اکتیو دایرکتوری و 10 روش برتر جهت محافظت از آن

در این مقاله میخوانید

اکتیو دایرکتوری چیست؟

اکتیو دایرکتوری Active Directory به اختصار AD یک سرویس دایرکتوری اختصاصی است که توسط شرکت ماکروسافت برای سیستم عامل ویندوز سرور ارائه می‌شود. این سرویس ادمین‌های شبکه را قادر می سازد تا مجوزها و دسترسی به منابع شبکه همه کاربران را مدیریت کنند. که هدف اصلی آن فراهم کردن یک سرویس متمرکز برای احراز هویت (Authentication) و تعیین مجوزها (Authorization) برای سیستم‌های ویندوزی می‌باشد. اکتیو دایرکتوری همچنین امکان تعیین سیاست‌ها، نصب نرم‌افزارها و اعمال به‌روز رسانی‌های مهم را برای مدیران شبکه (Administrator) فراهم می‌کند. کارکرد اساسی دیگر اکتیو دایرکتوری، ذخیره‌سازی اطلاعات و تنظیمات شبکه به صورت متمرکز است. یک پایگاه‌داده‌ی اکتیودایرکتوری می‌تواند شامل چند صد شئ تا چند میلیون شئ باشد. هر چند امروزه، بسیاری از سازمان‌ها از ابزارهای مدیریت اکتیو دایرکتوری مانند برنا استفاده می‌کنند، با این وجود دانش و تخصص کامل در مورد اکتیو دایرکتوری برای ادمین‌های شبکه ضروری است.  

امروزه اکتیو‌ دایرکتوری به یکی از اهداف ارزشمند برای مجرمان سایبری تبدیل شده است. مهاجمان مرتباً اکتیو دایرکتوری را مورد هدف قرار می‌دهند تا سطح اختیارات خود را ارتقاء داده و از این طریق در شبکه نفوذ کرده و دسترسی خود را گسترش دهند. متأسفانه، در اختیار داشتن یک AD برای اجرای هر کسب‌وکاری ضروری است بنابراین باید به راحتی برای تمامی کاربران یک سازمان قابل دسترس باشد؛ از این رو این امر منجر به دشوارتر شدن اقدامات حفاظتی می‌شود. به گفته شرکت مایکروسافت، روزانه بیش از 95 میلیون حساب اکتیو دایرکتوری مورد حمله سایبری قرار می‌گیرند که این اهمیت و بزرگی مشکل را نشان می‌دهد.

نقش اکتیو دایرکتوری در شبکه

اکتیو دایرکتوری نقش بزرگی در شبکه ایفا می‌کند؛ اما در عین حال اکثر کاربران و راهبران آن طور که انتظار می‌رود تخصص لازم برای کشف ضعف‌ها و کاستی‌های امنیتی آن را ندارند؛ این فقط مربوط به وصله آسیب‌پذیری‌های شناخته شده یا اصلاح خطاهای پیکربندی اکتیو دایرکتوری نیست. هر تنظیمات مخاطره‌آمیزی و هر تنظیم نادرستی از پارامترها می‌تواند دروازه ورود مهاجمان سایبری به شبکه و نفوذ به سیستم‌ها باشد. حفاظت از AD مستلزم یافتن خطرات، تشخیص فوری حملات و مدیریت سیاست‌های امنیتی است. همچنین باید کاربرانی که به طور مستمر مسائل امنیتی را رعایت نمی‌کنند، را تحت نظر داشت که در شرایطی این امر بسیار دشوارتر می‌شود.

ارزش Active Directory برای مهاجمان

در اکثر سازمان‌ها، اکتیو دایرکتوری انباره مرکزی تمام حساب‌ها و سیستم‌های موجود در شبکه است و همچنین شامل تمام اطلاعات اصالت‌سنجی و سطوح دسترسی در شبکه می‌باشد. AD هدف سودآوری برای مهاجمان است زیرا هک و نفوذ به آن، امکان دسترسی به تمام منابع شبکه را فراهم می‌کند. علاوه بر این، مجوزهای لازم برای ایجاد تغییرات خاصی را به آنها می‌دهد که ردیابی آنها و حذف آنها را از شبکه برای تیم امنیتی بسیار دشوار می‌سازد. متأسفانه، بسیاری از ابزارهای کد باز (Open source) معتبر و رایگان در دسترس همانند Bloodhound و Mimikatz حملات مبتنی بر اکتیو دایرکتوری را بسیار آسان می‌نمایند.

امنیت اکتیو دایرکتوری

مهاجمان از این ابزارها برای جستجوی حساب‌هایی که می‌توانند به آنها اختیارات مدیریتی اعطا کنند، سوءاستفاده نموده و حملات خود را طوری تنظیم کنند که سطوح دسترسی خود را ارتقاء داده و نفوذ به کل سیستم‌های شبکه را پوشش دهند. لذا AD می‌تواند به پاشنه آشیل حملات باج‌افزاری یک سازمان تبدیل شود. تقریباً در هر حمله باج‌افزاری، مهاجمان برای دستیابی به اطلاعات، مجوزها یا هر دو، AD را مورد حمله قرار می‌دهند. AD اگر به درستی ایمن‌سازی و مقاوم نشود می‌تواند به سرعت به بهترین همکار مهاجمان تبدیل شود. مهاجمان نیز به این نکته پی برده‌اند که AD به دلیل منحصر به فرد بودن، هدفی بسیار ارزشمند بوده و از طرفی مقاوم‌سازی آن نیز برای راهبران امنیتی سازمان‌ها دشوار است. بنابراین امروزه حمله و نفوذ به آن را در اولویت خود قرار می‌دهند.

حفاظت از اکتیو دایرکتوری، با اینکه بسیار چالش‌برانگیز است، می‌تواند با بکارگیری ابزارها و تاکتیک‌های مناسبی انجام شود. در ادامه به بررسی ده نکته که سازمان‌ها می‌توانند جهت محافظت موثرتر از Active Directory در برابر رایج‌ترین حملات امروزی استفاده کنند، می‌پردازیم.

1) شناسایی و جلوگیری از افشاء مجوزها، واگذاری اختیارات Admin، سرویس‌ها و ارتباطات جاری شبکه

هنگامی که مهاجمان از سد راهکارهای حفاظتی گذشتند و خود را در شبکه مستقر کردند، در فاز Reconnaissance اقدام به شناسایی منابع بالقوه ارزشمند و تعیین چگونگی دستیابی به آنها می‌نمایند. مهاجمان جهت شناسایی منابع ارزشمند شبکه به اکتیو دایرکتوری نفوذ می‌کنند زیرا می‌توانند در قالب فعالیت‌های تجاری عادی و معتبر پنهان شده و از این طریق به ندرت شناسایی می‌شوند.

بکارگیری راهکار امنیتی که قادر به شناسایی و پیشگیری از افشاء مجوزها، اختیارات واگذار شده Admin و حساب‌های آنها می‌باشد، تیم امنیتی را قادر می‌سازد تا مهاجمان را در مراحل اولیه حمله ردیابی کند. علاوه بر این، مهاجمان را می‌توان از طریق حساب‌های دامنه و اطلاعات اصالت‌سنجی جعلی در نقاط پایانی فریب داد و سپس آنها را به دام انداخت.

2) شناسایی و کاهش اثرات مخرب حساب‌های ممتاز آلوده شده

اغلب کاربران سیستم‌ها، اطلاعات اصالت‌سنجی خود را در ایستگاه‌های کاری (Workstation) خود ذخیره می‌کنند. بیشتر اوقات این اتفاق به طور تصادفی رخ می‌دهد، اما گاهی اوقات نیز برای راحتی به صورت عمدی انجام می‌شود. مهاجمان با اطلاع از این موضوع، اطلاعات اصالت‌سنجی ذخیره شده را مورد هدف قرار می‌دهند تا بتوانند به محیط شبکه دسترسی پیدا کنند. با داشتن این اطلاعات، مهاجمان سایبری می‌توانند آسیب‌های زیادی به شبکه وارد کنند. علاوه بر این، آنها همیشه به دنبال راهی برای افزایش اختیارات و ارتقاء حق دسترسی خود می‌باشند.

از این رو سازمان‌ها می‌توانند دسترسی مهاجمان به شبکه را با شناسایی حساب‌های ممتاز هک شده، ترمیم خطاهای پیکربندی، حذف اطلاعات اصالت‌سنجی ذخیره‌شده، پوشه‌های مشترک و سایر آسیب‌پذیری‌ها دشوارتر کنند.

3) جلوگیری و شناسایی حملات Golden Ticket و Silver Ticket

حملات Pass-the-ticket – به اختصار PTT – از اهمیت بالایی برخوردار هستند زیرا منجر به نفوذ موثر به شبکه شده و مهاجمان از طریق آن قادر هستند تا آلودگی را به سیستم‌های مجاور در شبکه منتقل کنند و از این طریق اختیارات خود را افزایش دهند. از آنجایی که Kerberos پروتکلی از نوع Stateless است، بهره‌جویی از آن آسان بوده و به مهاجمان اجازه می‌دهد تا  اقدام به جعل Ticket داخل سیستم نمایند. حملات Golden Ticket و Silver Ticket متداول‌ترین شکل حملات PTT هستند که برای آلودگی دامنه‌ها (Domain) و ماندگاری در سیستم طراحی شده‌اند.

برای محافظت در برابر این، سازمان‌ها باید بتوانند Kerberos Ticket Granting Ticket – به اختصار Kerberos TGT – و حساب‌های سرویس آسیب‌پذیر و خطاهای پیکربندی که می‌توانند حملات PTT را فعال کنند، شناسایی کرده و نسبت به آن هشدار دهند.

4) حفاظت در برابر حملات Kerberoasting، DCSync و DCShadow

حملات Kerberoasting تبهکاران سایبری را قادر می‌سازد تا به راحتی اختیارات ممتاز را به دست آورند در حالی که حملات DCSync و DCShadow جهت ماندگاری در دامنه یک سازمان مورد استفاده قرار می‌گیرند.

تیم‌های امنیتی سازمان‌ها باید بتواند به طور مداوم بر اکتیو دایرکتوری نظارت کرده و حملات اکتیو دایرکتوری را به صورت آنی تحلیل کنند. علاوه بر این، باید در خصوص خطاهای پیکربندی که ممکن است منجر به چنین حملاتی شوند، هشدار دهند. علاوه بر این، با بکارگیری یک راهکار امنیتی باید مانع از جاسوسی مجرمان سایبری در حساب‌ها در سطح نقاط پایانی شوند و در نتیجه خطر این حملات را به حداقل برساند.

5) جلوگیری از جمع‌آوری اطلاعات اصالت‌سنجی از طریق به‌اشتراک‌گذاری دامنه

مهاجمان اغلب رمزهای عبور ذخیره شده در اسکریپت‌هایی را مورد هدف قرار می‌دهند که به صورت متن واضح (Clear Text) یا به صورت رمزگذاری برگشت‌پذیر (Reversible Encryption) هستند. یا از فایل‌های مرتبط باGroup Policy  که در دامنه‌های مشترک مانند Sysvol یا Netlogon قرار دارند، سوءاستفاده می‌کنند.

6) شناسایی حساب‌های دارای SID ممتاز پنهان

مهاجمان می توانند با بکارگیری تکنیک تزریق SID از SID History Attribute (Windows Security ID) سوءاستفاده کنند؛ بنابراین در محیط AD نفوذ کرده و امتیازات دسترسی و اختیارات خود را ارتقاء می‌دهند.

برای جلوگیری از این امر، باید حساب‌هایی را که دارای مقادیر SID ممتاز هستند و در SID History Attribute و گزارش‌های مرتبط تنظیم شده‌اند، شناسایی نمود.

7) تشخیص واگذاری حق دسترسی خطرناک به مولفه‌های حیاتی

واگذاری امتیازات (Delegation) یک ویژگی اکتیو دایرکتوری است که به کاربران یا حساب‌ها امکان جعل هویت حساب دیگری را می‌دهد. به عنوان مثال، هنگامی که یک کاربر یک برنامه تحت وب موجود در یک سرور وب را فراخوانی می‌کند، برنامه‌ مذکور می‌تواند اطلاعات اصالت‌سنجی کاربر را جعل کند تا به منابع موجود در سرور دیگری دسترسی پیدا کند. هر سیستمی که دامنه آن کاملاً واگذار شده، می‌تواند از طریق اطلاعات اصالت‌سنجی صحیح به عنوان کاربر برای هر سرویس دیگری در همان دامنه در نظر گرفته شود. متأسفانه مهاجمان از این قابلیت جهت دستیابی به سایر بخش‌های شبکه سوءاستفاده می‌کنند.

تیم امنیتی یک سازمان می‌تواند با نظارت مستمر و وصله ضعف‌های امنیتی AD و کاهش ریسک‌های تفویض اختیار، این آسیب‌پذیری‌ها را قبل از بهره‌جویی شناسایی و ترمیم کند.

8) شناسایی حساب‌های ممتاز از طریق قابلیت تفویض اختیارات نامحدود

هنگامی که راجع به تفویض اختیارات صحبت می‌کنیم، باید این نکته را یادآور شویم که حساب‌های ممتاز دارای قابلیت تفویض اختیارات نامحدود، می‌توانند مستقیماً به حملات Kerberoasting و Silver Ticket منجر ‌شوند. بنابراین، سازمان‌ها باید بتوانند حساب‌های ممتاز دارای تفویض اختیارات فعال را شناسایی نموده و لاگ‌های (Log) آنها را ثبت کنند.

تیم امنیتی هر سازمان می‌تواند با داشتن فهرستی جامع از کاربران ممتاز، اختیارات و حساب‌های واگذار شده، دیدی کلی از آسیب‌پذیری‌های احتمالی داشته باشد. در این مورد، تفویض اختیارات به صورت خودکار بد نیست، زیرا این قابلیت اغلب برای پروسه‌های خاص مورد نیاز است.

9) شناسایی کاربران غیرمجاز در AdminSDHolder ACL

Active Directory Domain Services – به اختصار AD DS – از AdminSDHolder و پروسهSecurity Descriptor Propagator  – به اختصار SDProp – جهت محافظت از کاربران و گروه‌های ممتاز استفاده می‌کند. AdminSDHolder دارای یک لیست ویژه جهت کنترل دسترسی (Access Control List – به اختصار ACL) است که مجوزهای قواعد امنیتی متعلق به گروه‌های اکتیو دایرکتوری ممتاز پیش‌فرض را کنترل می‌کند. جهت گسترش آلودگی به سیستم‌های مجاور در شبکه، مهاجمان حساب‌هایی را به AdminSDHolder اضافه می‌کنند و به آن‌ها دسترسی ممتازی همانند سایر حساب‌های محافظت شده می‌دهند.

10) شناسایی تغییرات جدید در Default Domain Policy یا Default Domain Controllers Policy

در اکتیو دایرکتوری، سازمان‌ها از Group Policy برای مدیریت پیکربندی‌های متعدد عملیاتی استفاده می‌کنند؛ این شامل تعریف تنظیمات امنیتی برای شبکه مربوطه و اغلب پیکربندی گروه‌های Administrator نیز می‌شود. این سیاست‌ها شامل اسکریپت‌های راه‌اندازی و متوقف‌سازی آنها نیز می‌شوند. ادمین‌ها آنها را به منظور ایجاد الزامات امنیتی خاص سازمان، نصب نرم‌افزار و تنظیم مجوزهای فایل و Registry در هر سطح پیکربندی می‌کنند. متأسفانه، مهاجمان می‌توانند این سیاست‌ها را تغییر داده و از این طریق به ماندگاری در شبکه دست یابند.

راهبران امنیتی می‌توانند با بررسی تغییرات ایجاد شده در تنظیمات پیش‌فرض Group Policy، به سرعت مهاجمان را شناسایی نموده و از این طریق خطرات امنیتی را کاهش داده و از دستیابی به اکتیو دایرکتوری با سطح دسترسی ممتاز جلوگیری کنند.

حفاضت از اکتیو دایرکتوری با راهکارهای امنیتی مناسب

تنظیمات اکتیو دایرکتوری

حملات به اکتیو دایرکتوری به این زودی‌ها متوقف نمی‌شوند، اما سازمان‌هایی که با تاکتیک‌های رایج حمله به اکتیو دایرکتوری آشنا هستند، بهتر می‌توانند با آنها مقابله کنند. همچنین با بکارگیری راهکارهای امنیتی پیشرفته و به‌روز، سازمان‌ها می‌توانند به طور موثر آسیب‌پذیری‌ها را شناسایی نموده، فعالیت‌های مخرب را زود تشخیص داده و رویدادهای امنیتی را قبل از اینکه تبهکاران سایبری اختیارات و سطح دسترسی خود را ارتقاء داده و یک حمله کوچک را به کارزاری گسترده تبدیل کنند، متوقف سازند. حفاظت از اکتیو دایرکتوری خود یک چالش است که با استفاده از راهکارهای حفاظتی مدرن با قابلیت محافظت از اکتیو دایرکتوری قابل انجام است.

مقالات مرتبط:

دانلود آنتی ویروس رایگانبیت‌دیفندر

دانلود بیت‌دیفندر رایگان

آخرین نوشته ها

با عضویت در خبرنامه سایت بیت دیفندر، از جدیدترین اخبار، تخفیف‌ها و رویدادهای ویژه مطلع شوید. با عضویت در خبرنامه، از آخرین اطلاعات صنعت، مقالات تخصصی و منابع آموزشی بهره‌مند خواهید شد.

عضویت در خبرنامه

"*"فیلدهای ضروری را نشان می دهد

آخرین مقالات

دسترسی سریع

بیت دیفندر

All rights reserved. Copyright ©1403 Bitdefender