accesso ai dati sensibili Tattico Entrambi
Impedire l'uso di account avanzati in sistemi non autorizzati. Tattico Preventiva
Eliminare l'appartenenza permanente a gruppi con privilegi elevati. Tattico Preventiva
Implementare i controlli per concedere l'appartenenza temporanea ai gruppi con privilegi quando necessario. Tattico Preventiva
Implementare host amministrativi protetti. Tattico Preventiva
Usare gli elenchi consentiti dell'applicazione nei controller di dominio, negli host amministrativi e in altri sistemi sensibili. Tattico Preventiva
Identificare gli asset critici e classificare in ordine di priorità la sicurezza e il monitoraggio. Tattico Entrambi
Implementare i controlli degli accessi in base al ruolo e con privilegi minimi per l'amministrazione della directory, l'infrastruttura di supporto e i sistemi aggiunti a un dominio. Strategico Preventiva
Isolare i sistemi e le applicazioni legacy. Tattico Preventiva
Rimuovere le autorizzazioni di sistemi e applicazioni legacy. Strategico Preventiva
Implementare programmi del ciclo di vita di sviluppo sicuri per applicazioni personalizzate. Strategico Preventiva
Implementare la gestione della configurazione, esaminare regolarmente la conformità e valutare le impostazioni con ogni nuova versione hardware o software. Strategico Preventiva
Eseguire la migrazione di asset critici in foreste incontaminate con requisiti rigorosi di sicurezza e monitoraggio. Strategico Entrambi
Semplificare la sicurezza per gli utenti finali. Strategico Preventiva
Usare firewall basati su host per controllare e proteggere le comunicazioni. Tattico Preventiva
Applicare patch ai dispositivi. Tattico Preventiva
Implementare la gestione del ciclo di vita incentrato sul business per gli asset IT. Strategico N/D
Creare o aggiornare i piani di ripristino degli eventi imprevisti. Strategico N/D