Active Directory A classificação por níveis (AD) não é novidade para organizações que precisam dos ambientes de TI mais seguros, como aqueles nos espaços de defesa e infraestrutura crítica. Embora seja uma abordagem surpreendentemente subutilizada para particionar e proteger os activos e contas mais valiosos de uma organização, está a começar a chegar a mais empresas como um método eficaz para impedir escalação de privilégios ataques em AD.
Os projetos de camadas do AD frequentemente andam de mãos dadas com a implementação o princípio do menor privilégio para interromper o movimento lateral dentro de uma camada. Além disso, muitas vezes são acompanhados pela implementação de ferramentas de visibilidade para fornecer insights sobre contas privilegiadas e legados autenticação uso de protocolo, ambos essenciais para um projeto bem-sucedido de níveis de segurança do AD.
Neste blog, exploraremos os desafios de visibilidade associados a Active Directory (AD) camadas e discutir como Silverfort os recursos de visibilidade ajudam as organizações a superar esses desafios, tornando o gerenciamento de camadas do AD mais simples e eficiente.
Desafios comuns de visibilidade nas camadas do AD
As organizações normalmente iniciam um projeto de camadas do AD bloqueando o acesso de contas humanas ao Nível 0, que inclui controladores de domínio, CA de assinatura on-line de PKI, Entra Connect/AD FS. Eles fazem isso usando estações de trabalho com acesso privilegiado e restrições de logon com políticas de grupo e/ou silos de políticas de autenticação.
No entanto, as organizações muitas vezes lutam para estender essa abordagem além do Nível 0, deixando crucialmente o Nível 1 – onde normalmente residem 98% de todas as contas de administrador e contas de serviço privilegiadas (veja a Figura 1) – sem cobertura total.
Aqui estão os principais desafios que a maioria das organizações enfrenta com as camadas do AD:
Visibilidade limitada de contas de serviços privilegiados
Uma grande parte das contas de serviço está em uso há muito tempo e muitas vezes é superprivilegiada. Além disso, suas credenciais podem ser armazenadas sem criptografia no sistema de arquivos local e pode ser muito desafiador entender exatamente onde e quando elas são usadas.
Visibilidade insuficiente do mapeamento de contas
É essencial considerar quais recursos são acessados por cada usuário privilegiado ao projetar um modelo de acesso menos privilegiado. Estes resultados precisam então ser validados e higienizados antes de serem implementados como regras de acesso.
Falta de visibilidade do uso do protocolo legado
Idealmente, todos usuários privilegiados devem ser membros do grupo “Usuários Protegidos”, que desativa o cache de senhas e protocolos legados. Antes de permitir a adesão a este grupo, é necessário obter visibilidade completa da utilização de protocolos de autenticação legados por estes utilizadores privilegiados, a fim de medir o impacto potencial e implementar medidas de remediação.
Pelas razões acima, as organizações que iniciaram sua jornada de modelo de camada AD normalmente conseguem proteger a camada 0 para seus administradores contas de usuário mas fique preso tentando estendê-lo para o Nível 1.
Como funciona o dobrador de carta de canal Silverfort Ajuda com camadas do AD
Silverfort pode aprimorar as camadas do AD, oferecendo ampla visibilidade e controle sobre o acesso do usuário em toda a organização. Monitora continuamente as atividades de autenticação e acesso, atribuindo indicadores de risco e pontuações a usuários e máquinas com base em seus padrões de comportamento. Esse processo ajuda a identificar e gerenciar o acesso a ativos de alto risco ou alto valor, o que é crucial para a classificação em níveis do AD. Adicionalmente, Silverfortintegração de com azuread fornece mais insights sobre o comportamento e o risco do usuário, apoiando a implementação de uma estratégia eficaz de classificação de AD.
Visibilidade completa em todo o ambiente AD
Uma vez implantado, Silverfort obterá visibilidade em tempo real das autenticações baseadas em domínio e coletará os metadados para cada autenticação.
Silverfort também oferece a capacidade de verificar superfícies de ataque e configurações incorretas e fornece outras métricas relevantes para a segurança e a integridade do seu Active Directory Implantação. A maioria dessas métricas é apresentada como KPIs em painéis, alertas ao vivo que podem ser acionados ou relatórios de alto nível que podem ser usados para fornecer ao gerenciamento uma visão geral de Active Directory risco.
Aqui estão alguns exemplos de Silverfort recursos relevantes para visibilidade na classificação por níveis do AD:
Detecção de contas privilegiadas
Para detectar/monitorar o escopo do usuário para o Nível 0, Silverfort podemos fornecer rapidamente um inventário de todas as contas relevantes usando nossos indicadores de risco “Administradores de Domínio”, “Usuários Privilegiados” e “Administradores Shadow”.
Clicar em qualquer um dos KPIs relevantes fornecerá uma lista detalhada de contas sinalizadas, incluindo uma breve descrição do risco, como mitigá-lo e um link para o artigo relevante no Mitra Estrutura ATT&CK.
Detecção de contas de serviço
Visibilidade sobre o uso de Active Directory muitas vezes faltam contas de serviço. Silverfort torna muito fácil obter rapidamente uma visão geral de todo o uso da conta de serviço, bem como KPIs relevantes, como contas de serviço privilegiadas, logon interativo (uso duplo) e nível de risco com base no superfície de ataque e quaisquer ataques observados ou comportamento incomum.
Investigar atividades da conta de serviço
Para cada Active Directory conta de juros, SilverfortA página de investigação do fornece KPIs detalhados fornecendo informações onde a conta é usada (Fontes), bem como quaisquer autenticações para serviços de rede de destino (Alvos). Essas informações são essenciais para definir o escopo de implementação Ultimo privilégio usando políticas.
Log de autenticação avançadas
SilverfortO log de autenticação do com analisadores internos para protocolos de criptografia fracos permite a rápida identificação de autenticações que não devem ser usadas por usuários privilegiados. Com essas informações, autenticações legadas podem ser eliminadas ou reduzidas a um mínimo absoluto. Contas privilegiadas também pode ser adicionado ao grupo “Usuários Protegidos” em Active Directory, com boa visibilidade sobre o possível impacto desta ação.
Segurança de identidade e gerenciamento de postura
O painel de detecção de ameaças em Silverfort dá uma visão geral de Active Directory gerenciamento de superfície de ataque, usando KPIs para configurações incorretas comuns e outras etapas que devem ser tomadas para reduzir a superfície de ataque. Os problemas comumente detectados devem ser resolvidos, especialmente quando dizem respeito a contas ou recursos privilegiados no Nível 0 ou no Nível 1.
Políticas de acesso a notificações
Depois que as camadas de ativos e contas forem estabelecidas e organizadas usando unidades organizacionais dedicadas ou grupos de AD, será fácil criar políticas de autenticação para receber alertas em tempo real sobre uso inadequado de contas em todas as camadas e relatórios diários sobre sua ocorrência.
A visibilidade em tempo real é essencial para um gerenciamento eficaz de camadas do AD
Inovações por Silverfort em torno da visibilidade Active Directory autenticação permitem uma abordagem simples, mas muito eficaz, para acelerar a implantação de Active Directory Camadas. Com relativamente pouco esforço de implantação e configuração, as organizações podem obter insights sobre o uso da conta, superfície de ataque e conformidade com políticas de níveis, bem como conta de usuário/serviço e risco de computador/recursos.
Embora não exista uma solução mágica para implementar a hierarquização em todos Active Directory ativos em uma organização, Silverfort torna a tarefa significativamente mais fácil. Ler nosso próximo blog na série de camadas do AD, onde destacamos os desafios específicos de proteção associados à classificação em níveis do AD e como Silverfortas capacidades de aplicação da lei podem enfrentar eficazmente estes desafios e fortalecer o seu ambiente de AD.