Camadas do AD simplificadas (r)

Início » Blog » Camadas do AD simplificadas (r)

Active Directory A classificação por níveis (AD) não é novidade para organizações que precisam dos ambientes de TI mais seguros, como aqueles nos espaços de defesa e infraestrutura crítica. Embora seja uma abordagem surpreendentemente subutilizada para particionar e proteger os activos e contas mais valiosos de uma organização, está a começar a chegar a mais empresas como um método eficaz para impedir escalação de privilégios ataques em AD.

Os projetos de camadas do AD frequentemente andam de mãos dadas com a implementação o princípio do menor privilégio para interromper o movimento lateral dentro de uma camada. Além disso, muitas vezes são acompanhados pela implementação de ferramentas de visibilidade para fornecer insights sobre contas privilegiadas e legados autenticação uso de protocolo, ambos essenciais para um projeto bem-sucedido de níveis de segurança do AD.

Neste blog, exploraremos os desafios de visibilidade associados a Active Directory (AD) camadas e discutir como Silverfort os recursos de visibilidade ajudam as organizações a superar esses desafios, tornando o gerenciamento de camadas do AD mais simples e eficiente.

Desafios comuns de visibilidade nas camadas do AD

Figura 1 – distribuição típica de admin e privilegiados contas de serviço num Active Directory modelo de camadas

As organizações normalmente iniciam um projeto de camadas do AD bloqueando o acesso de contas humanas ao Nível 0, que inclui controladores de domínio, CA de assinatura on-line de PKI, Entra Connect/AD FS. Eles fazem isso usando estações de trabalho com acesso privilegiado e restrições de logon com políticas de grupo e/ou silos de políticas de autenticação.

No entanto, as organizações muitas vezes lutam para estender essa abordagem além do Nível 0, deixando crucialmente o Nível 1 – onde normalmente residem 98% de todas as contas de administrador e contas de serviço privilegiadas (veja a Figura 1) – sem cobertura total.

Aqui estão os principais desafios que a maioria das organizações enfrenta com as camadas do AD:

Visibilidade limitada de contas de serviços privilegiados

Uma grande parte das contas de serviço está em uso há muito tempo e muitas vezes é superprivilegiada. Além disso, suas credenciais podem ser armazenadas sem criptografia no sistema de arquivos local e pode ser muito desafiador entender exatamente onde e quando elas são usadas.

Visibilidade insuficiente do mapeamento de contas

É essencial considerar quais recursos são acessados ​​por cada usuário privilegiado ao projetar um modelo de acesso menos privilegiado. Estes resultados precisam então ser validados e higienizados antes de serem implementados como regras de acesso.

Falta de visibilidade do uso do protocolo legado

Idealmente, todos usuários privilegiados devem ser membros do grupo “Usuários Protegidos”, que desativa o cache de senhas e protocolos legados. Antes de permitir a adesão a este grupo, é necessário obter visibilidade completa da utilização de protocolos de autenticação legados por estes utilizadores privilegiados, a fim de medir o impacto potencial e implementar medidas de remediação.

Pelas razões acima, as organizações que iniciaram sua jornada de modelo de camada AD normalmente conseguem proteger a camada 0 para seus administradores contas de usuário mas fique preso tentando estendê-lo para o Nível 1.

Como funciona o dobrador de carta de canal Silverfort Ajuda com camadas do AD

Silverfort pode aprimorar as camadas do AD, oferecendo ampla visibilidade e controle sobre o acesso do usuário em toda a organização. Monitora continuamente as atividades de autenticação e acesso, atribuindo indicadores de risco e pontuações a usuários e máquinas com base em seus padrões de comportamento. Esse processo ajuda a identificar e gerenciar o acesso a ativos de alto risco ou alto valor, o que é crucial para a classificação em níveis do AD. Adicionalmente, Silverfortintegração de com azuread fornece mais insights sobre o comportamento e o risco do usuário, apoiando a implementação de uma estratégia eficaz de classificação de AD.

Visibilidade completa em todo o ambiente AD

Uma vez implantado, Silverfort obterá visibilidade em tempo real das autenticações baseadas em domínio e coletará os metadados para cada autenticação.

Silverfort também oferece a capacidade de verificar superfícies de ataque e configurações incorretas e fornece outras métricas relevantes para a segurança e a integridade do seu Active Directory Implantação. A maioria dessas métricas é apresentada como KPIs em painéis, alertas ao vivo que podem ser acionados ou relatórios de alto nível que podem ser usados ​​para fornecer ao gerenciamento uma visão geral de Active Directory risco.

Aqui estão alguns exemplos de Silverfort recursos relevantes para visibilidade na classificação por níveis do AD:

Detecção de contas privilegiadas

Para detectar/monitorar o escopo do usuário para o Nível 0, Silverfort podemos fornecer rapidamente um inventário de todas as contas relevantes usando nossos indicadores de risco “Administradores de Domínio”, “Usuários Privilegiados” e “Administradores Shadow”.

Figura 2 – Inventário de contas privilegiadas com KPIs dedicados na Camada 0: Administradores de Domínio, Usuários Privilegiados e Administradores Shadow.

Clicar em qualquer um dos KPIs relevantes fornecerá uma lista detalhada de contas sinalizadas, incluindo uma breve descrição do risco, como mitigá-lo e um link para o artigo relevante no Mitra Estrutura ATT&CK.

Figura 3 – Lista de administrador sombra contas

Detecção de contas de serviço

Visibilidade sobre o uso de Active Directory muitas vezes faltam contas de serviço. Silverfort torna muito fácil obter rapidamente uma visão geral de todo o uso da conta de serviço, bem como KPIs relevantes, como contas de serviço privilegiadas, logon interativo (uso duplo) e nível de risco com base no superfície de ataque e quaisquer ataques observados ou comportamento incomum.

Figura 4 - SilverfortA tela Contas de serviço do exibe o nome da conta de serviço, origem, destino, número de autenticações, pontuação de risco e informações da conta

Investigar atividades da conta de serviço

Para cada Active Directory conta de juros, SilverfortA página de investigação do fornece KPIs detalhados fornecendo informações onde a conta é usada (Fontes), bem como quaisquer autenticações para serviços de rede de destino (Alvos). Esta informação é essencial para definir o escopo para implementar políticas de uso de privilégios mínimos.

Figura 5 – KPIs para uma investigação aprofundada de cada conta, incluindo todas as fontes e destinos de autenticações

Log de autenticação avançadas

SilverfortO log de autenticação do com analisadores integrados para protocolos de criptografia fracos permite a identificação rápida de autenticações que não devem ser usadas por usuários privilegiados. Com essas informações, as autenticações legadas podem ser eliminadas ou reduzidas ao mínimo absoluto. Contas privilegiadas também podem ser adicionadas ao grupo “Usuários Protegidos” em Active Directory, com boa visibilidade sobre o possível impacto desta ação.

Figura 6 – Exemplo de analisador de log mostrando resultados para ligações LDAP simples por uma conta de administrador de domínio, bem como indicadores de risco disponíveis para filtrar o uso de tipos de criptografia fracos

Segurança de identidade e gerenciamento de postura

O painel de detecção de ameaças em Silverfort dá uma visão geral de Active Directory gerenciamento de superfície de ataque, usando KPIs para configurações incorretas comuns e outras etapas que devem ser tomadas para reduzir a superfície de ataque. Os problemas comumente detectados devem ser resolvidos, especialmente quando dizem respeito a contas ou recursos privilegiados no Nível 0 ou no Nível 1.

Figura 7 – Seleção de KPIs para gerenciamento de superfície de ataque AD

Políticas de acesso a notificações

Depois que as camadas de ativos e contas forem estabelecidas e organizadas usando unidades organizacionais dedicadas ou grupos de AD, será fácil criar políticas de autenticação para receber alertas em tempo real sobre uso inadequado de contas em todas as camadas e relatórios diários sobre sua ocorrência.

Figura 9 – Exemplo de política de acesso de notificação para logon interativo entre camadas com contas de Camada 1

A visibilidade em tempo real é essencial para um gerenciamento eficaz de camadas do AD

Inovações por Silverfort em torno da visibilidade Active Directory autenticação permitem uma abordagem simples, mas muito eficaz, para acelerar a implantação de Active Directory Camadas. Com relativamente pouco esforço de implantação e configuração, as organizações podem obter insights sobre o uso da conta, superfície de ataque e conformidade com políticas de níveis, bem como conta de usuário/serviço e risco de computador/recursos.

Embora não exista uma solução mágica para implementar a hierarquização em todos Active Directory ativos em uma organização, Silverfort torna a tarefa significativamente mais fácil. Ler nosso próximo blog na série de camadas do AD, onde destacamos os desafios específicos de proteção associados à classificação em níveis do AD e como Silverfortas capacidades de aplicação da lei podem enfrentar eficazmente estes desafios e fortalecer o seu ambiente de AD.

Pare as ameaças à identidade agora