Защита Windows 2000 Active Directory (часть 1)

Опубликовано: 14 Апреля, 2023

Защита целостности Active Directory имеет первостепенное значение. Эта статья будет посвящена безопасности Active Directory и будет состоять из двух частей. (Если вы хотите получать электронное письмо, когда будет выпущена часть 2 этой статьи, подпишитесь на обновления статей WindowSecurity.com в режиме реального времени на нашей странице подписки на рассылку новостей). Active Directory — это хранилище информации Windows 2000, которое должно быть очень безопасным. Active Directory имеет жизненно важные сервисные зависимости, такие как DNS, которые изменяют объем того, что необходимо для обеспечения безопасности. Я сосредоточусь на действиях, которые вы можете предпринять для защиты службы Active Directory.

Следующие рекомендации необходимо протестировать в лабораторной среде, прежде чем применять их в производственной среде. Пожалуйста, полностью осознайте последствия реализации этих рекомендаций и влияние, которое они могут оказать на вашу среду.

Ограничить доступ

Разрешайте только администраторам, которые хорошо разбираются в активном каталоге, иметь полный административный доступ к активному каталогу. Имейте политики, которые принудительно создают полные резервные копии системы активного каталога и всех соответствующих контроллеров домена. У вас должна быть полная резервная копия, которую можно восстановить до того момента, когда было применено изменение конфигурации. Это обеспечивает контрольную точку, которая возвращает вас до того, как были сделаны какие-либо изменения в активном каталоге или базовых службах. Вы можете протестировать изменения в активном каталоге в лабораторной среде, прежде чем запускать их на рабочих серверах, и этот подход настоятельно рекомендуется. Если ваша организация недостаточно велика, чтобы иметь лабораторную среду, вы можете создать тестовую среду, которая не обязательно должна состоять из более чем трех настольных компьютеров под управлением VMware. Используя эту систему, вы сможете точно воспроизвести живую среду.

DNS-сервер активного каталога

Active Directory использует DNS для поиска служб на других хостах, на которые могут полагаться пользователи сети. Отказ DNS-сервера приведет к катастрофическим последствиям. Причина неправильной связи DNS будет вызвана службой Active Directory, когда она пытается преобразовать FQDN (полное доменное имя) в IP-адрес при обнаружении сетевого ресурса. Кроме того, зоны DNS и узлы DNS хранятся в активном каталоге, и очень важно, чтобы и активный каталог, и DNS рассматривались с одинаковой важностью при целостном определении вашей стратегии безопасности.

Рекомендации:

1. Используйте динамические обновления зон, чтобы распространение происходило в рамках схемы репликации с несколькими мастерами. Эта рекомендация позволит избежать единой точки отказа при защите вашего проекта DNS и гарантировать, что новые контроллеры домена будут знать о новых зонах DNS, которые могут быть добавлены в активный каталог.

Изображение 26292

.

2. Убедитесь, что включена опция безопасных обновлений DNS, которая будет шифровать всю передачу DNS в локальной сети.

3. После создания группы администраторов DNS разрешите администрирование DNS только этой группе.

4. Зарегистрируйте все события DNS, чтобы упростить выявление потенциальных нарушений.

Изображение 26293

Изображение 26294

Убедитесь, что группа «все» не входит в группу доступа, совместимого с версиями до Windows 2000, которая разрешает анонимные подключения к серверу. Вместо этого создайте группу пользователей и добавьте пользователей вашей сети в эту группу.  Это предотвратит подключение посторонних людей к вашей сети и просмотр ваших серверов.  Предупреждение: группа «все» может представлять серьезную угрозу для организации, если эта группа используется неправильно.  Вместо того, чтобы разрешить использование этой группы по умолчанию в ваших ACL (списках управления доступом), удалите группу «все» и явно добавьте указанного пользователя.

Режим восстановления служб каталогов

Защитите пароль администратора, который используется для восстановления базы данных Active Directory из резервной копии. Файл базы данных, который вы будете защищать, называется ntds.dit. NTFS обеспечивает уровень безопасности, помогающий защитить этот файл.

Защитите встроенную учетную запись администратора.

Учетная запись администратора по умолчанию имеет полный доступ, она также может стать владельцем любого объекта в домене, членство в группе администраторов домена должно контролироваться и не должно принадлежать к OU, которые управляют элементами поддомена дерева каталогов.  Рекомендуется переименовать учетную запись администратора.  Затем создайте другую учетную запись с именем администратора, эта учетная запись должна иметь самые низкие разрешения в сети.  Эта стратегия гарантирует, что если хакер завладеет вашей учетной записью администратора, он получит самую низкую форму привилегий, доступных в вашей сети.

Организационные подразделения

После установки Active Directory вы должны переместить объекты пользователей и компьютеров в соответствующие OU в приоритетном порядке. Это гарантирует, что объекты пользователя и компьютера будут иметь разрешения, которые им должны быть назначены. Если вы не хотите отображать некоторые объекты Active Directory, вы сможете скрыть их от пользователей, а также отключить разрешение списка для обычных пользователей. Примечание: злоумышленник может использовать стратегию скрытия OU против вас. Регулярно проводите тщательную проверку всех своих организационных единиц.

Удалите объект OU, который отображается без значка, который вы не создавали. Всегда четко маркируйте свои OU, это поможет вам определить, была ли OU создана злоумышленником.

Чтобы просмотреть скрытые организационные единицы:

Изображение 26295

Скрытие OU от пользователей:

Изображение 26296

1.

Изображение 26297

2.

Изображение 26298

3.

Резюме:

Эта статья была написана в двух частях и завершена только после прочтения следующей части 2. (Если вы хотите получать электронное письмо, когда будет выпущена часть 2 этой статьи, подпишитесь на обновления статей WindowSecurity.com в реальном времени из нашего информационного бюллетеня. страницу подписки). Знание того, что ваш активный каталог закрыт от любопытных глаз злоумышленников, успокаивает. Для этого требуется постоянный мониторинг AD. В следующей статье будет важная информация, которая поможет вам в дальнейшей защите Active Directory.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023