Per le organizzazioni che utilizzano Active Directory (AD), la protezione dei controller di dominio (DC) è una parte essenziale della sicurezza di AD. I DC sono componenti critici dell'infrastruttura IT. Questi server contengono dati sensibili e legati alla sicurezza, tra cui informazioni sugli account utente, credenziali di autenticazione e oggetti dei Criteri di gruppo (GPO). Naturalmente, la sicurezza dei DC è una parte importante della sicurezza di AD e dell'intera strategia di sicurezza informatica dell'organizzazione.
Cosa rende un server un controller di dominio?
Per creare un server Windows come DC, si installa il ruolo Active Directory Domain Services (AD DS) sul server. Quindi si promuove il server da Server Manager.
Quando si promuove il server, molte delle sue impostazioni originali cambiano. Ad esempio, solo i membri del gruppo di amministrazione in AD possono accedere al DC localmente o tramite Remote Desktop Protocol (RDP).
A differenza di un server Windows non DC, un DC non utilizza utenti e gruppi locali. Il DC utilizza invece solo utenti e gruppi basati su AD. Tuttavia, per impostazione predefinita, i membri del gruppo di amministrazione dei domini in AD sono anche membri del gruppo di amministrazione. Pertanto, qualsiasi account membro del gruppo "Domain Admins" ha il diritto di accedere localmente e tramite RDP a qualsiasi DC dell'organizzazione.
Per motivi di sicurezza, Microsoft sconsiglia di installare il ruolo AD DS e il ruolo Remote Desktop Service (RDS), o terminal server, sullo stesso server.
Chi può accedere ai controller di dominio?
È possibile concedere i diritti di accesso ai DC a utenti o gruppi modificando la GPO predefinita dei controller di dominio in AD o creando e applicando una GPO all'unità organizzativa (OU) dei controller di dominio. Tuttavia, è necessario limitare questi diritti ai soli utenti o gruppi che li richiedono.
Evitare di concedere i diritti di accesso agli account utente standard. Anche se possono verificarsi situazioni in cui utenti non amministratori devono accedere a un DC, tali autorizzazioni possono aumentare il rischio di accesso non autorizzato e di potenziali violazioni della sicurezza.
Tutti i DC sono membri dell'OU Domain Controllers per impostazione predefinita. Pertanto, le modifiche alle GPO che si collegano a tale OU hanno effetto su tutti i DC dell'OU. Concedere a un account utente standard i diritti per l'OU può essenzialmente consentire a quell'utente di accedere a tutti i DC dell'organizzazione, il che non è una buona idea dal punto di vista della sicurezza.
Le grandi organizzazioni spesso creano ruoli dedicati per gli utenti che devono eseguire la manutenzione o gli aggiornamenti delle applicazioni che girano sui DC. Nelle organizzazioni più piccole o nelle filiali, dove i ruoli dedicati non sono disponibili, la tentazione di consentire l'accesso ai DC agli utenti non amministratori potrebbe essere maggiore. Un consiglio caloroso: resisti!
Il pericolo di una configurazione DC errata
Con l'aumento del numero di DC e il cambiamento dei membri del team IT e di sicurezza, aumenta anche il rischio di configurazioni errate e vulnerabilità di sicurezza. In alcuni casi, questa tendenza alla configurazione potrebbe passare inosservata o non essere presa in considerazione, lasciando i DC vulnerabili alle violazioni della sicurezza.
Pertanto, è importante implementare controlli di sicurezza adeguati. Limitare l'accesso a DC agli utenti che ne hanno bisogno per svolgere le proprie mansioni. Ciò può contribuire a ridurre il rischio di accessi non autorizzati e di potenziali violazioni della sicurezza e a rafforzare la sicurezza e l'integrità dei sistemi IT e dei dati dell'organizzazione.
Minacce alla sicurezza dei controller di dominio
C'è un termine per definire ciò che accade quando un aggressore ottiene l'accesso a un DC dell'organizzazione: game over.
Compromettendo un DC, gli aggressori possono ottenere l'accesso alle informazioni sensibili presenti su quel DC. Potrebbero inoltre accedere ad altri sistemi e dati all'interno dell'organizzazione. Gli attori delle minacce con accesso al DC possono potenzialmente:
- Rubare informazioni sensibili come le credenziali degli utenti, consentendo loro di accedere ad altri sistemi e dati all'interno dell'organizzazione e di effettuare spostamenti laterali.
- Creare nuovi account utente con privilegi amministrativi, per avere un maggiore controllo sui sistemi IT e sui dati dell'organizzazione.
- Elevare i privilegi, consentendo loro di aggirare i controlli di sicurezza e di accedere a dati sensibili.
- Diffondere malware o virus ad altri sistemi dell'organizzazione.
- Interrompere le operazioni cancellando o modificando dati critici, spegnendo i sistemi o creando attacchi denial-of-service (DoS).
Come migliorare la sicurezza dei controller di dominio
Per rimediare e ridurre il rischio potenziale per la sicurezza dei DC, eseguire le seguenti azioni:
- Verificare che gli oggetti Tier 0, come il gruppo Domain Admins in AD, contengano solo oggetti utente pertinenti e necessari.
- Determinare quali GPO sono collegate all'OU dei controllori di dominio in AD.
- Per ogni GPO correlata:
- Aprire Configurazionecomputer> Impostazioni di Windows > Impostazioni di sicurezza > Criteri locali > Assegnazione diritti utente.
- Andare alla sezione GPO.
- Confermare che solo il gruppo di amministrazione (amministratori di dominio) ha il diritto di consentire l'accesso attraverso i servizi desktop remoti.
- Confermare che solo il gruppo di amministrazione (amministratori di dominio) ha il diritto di consentire l'accesso in locale.
Valutare continuamente la sicurezza dei controller di dominio
Oltre ai passaggi precedenti, è importante assicurarsi di monitorare attentamente i log degli eventi per verificare se le connessioni a tutti i DC sono fallite o riuscite. Ma non bisogna fermarsi qui.
È possibile utilizzare strumenti della community gratuiti come Purple Knight e Forest Druid per valutare costantemente la posizione di sicurezza di AD. Per saperne di più sulla sicurezza di AD e sulle best practice, come privilegi minimi e Zero Trust, consulta gli altri post della nostra serie AD Security 101.