Camadas do AD simplificadas (r)

Active Directory A classificação por níveis (AD) não é novidade para organizações que precisam dos ambientes de TI mais seguros, como aqueles nos espaços de defesa e infraestrutura crítica. Embora seja uma abordagem surpreendentemente subutilizada para particionar e proteger os activos e contas mais valiosos de uma organização, está a começar a chegar a mais empresas como um método eficaz para impedir escalação de privilégios ataques em AD.

Os projetos de camadas do AD frequentemente andam de mãos dadas com a implementação o princípio do menor privilégio para interromper o movimento lateral dentro de uma camada. Além disso, muitas vezes são acompanhados pela implementação de ferramentas de visibilidade para fornecer insights sobre contas privilegiadas e legados autenticação uso de protocolo, ambos essenciais para um projeto bem-sucedido de níveis de segurança do AD.

Neste blog, exploraremos os desafios de visibilidade associados a Active Directory (AD) camadas e discutir como Silverfort os recursos de visibilidade ajudam as organizações a superar esses desafios, tornando o gerenciamento de camadas do AD mais simples e eficiente.

Desafios comuns de visibilidade nas camadas do AD

Figura 1 – distribuição típica de admin e privilegiados contas de serviço num Active Directory modelo de camadas

As organizações normalmente iniciam um projeto de camadas do AD bloqueando o acesso de contas humanas ao Nível 0, que inclui controladores de domínio, CA de assinatura on-line de PKI, Entra Connect/AD FS. Eles fazem isso usando estações de trabalho com acesso privilegiado e restrições de logon com políticas de grupo e/ou silos de políticas de autenticação.

No entanto, as organizações muitas vezes lutam para estender essa abordagem além do Nível 0, deixando crucialmente o Nível 1 – onde normalmente residem 98% de todas as contas de administrador e contas de serviço privilegiadas (veja a Figura 1) – sem cobertura total.

Aqui estão os principais desafios que a maioria das organizações enfrenta com as camadas do AD:

Visibilidade limitada de contas de serviços privilegiados

Uma grande parte das contas de serviço está em uso há muito tempo e muitas vezes é superprivilegiada. Além disso, suas credenciais podem ser armazenadas sem criptografia no sistema de arquivos local e pode ser muito desafiador entender exatamente onde e quando elas são usadas.

Visibilidade insuficiente do mapeamento de contas

É essencial considerar quais recursos são acessados ​​por cada usuário privilegiado ao projetar um modelo de acesso menos privilegiado. Estes resultados precisam então ser validados e higienizados antes de serem implementados como regras de acesso.

Falta de visibilidade do uso do protocolo legado

Idealmente, todos usuários privilegiados devem ser membros do grupo “Usuários Protegidos”, que desativa o cache de senhas e protocolos legados. Antes de permitir a adesão a este grupo, é necessário obter visibilidade completa da utilização de protocolos de autenticação legados por estes utilizadores privilegiados, a fim de medir o impacto potencial e implementar medidas de remediação.

Pelas razões acima, as organizações que iniciaram sua jornada de modelo de camada AD normalmente conseguem proteger a camada 0 para seus administradores contas de usuário mas fique preso tentando estendê-lo para o Nível 1.

Como funciona o dobrador de carta de canal Silverfort Ajuda com camadas do AD

Silverfort pode aprimorar as camadas do AD, oferecendo ampla visibilidade e controle sobre o acesso do usuário em toda a organização. Monitora continuamente as atividades de autenticação e acesso, atribuindo indicadores de risco e pontuações a usuários e máquinas com base em seus padrões de comportamento. Esse processo ajuda a identificar e gerenciar o acesso a ativos de alto risco ou alto valor, o que é crucial para a classificação em níveis do AD. Adicionalmente, Silverfortintegração de com azuread fornece mais insights sobre o comportamento e o risco do usuário, apoiando a implementação de uma estratégia eficaz de classificação de AD.

Visibilidade completa em todo o ambiente AD

Uma vez implantado, Silverfort obterá visibilidade em tempo real das autenticações baseadas em domínio e coletará os metadados para cada autenticação.

Silverfort também oferece a capacidade de verificar superfícies de ataque e configurações incorretas e fornece outras métricas relevantes para a segurança e a integridade do seu Active Directory Implantação. A maioria dessas métricas é apresentada como KPIs em painéis, alertas ao vivo que podem ser acionados ou relatórios de alto nível que podem ser usados ​​para fornecer ao gerenciamento uma visão geral de Active Directory risco.

Aqui estão alguns exemplos de Silverfort recursos relevantes para visibilidade na classificação por níveis do AD:

Detecção de contas privilegiadas

Para detectar/monitorar o escopo do usuário para o Nível 0, Silverfort podemos fornecer rapidamente um inventário de todas as contas relevantes usando nossos indicadores de risco “Administradores de Domínio”, “Usuários Privilegiados” e “Administradores Shadow”.

Figura 2 – Inventário de contas privilegiadas com KPIs dedicados na Camada 0: Administradores de Domínio, Usuários Privilegiados e Administradores Shadow.

Clicar em qualquer um dos KPIs relevantes fornecerá uma lista detalhada de contas sinalizadas, incluindo uma breve descrição do risco, como mitigá-lo e um link para o artigo relevante no Mitra Estrutura ATT&CK.

Figura 3 – Lista de administrador sombra contas

Detecção de contas de serviço

Visibilidade sobre o uso de Active Directory muitas vezes faltam contas de serviço. Silverfort torna muito fácil obter rapidamente uma visão geral de todo o uso da conta de serviço, bem como KPIs relevantes, como contas de serviço privilegiadas, logon interativo (uso duplo) e nível de risco com base no superfície de ataque e quaisquer ataques observados ou comportamento incomum.

Figura 4 - SilverfortA tela Contas de serviço do exibe o nome da conta de serviço, origem, destino, número de autenticações, pontuação de risco e informações da conta

Investigar atividades da conta de serviço

Para cada Active Directory conta de juros, SilverfortA página de investigação do fornece KPIs detalhados fornecendo informações onde a conta é usada (Fontes), bem como quaisquer autenticações para serviços de rede de destino (Alvos). Essas informações são essenciais para definir o escopo de implementação Ultimo privilégio usando políticas.

Figura 5 – KPIs para uma investigação aprofundada de cada conta, incluindo todas as fontes e destinos de autenticações

Log de autenticação avançadas

SilverfortO log de autenticação do com analisadores internos para protocolos de criptografia fracos permite a rápida identificação de autenticações que não devem ser usadas por usuários privilegiados. Com essas informações, autenticações legadas podem ser eliminadas ou reduzidas a um mínimo absoluto. Contas privilegiadas também pode ser adicionado ao grupo “Usuários Protegidos” em Active Directory, com boa visibilidade sobre o possível impacto desta ação.

Figura 6 – Exemplo de analisador de log mostrando resultados para ligações LDAP simples por uma conta de administrador de domínio, bem como indicadores de risco disponíveis para filtrar o uso de tipos de criptografia fracos

Segurança de identidade e gerenciamento de postura

O painel de detecção de ameaças em Silverfort dá uma visão geral de Active Directory gerenciamento de superfície de ataque, usando KPIs para configurações incorretas comuns e outras etapas que devem ser tomadas para reduzir a superfície de ataque. Os problemas comumente detectados devem ser resolvidos, especialmente quando dizem respeito a contas ou recursos privilegiados no Nível 0 ou no Nível 1.

Figura 7 – Seleção de KPIs para gerenciamento de superfície de ataque AD

Políticas de acesso a notificações

Depois que as camadas de ativos e contas forem estabelecidas e organizadas usando unidades organizacionais dedicadas ou grupos de AD, será fácil criar políticas de autenticação para receber alertas em tempo real sobre uso inadequado de contas em todas as camadas e relatórios diários sobre sua ocorrência.

Figura 9 – Exemplo de política de acesso de notificação para logon interativo entre camadas com contas de Camada 1

A visibilidade em tempo real é essencial para um gerenciamento eficaz de camadas do AD

Inovações por Silverfort em torno da visibilidade Active Directory autenticação permitem uma abordagem simples, mas muito eficaz, para acelerar a implantação de Active Directory Camadas. Com relativamente pouco esforço de implantação e configuração, as organizações podem obter insights sobre o uso da conta, superfície de ataque e conformidade com políticas de níveis, bem como conta de usuário/serviço e risco de computador/recursos.

Embora não exista uma solução mágica para implementar a hierarquização em todos Active Directory ativos em uma organização, Silverfort torna a tarefa significativamente mais fácil. Ler nosso próximo blog na série de camadas do AD, onde destacamos os desafios específicos de proteção associados à classificação em níveis do AD e como Silverfortas capacidades de aplicação da lei podem enfrentar eficazmente estes desafios e fortalecer o seu ambiente de AD.

Pare as ameaças à identidade agora