Sichern von Active Directory-Domänen in einem potenziell feindlichen Netzwerk

Active Directory ist eine der besten Funktionen von Windows Server, aber auch ein großes, glänzendes Ziel. Wenn es kompromittiert wird, erhält der Angreifer Ihr Windows-Netzwerk.

Welche Schritte sind in einer Umgebung mit extern ausgerichteten Windows-Servern (in meinem Fall Webservern) erforderlich, um Active Directory vor Angriffen zu schützen? Wie reduzieren Sie das Schadenspotential, wenn ein Domain-Mitglied kompromittiert wird? Gibt es schließlich eine Möglichkeit, das Schadenspotential zu verringern, wenn ein Domänencontroller kompromittiert wird?

Ich suche nach Informationen, die sich speziell auf Active Directory (2003 und 2008) beziehen. Allgemeine Best Practices (Lesen Ihrer Protokolle, sichere Administratorkennwörter usw.) sollten selbstverständlich sein.

• Melden Sie sich mit keinem Domänenadministrator oder einem ähnlich privilegierten Konto an einem Computer in Ihrem Netzwerk an, mit Ausnahme Ihrer Domänencontroller. Auf diese Weise kann ein kompromittiertes System Ihre Anmeldeinformationen nicht stehlen.

• Verfügen Sie über ein separates privilegiertes Konto für die Verwaltung Ihrer webbasierten Computer.

• Verwenden Sie nach Möglichkeit eine enge Firewall auf Netzwerkebene auf Ihren Computern mit Webausrichtung.

• Stellen Sie Ihre Webcomputer nach Möglichkeit in einer DMZ auf. Dies ist im Grunde genommen nur ein Subnetz mit eingeschränkter Konnektivität zum Rest Ihres internen Netzwerks.

• Wenn ein Domänencontroller kompromittiert ist, ist Ihre Domäne streng genommen verschwunden und muss neu erstellt werden. In der Praxis hängt dies von der Art des Kompromisses ab und muss von Fall zu Fall beurteilt werden. Ich habe zwei Domänen geerbt, die streng genommen "kompromittiert" waren. Ich habe eine neu erstellt und die zweite repariert. Es sind viele Faktoren zu berücksichtigen.

Hier sind die allgemeinen Methoden, die ich verwende. Hoffentlich kann ich diesen viel hinzufügen:

• Domänencontroller befinden sich in einem eigenen Netzwerksegment. Der gesamte Datenverkehr zu oder von den Domänencontrollern muss durch die Netzwerkfirewall geleitet werden.

• Domänencontroller führen keine extern zugänglichen Dienste aus.

• RPC-Portbereiche sind auf allen Domänencontrollern / Mitgliedern auf eine bekannte Gruppe von Ports beschränkt:

  1. Verwaltungstools -> Komponentendienste -> Komponentendienste -> Computer
  2. Arbeitsplatz -> Eigenschaften -> Standardprotokolle -> Verbindungsorientiertes TCP / IP -> Eigenschaften
  3. Hinzufügen
  4. Stellen Sie den Portbereich ein (etwa 6051-6071). Je größer Ihr Netzwerk ist und je mehr Sie RPC verwenden, desto mehr Reichweite benötigen Sie. Für ein Netzwerk von 25 bis 30 Windows-Computern habe ich festgestellt, dass 20 Ports mehr als genug sind.
  5. Stellen Sie sowohl die Portbereichszuweisung als auch die dynamische Standardportzuweisung auf "Internetbereich" ein.
  6. OK
  7. Starten Sie neu

• Erlauben Sie den Domänenmitgliedern nur den folgenden Zugriff auf den Domänencontroller (sowohl in der Netzwerkfirewall als auch in der Hostfirewall des Domänencontrollers und in der Hostfirewall des Domänenmitglieds - verwenden Sie Gruppenrichtlinien, um dies durchzusetzen):

  • TCP / UDP-Port 53 (DNS)
  • TCP / UDP-Port 88 (Kerberos)
  • UDP-Port 123 (NTP)
  • TCP / UDP-Port 135 (RPC Endpoint Mapper)
  • TCP / UDP-Port 137 (NetBIOS)
  • UDP-Port 138 (NetBIOS)
  • TCP-Port 139 (NetBIOS)
  • TCP / UDP-Port 389 (LDAP)
  • TCP / UDP-Port 445 (SMB-over-IP)
  • TCP-Port 3268 (LDAP Global Catalog)
  • TCP / UDP-Port 6051-6071 (RPC - durch den oben gewählten Bereich ersetzen)

• Stellen Sie die IPSec-Richtlinie so ein, dass der gesamte Datenverkehr zwischen Domänencontroller und Domänencontroller über das Kabel verschlüsselt wird

• Verwenden Sie Gruppenrichtlinien, um die Netzwerk-Firewall-Regeln an der Firewall des Hosts zu verstärken. Speziell:

  • Beschränken Sie Remotedesktop auf Ihre Administratorarbeitsstationen / Ihr Netzwerk
  • Beschränken Sie SNMP auf Ihren Administrator und überwachen Sie Workstations / Netzwerk
  • Beschränken Sie ausgehendes Syslog (ich verwende Event-to-Syslog) auf Ihren Protokollierungsserver
  • Beschränken Sie ausgehendes SMTP auf Ihren Mailserver
  • Die Standardtaktik "Beschränken Sie alles rein / raus auf das, was der Server benötigt"

• Konfigurieren Sie alle Netzwerkdienste so, dass sie als Active Directory-Benutzer ausgeführt werden (IIS-Apps werden unter Benutzern mit dem Namen "svc-servicename" ausgeführt). Diese Benutzer werden einer einzelnen Gruppe mit eingeschränkten Berechtigungen zugewiesen und aus der Gruppe der Domänenbenutzer entfernt.

• Benennen Sie das Administratorkonto in etwas anderes um und fügen Sie "Administrator" als deaktiviertes Gastkonto hinzu (trivial zu überwinden, aber es kann einige dumme Skripte blockieren).

• Extern zugewandte Server befinden sich in einer anderen Domäne als die HQ / Office-Computer. Ich habe eine Einweg-Vertrauensstellung (DMZ Trusts HQ), um einige Anmeldungen zu vereinfachen, möchte diese jedoch auslaufen lassen.

In einem Microsoft-Best-Practice-Dokument, das ich einmal gelesen habe, wurde vorgeschlagen, dass Ihre mit dem Internet verbundenen Server (Web, E-Mail usw.) entweder eigenständige Computer sein oder sich in einer von Ihrer Unternehmensgesamtstruktur getrennten Active Directory-Gesamtstruktur befinden sollten. Diese separate Gesamtstruktur sollte vollständig in einer DMZ vorhanden sein, während Ihre AD-Gesamtstruktur vollständig innerhalb der strengsten Grenzen Ihrer Unternehmensfirewall vorhanden sein sollte. Weitaus weniger Benutzer benötigen Zugriff auf mit dem Internet verbundene Server als auf normale Computerressourcen des Unternehmens. Daher sollte das Einrichten eines Systems auf diese Weise keinen erheblichen zusätzlichen Verwaltungsaufwand für die Benutzerunterstützung verursachen. Sie müssen sich nur Ihre eigenen Benutzernamen und Passwörter für jede Domain merken.

Dies ist eine etwas entgegengesetzte Ansicht. Ich arbeite an einem höheren Niveau mit einem WLAN-Segment, mit dem sich Schüler (und zwischen ein und drei Geräte in ihren Taschen) verbinden können. Dies befindet sich innerhalb unserer Internet-Grenz-Firewall, ist jedoch in gewissem Maße noch von der saftigen Güte des größeren Netzwerks abgeschirmt. Es gibt jedoch einige Einschränkungen.

Um das Drucken von Schülern von ihren Laptops aus zu ermöglichen, müssen wir Domänenanmeldungen zulassen, die wiederum die Sichtbarkeit für die Domänencontroller erfordern. Gleiches gilt für die Netzwerkfreigaben. Darüber hinaus sind Schüler-Laptops nicht domainiert, und wir haben keinerlei Kontrolle darüber, was sich auf ihnen befindet.

Als ich hier ankam, war ich überrascht, dass ein so offenes Windows-Netzwerk überhaupt überleben konnte . Aber es tat es. Ja, Slammer war ein königlicher Schmerz, um auszurotten. Ja, wir hatten gelegentlich gehackte Server (von der Internetseite, nicht von der WLAN-Seite). Alles in allem ist die Menge an böser Ware, die wir im WLAN gesehen haben, mehr daran interessiert, große Mengen an E-Mails zu senden, als alles Lokale auf dem Computer zu scannen, um sich herumzuschleichen.

Wir haben eine Authentifizierungsbarriere zwischen dem WLAN und allem Interessanten, was hilft.

Außerdem gehen wir für immer zu den WLAN-Anmeldeprotokollen, um zu sehen, wer auf welcher IP war, als die RIAA uns eine Täterbenachrichtigung für einen Torrenter sendet.

Ich würde empfehlen, das Best Practice-Handbuch zum Sichern von Active Directory-Installationen zu lesen .

Dinge, die ich in einem nicht vertrauenswürdigen Netzwerk für wichtig halte:

• IPSec für Authentifizierungsverkehr
• Verwenden Sie die Zwei-Faktor-Authentifizierung (Smartcard oder Challenge-Response sind günstig).
• Deaktivieren Sie NTLM

Für die ersten beiden Vorschläge muss ein PKI-Dienst eingerichtet werden. Die Implementierung von PKI kann ein echtes Problem sein, aber es kann Ihnen eine Menge wirklich interessanter Funktionen bieten und es Ihnen ermöglichen, effektiv und sicher in einer nicht vertrauenswürdigen Umgebung zu arbeiten.

Eine allgemeine Regel ist, dass das einzige, was auf einem Domänencontroller ausgeführt wird, Active Directory selbst ist. Es ist natürlich nicht immer erreichbar, aber es geht darum, die Anzahl der potenziell exponierten Dienste zu reduzieren.

Sie müssen die Pass-the-Hash- (PtH) und Pass-the-Ticket- (PtT) Angriffe verstehen, da dies die Hauptmittel sind, mit denen sich Angreifer in einem Windows-Netzwerk verbreiten. Microsoft verfügt über PtH-Anleitungen, die jedoch möglicherweise etwas kompliziert sind, wenn Sie mit Sicherheitsproblemen noch nicht vertraut sind: https://www.microsoft.com/en-us/download/details.aspx?id=36036

Am besten verwenden Sie das Red Forest-Design von Microsoft. Die rote Gesamtstruktur ist eine separate Gesamtstruktur mit einer Einwegvertrauensstellung, in der sich Ihre Domänenadministratorkonten befinden. Es erfordert zusätzlichen Aufwand und Server, aber Sie können 95% der Vorteile ohne es erhalten, wenn Sie vorsichtig sind.

Ein Konto mit Berechtigungen in AD (Domänenadministratoren, Helpdesk usw.) sollte sich niemals bei einem regulären Mitgliedsserver oder einer Workstation anmelden. Das heißt, Sie sollten die Anmeldeverweigerungsrechte so festlegen, dass Domänenadministratoren und andere privilegierte Gruppen auf normalen Mitgliedscomputern eingeschlossen werden.

Im Allgemeinen sollten alle Administratoraktivitäten auf Systemen ausgeführt werden, die keinen Internetzugang haben und die IP-Konnektivität zu Computern einschränken, die dies tun.

Natürlich können Sie Domain-Administratoren auf diese Weise nur einschränken, wenn Sie separate Konten für die Server- und Workstation-Verwaltung haben. Sie sollten auch separate nicht privilegierte Konten für Web / E-Mail haben. Diese Rollentrennung ist einer der Schlüsselaspekte bei der Sicherung eines Netzwerks.

Ein Domain-Administrator sollte sich NIEMALS bei einem DMZ-System oder einem mit dem Internet verbundenen Computer anmelden. Sie sollten nicht einmal RDP von einem. Sie sollten über dedizierte Arbeitsstationen für diese Konten verfügen und Ihre regulären Arbeitsstationskonten sollten sich nicht bei den AD-Administratorarbeitsstationen anmelden können. Es sollten keine Konten vorhanden sein, die sich sowohl bei regulären Arbeitsstationen als auch bei AD-Administratorarbeitsstationen anmelden können. Dies verhindert, dass diese hochprivilegierten Anmeldeinformationen gestohlen werden, wenn ein Angreifer Administrator- / Systemberechtigungen auf einer Workstation erhält und diese anschließend auf andere weitergibt (normalerweise durch Diebstahl von Anmeldeinformationen, wenn sich ein Workstation-Administrator anmeldet).

In ähnlicher Weise sollten dedizierte Konten für DMZ-Maschinen vorhanden sein , und keine Konten sollten Zugriff auf DMZ- und interne Assets haben. Es ist auch möglich, eine separate DMZ-Domäne einzurichten (mit oder ohne Vertrauen in die interne Domäne).

Das Wiederherstellen von AD nach einem Kompromiss ist möglich, muss jedoch absolut korrekt durchgeführt werden - und natürlich wird es einige Ausfallzeiten geben, während die Domäne wiederhergestellt und bereinigt wird. Unsere geschätzte Erholung von einem kompromittierten DC erfolgte mehrere Tage vor der Implementierung eines roten Waldes. Es ist weniger als 12 Stunden mit einem roten Wald.

Beachten Sie, dass jede Sicherheitsmaßnahme ein Teil der Gesamtlösung ist und Sie den Rest benötigen. Diese Vorschläge gelten speziell für die Sicherung von AD. Sie müssen Ihr Netzwerk weiterhin segmentieren und über die entsprechenden Firewall- / ACL-Einschränkungen verfügen. Sie müssen Ihre Benutzerkonten weiterhin ordnungsgemäß mit Smartcards (dringend empfohlen) oder guten Kennwortrichtlinien sichern. Sie benötigen weiterhin Intrusion Detection, Antivirus, eine gute externe Firewall und einen Webproxy.