Niveles de AD simplificados(r)

Índice del Contenido

Comparte este artículo:

Active Directory (AD) la organización por niveles no es nada nuevo para las organizaciones que necesitan los entornos de TI más seguros, como aquellos en los espacios de defensa e infraestructura crítica. Si bien es un enfoque sorprendentemente infrautilizado para dividir y proteger los activos y las cuentas más valiosos de una organización, está empezando a encontrar su camino en más empresas como un método eficaz para detener escalada de privilegios Ataques en AD.

Los proyectos de niveles de AD frecuentemente van de la mano con la implementación el principio de privilegio mínimo para detener el movimiento lateral dentro de un nivel. Además, suelen ir acompañados de la implementación de herramientas de visibilidad para proporcionar información sobre cuentas privilegiadas y heredadas. autenticación uso del protocolo, los cuales son clave para un proyecto exitoso de niveles de seguridad de AD.

En este blog, exploraremos los desafíos de visibilidad asociados con Active Directory (AD) niveles y discutir cómo Silverfort Las capacidades de visibilidad ayudan a las organizaciones a superar estos desafíos, haciendo que la gestión de niveles de AD sea más simple y eficiente.

Desafíos de visibilidad comunes en los niveles de AD

Figura 1: distribución típica de administrador y privilegiado cuentas de servicio en una Active Directory modelo de niveles

Las organizaciones generalmente inician un proyecto de niveles de AD bloqueando el acceso de cuentas humanas al Nivel 0, que incluye controladores de dominio, CA de firma en línea PKI, Entra Connect/AD FS. Lo hacen mediante el uso de estaciones de trabajo Privilege Access y restricciones de inicio de sesión con políticas de grupo y/o silos de políticas de autenticación.

Sin embargo, las organizaciones a menudo tienen dificultades para extender este enfoque más allá del Nivel 0, dejando de manera crucial el Nivel 1, donde normalmente reside el 98 % de todas las cuentas de administrador y cuentas de servicio privilegiadas (consulte la Figura 1), sin una cobertura completa.

Estos son los principales desafíos que enfrentan la mayoría de las organizaciones con los niveles de AD:

Visibilidad limitada de cuentas de servicios privilegiados

Una gran parte de las cuentas de servicio se han utilizado durante mucho tiempo y, a menudo, tienen privilegios excesivos. Además, sus credenciales pueden almacenarse sin cifrar en el sistema de archivos local y puede resultar muy complicado comprender exactamente dónde y cuándo se utilizan.

Visibilidad insuficiente del mapeo de cuentas

Es esencial considerar a qué recursos accede cada usuario privilegiado al diseñar un modelo de acceso menos privilegiado. Luego, estos resultados deben validarse y desinfectarse antes de implementarlos como reglas de acceso.

Falta de visibilidad del uso del protocolo heredado

Idealmente, todos usuarios privilegiados deben ser miembros del grupo "Usuarios protegidos", que deshabilita el almacenamiento en caché de contraseñas y los protocolos heredados. Antes de habilitar la membresía de este grupo, es necesario obtener visibilidad completa del uso de protocolos de autenticación heredados por parte de estos usuarios privilegiados para medir el impacto potencial e implementar medidas correctivas.

Por las razones anteriores, las organizaciones que han comenzado su viaje hacia el modelo de niveles de AD generalmente logran asegurar el Nivel 0 para su administrador. cuentas de usuario pero te quedas atascado intentando extenderlo al Nivel 1.

Cómo Silverfort Ayuda con los niveles de AD

Silverfort puede mejorar los niveles de AD al ofrecer una amplia visibilidad y control sobre el acceso de los usuarios en toda la organización. Supervisa continuamente las actividades de autenticación y acceso, asignando indicadores de riesgo y puntuaciones a los usuarios y máquinas en función de sus patrones de comportamiento. Este proceso ayuda a identificar y gestionar el acceso a activos de alto riesgo o valor, lo cual es crucial para la clasificación por niveles de AD. Además, Silverfortintegración con Azure AD proporciona más información sobre el comportamiento y el riesgo del usuario, lo que respalda la implementación de una estrategia eficaz de niveles de AD.

Visibilidad completa en todo el entorno AD

Una vez desplegado, Silverfort obtendrá visibilidad en tiempo real de las autenticaciones basadas en dominios y recopilará los metadatos para cada autenticación.

Silverfort también ofrece la capacidad de escanear en busca de superficies de ataque y configuraciones incorrectas y proporciona otras métricas relevantes para la seguridad y el estado de su Active Directory despliegue. La mayoría de estas métricas se presentan como KPI en paneles, alertas en vivo sobre las que se puede actuar o informes de alto nivel que se pueden utilizar para proporcionar a la gerencia una descripción general de Active Directory riesgo.

Aquí hay algunos ejemplos de Silverfort capacidades relevantes para la visibilidad en AD Tiering:

Detección de Cuentas Privilegiadas

Para detectar/monitorear el alcance del usuario para el Nivel 0, Silverfort puede proporcionar rápidamente un inventario de todas las cuentas relevantes utilizando nuestros indicadores de riesgo "Administradores de dominio", "Usuarios privilegiados" y "Administradores en la sombra".

Figura 2: Inventario de cuentas privilegiadas con KPI dedicados en el Nivel 0: administradores de dominio, usuarios privilegiados y administradores en la sombra.

Al hacer clic en cualquiera de los KPI relevantes, se proporcionará una lista detallada de las cuentas marcadas, incluida una breve descripción del riesgo, cómo mitigarlo y un enlace al artículo correspondiente en el Inglete Marco ATT&CK.

Figura 3 – Lista de administrador en la sombra las cuentas

Detección de cuentas de servicio

Visibilidad del uso de Active Directory A menudo faltan cuentas de servicio. Silverfort hace que sea muy fácil obtener rápidamente una descripción general de todo el uso de la cuenta de servicio, así como KPI relevantes, como cuentas de servicio privilegiadas, inicio de sesión interactivo (uso dual) y nivel de riesgo basado en el superficie de ataque y cualquier ataque observado o comportamiento inusual.

Figura 4 - SilverfortLa pantalla Cuentas de servicio muestra el nombre de la cuenta de servicio, el origen, el destino, el número de autenticaciones, la puntuación de riesgo y la información de la cuenta.

Investigar las actividades de la cuenta de servicio

Para cada uno Active Directory cuenta de intereses, SilverfortLa página de investigación proporciona KPI detallados que brindan información sobre dónde se utiliza la cuenta (Fuentes), así como cualquier autenticación en los servicios de red de destino (Orden de Targets o Metas). Esta información es esencial para definir el alcance a implementar. privilegios mínimos utilizando políticas.

Figura 5: KPI para una investigación profunda de cada cuenta, incluidos todos los orígenes y destinos de las autenticaciones

Registro de autenticación avanzadas

SilverfortEl registro de autenticación de , con analizadores integrados para protocolos de cifrado débiles, permite identificar rápidamente las autenticaciones que no deben utilizar los usuarios privilegiados. Con esta información, las autenticaciones heredadas se pueden eliminar o reducir al mínimo absoluto. Cuentas privilegiadas También se puede agregar al grupo “Usuarios protegidos” en Active Directory, con buena visibilidad sobre el posible impacto de esta acción.

Figura 6: Ejemplo de analizador de registros que muestra resultados para enlaces LDAP simples mediante una cuenta de administrador de dominio, así como indicadores de riesgo disponibles para filtrar el uso de tipos de cifrado débiles

Seguridad de identidad y gestión de postura

El panel de detección de amenazas en Silverfort da una visión general de Active Directory gestión de superficie de ataque, utilizando KPI para configuraciones erróneas comunes y otros pasos que se deben tomar para reducir la superficie de ataque. Se deben abordar los problemas detectados comúnmente, especialmente cuando se refieren a cuentas o recursos privilegiados en el Nivel 0 o el Nivel 1.

Figura 7: Selección de KPI para la gestión de la superficie de ataque de AD

Políticas de acceso a notificaciones

Una vez que se han establecido y organizado los niveles de activos y cuentas utilizando unidades organizativas o grupos AD dedicados, es fácil crear políticas de autenticación para obtener alertas en tiempo real sobre el uso inadecuado de la cuenta en todos los niveles e informes diarios sobre su ocurrencia.

Figura 9 – Ejemplo de política de acceso de notificación para inicio de sesión interactivo en todos los niveles con cuentas de nivel 1

La visibilidad en tiempo real es esencial para una gestión eficaz de los niveles de AD

Innovaciones por Silverfort alrededor de la visibilidad de Active Directory La autenticación permite un enfoque simple pero muy efectivo para acelerar la implementación de Active Directory Nivelación. Con relativamente poco esfuerzo de implementación y configuración, las organizaciones pueden obtener información sobre el uso de la cuenta, la superficie de ataque y el cumplimiento de las políticas de niveles, así como sobre el riesgo de la cuenta de usuario/servicio y de la computadora/recursos.

Si bien no existe una solución mágica para implementar niveles en todos Active Directory activos en una organización, Silverfort hace la tarea mucho más fácil. Leer nuestro próximo blog en la serie de niveles de AD, donde destacamos los desafíos de protección específicos asociados con los niveles de AD y cómo SilverfortLas capacidades de aplicación de la ley pueden abordar eficazmente estos desafíos y fortalecer su entorno de AD.

Nos atrevimos a llevar la seguridad de la identidad aún más lejos.
Descubra lo que es posible.

Configure una demostración para ver el Silverfort Plataforma de seguridad de identidad en acción.

Programe una demostración