Active Directory

  • จากทีมผู้เชี่ยวชาญของเรา
รับการสาธิต

Active Directory เปิดเผย: การปกป้องหัวใจของตัวตนขององค์กร

เรียนรู้วิธีเปลี่ยน Active Directory ของคุณจากสนามเด็กเล่นของผู้โจมตีให้กลายเป็นระนาบควบคุมที่แข็งแกร่งเพื่อความปลอดภัยด้านการระบุตัวตน
รับ eBook

Active Directory

  • จากทีมผู้เชี่ยวชาญของเรา
รับการสาธิต
ทัวร์ชม

Active Directory เปิดเผย: การปกป้องหัวใจของตัวตนขององค์กร

เรียนรู้วิธีเปลี่ยน Active Directory ของคุณจากสนามเด็กเล่นของผู้โจมตีให้กลายเป็นระนาบควบคุมที่แข็งแกร่งเพื่อความปลอดภัยด้านการระบุตัวตน
สารบัญ

ทดลอง

ดู Silverfort แพลตฟอร์มในการดำเนินการ

ดูว่าทำไมองค์กรชั้นนำจึงไว้วางใจให้เราดูแลสิ่งที่องค์กรอื่นทำไม่ได้

รับการสาธิต

Active Directory AD (Active Directory) คือบริการไดเร็กทอรีที่พัฒนาโดย Microsoft ซึ่งเป็นศูนย์กลางในการจัดการและจัดระเบียบทรัพยากรในสภาพแวดล้อมเครือข่าย ทำหน้าที่เป็นแหล่งเก็บข้อมูลเกี่ยวกับบัญชีผู้ใช้ คอมพิวเตอร์ กลุ่ม และทรัพยากรเครือข่ายอื่นๆ

Active Directory ถูกออกแบบมาเพื่อลดความซับซ้อนในการบริหารจัดการเครือข่าย โดยการจัดโครงสร้างแบบลำดับชั้นและชุดบริการที่ช่วยให้ผู้ดูแลระบบสามารถจัดการการตรวจสอบสิทธิ์ผู้ใช้ การอนุญาต และการเข้าถึงทรัพยากรได้อย่างมีประสิทธิภาพ

อย่างไร Active Directory ทำงานอย่างไร

Active Directory ทำงานโดยการจัดวัตถุให้เป็นโครงสร้างลำดับชั้นที่เรียกว่าโดเมน สามารถจัดกลุ่มโดเมนเข้าด้วยกันเพื่อสร้างต้นไม้ และสามารถเชื่อมต่อต้นไม้หลายต้นเพื่อสร้างฟอเรสต์ได้ ตัวควบคุมโดเมนทำหน้าที่เป็นเซิร์ฟเวอร์กลางที่รับรองความถูกต้องและให้สิทธิ์ผู้ใช้ ดูแลรักษาฐานข้อมูลไดเรกทอรี และจำลองข้อมูลไปยังตัวควบคุมโดเมนอื่นภายในโดเมนเดียวกันหรือข้ามโดเมน ไคลเอนต์โต้ตอบกับตัวควบคุมโดเมนเพื่อร้องขอการรับรองความถูกต้องและการเข้าถึงทรัพยากรเครือข่าย

Active Directory ทำหน้าที่เป็นโครงสร้างพื้นฐานการตรวจสอบความถูกต้องในเกือบทุกเครือข่ายองค์กรในปัจจุบัน ในยุคก่อนคลาวด์ ทรัพยากรขององค์กรทั้งหมดอาศัยอยู่ภายในองค์กรโดยเฉพาะ ทำให้ AD เป็นผู้ให้บริการข้อมูลระบุตัวตนแต่เพียงผู้เดียวได้อย่างมีประสิทธิภาพ 

อย่างไรก็ตาม แม้ในช่วงเวลาที่องค์กรต่างๆ พยายามที่จะถ่ายโอนปริมาณงานและแอปพลิเคชันไปยังระบบคลาวด์ แต่ AD ก็ยังมีอยู่ในเครือข่ายองค์กรมากกว่า 95% สาเหตุหลักมาจากทรัพยากรหลักยากที่จะย้ายไปยังระบบคลาวด์หรือเป็นไปไม่ได้

หน้าที่หลัก 3 ประการของ Active Directory?

  1. การยืนยันตัวตน: Active Directory ใช้เพื่อตรวจสอบสิทธิ์ผู้ใช้ คอมพิวเตอร์ และทรัพยากรอื่นๆ บนเครือข่าย ซึ่งหมายความว่า AD จะตรวจสอบตัวตนของผู้ใช้หรืออุปกรณ์ก่อนที่จะอนุญาตให้เข้าถึงทรัพยากรเครือข่าย
  2. การอนุญาต: เมื่อผู้ใช้หรืออุปกรณ์ได้รับการรับรองความถูกต้องแล้ว AD จะถูกใช้เพื่ออนุญาตการเข้าถึงทรัพยากรเฉพาะบนเครือข่าย ทำได้โดยการกำหนดสิทธิ์และสิทธิ์ให้กับผู้ใช้และกลุ่ม ซึ่งกำหนดสิ่งที่พวกเขาได้รับอนุญาตให้ทำบนเครือข่าย
  3. บริการไดเรกทอรี: Active Directory ยังเป็นบริการไดเร็กทอรี ซึ่งหมายความว่าจะจัดเก็บและจัดการข้อมูลเกี่ยวกับทรัพยากรเครือข่าย เช่น ผู้ใช้ คอมพิวเตอร์ และแอปพลิเคชัน ข้อมูลนี้สามารถใช้เพื่อจัดการและค้นหาทรัพยากรบนเครือข่าย

ความสัมพันธ์กับ Azure Active Directory

สีฟ้า Active Directory (Azure AD) คือบริการจัดการข้อมูลประจำตัวและการเข้าถึงบนระบบคลาวด์ของ Microsoft Active Directory โดยปกติแล้ว Azure AD จะใช้ในสภาพแวดล้อมเครือข่ายภายในองค์กร แต่ได้ขยายขีดความสามารถไปยังระบบคลาวด์ Azure AD มีคุณสมบัติต่างๆ เช่น การลงชื่อเข้าใช้ครั้งเดียว (SSO) การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และการจัดเตรียมผู้ใช้สำหรับแอปพลิเคชันและบริการบนคลาวด์ นอกจากนี้ยังสามารถซิงโครไนซ์บัญชีผู้ใช้และรหัสผ่านจากระบบภายในองค์กรได้อีกด้วย Active Directory สู่ Azure AD ช่วยให้องค์กรต่างๆ สามารถจัดการข้อมูลประจำตัวของผู้ใช้ได้อย่างสม่ำเสมอทั่วทั้งสภาพแวดล้อมภายในองค์กรและบนคลาวด์

ประโยชน์ของการ Active Directory

Active Directory มอบสิทธิประโยชน์หลายประการให้กับองค์กร:

  • การจัดการผู้ใช้แบบรวมศูนย์: Active Directory จัดให้มีตำแหน่งศูนย์กลางในการจัดการบัญชีผู้ใช้ กลุ่ม และการเข้าถึงทรัพยากร สิ่งนี้ทำให้การจัดการข้อมูลประจำตัวผู้ใช้ง่ายขึ้นและเพิ่มความปลอดภัยด้วยการใช้นโยบายการควบคุมการเข้าถึงที่สอดคล้องกัน
  • การลงชื่อเพียงครั้งเดียว (SSO): Active Directory รองรับ SSO ทำให้ผู้ใช้สามารถตรวจสอบสิทธิ์เพียงครั้งเดียวและเข้าถึงทรัพยากรต่างๆ ได้โดยไม่จำเป็นต้องป้อนข้อมูลรับรองอีกครั้ง สิ่งนี้จะปรับปรุงประสบการณ์ผู้ใช้และลดความจำเป็นในการจำรหัสผ่านหลายรหัส
  • การจัดการทรัพยากร: Active Directory อำนวยความสะดวกในการจัดการทรัพยากรเครือข่ายอย่างมีประสิทธิภาพ เช่น คอมพิวเตอร์ เครื่องพิมพ์ และการแชร์ไฟล์ ช่วยให้ผู้ดูแลระบบสามารถจัดระเบียบและรักษาความปลอดภัยทรัพยากรตามสิทธิ์ของผู้ใช้หรือกลุ่ม เพื่อให้มั่นใจว่ามีการควบคุมการเข้าถึงที่เหมาะสม
  • การจัดการนโยบายกลุ่ม: Active Directory ช่วยให้ผู้ดูแลระบบกำหนดและบังคับใช้นโยบายความปลอดภัย การกำหนดค่า และข้อจำกัดทั่วทั้งเครือข่ายโดยใช้ Group Policy Objects (GPO) GPO ช่วยให้สามารถประยุกต์ใช้การตั้งค่าความปลอดภัยได้อย่างสม่ำเสมอ และช่วยรักษาการปฏิบัติตามมาตรฐานขององค์กร

ช่องโหว่ใน Active Directory

ในขณะที่ Active Directory มีคุณสมบัติด้านความปลอดภัยที่แข็งแกร่ง และไม่มีภูมิคุ้มกันต่อช่องโหว่ ช่องโหว่ทั่วไปบางประการได้แก่:

  • การโจมตีข้อมูลรับรองผู้โจมตีอาจพยายามบุกรุกข้อมูลประจำตัวของผู้ใช้ผ่านเทคนิคต่างๆ เช่น การถอดรหัสผ่าน การหลอกลวงทางอีเมล หรือการขโมยข้อมูลประจำตัว รหัสผ่านที่อ่อนแอหรือคาดเดาได้ง่ายอาจถูกนำไปใช้เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต Active Directory.
  • การเลื่อนระดับสิทธิ์: หากผู้โจมตีสามารถเข้าถึงบัญชีที่มีสิทธิ์ต่ำ พวกเขาอาจพยายามเพิ่มระดับสิทธิ์ภายใน Active Directory สิ่งแวดล้อม. ซึ่งอาจนำไปสู่การเข้าถึงทรัพยากรที่มีความละเอียดอ่อนหรือสิทธิ์ของผู้ดูแลระบบโดยไม่ได้รับอนุญาต
  • การเคลื่อนไหวด้านข้าง: เมื่อเข้าไปใน Active Directoryผู้โจมตีอาจใช้ประโยชน์จากการควบคุมการเข้าถึงที่อ่อนแอหรือการกำหนดค่าที่ไม่ถูกต้องเพื่อย้ายภายในเครือข่าย ส่งผลให้การเข้าถึงเพิ่มขึ้นและอาจส่งผลกระทบต่อทรัพยากรเพิ่มเติม
  • Active Directory ช่องโหว่การจำลองแบบ: กระบวนการจำลองแบบใน Active Directory อาจมีช่องโหว่ที่ผู้โจมตีสามารถใช้เพื่อจัดการหรือแทรกข้อมูลที่เป็นอันตรายลงในฐานข้อมูลไดเร็กทอรี ซึ่งนำไปสู่การเข้าถึงที่ไม่ได้รับอนุญาตหรือการหยุดชะงักในกระบวนการจำลองแบบ
  • Active Directory ไม่สามารถตรวจจับหรือป้องกันภัยคุกคามข้อมูลส่วนบุคคลได้AD ไม่สามารถป้องกันการโจมตีเหล่านี้ได้ เนื่องจากความสามารถในการป้องกันของ AD นั้นจำกัดอยู่เพียงแค่การตรวจสอบความตรงกันระหว่างชื่อผู้ใช้และข้อมูลประจำตัว เนื่องจากภัยคุกคามด้านอัตลักษณ์นั้น โดยนิยามแล้ว เกิดขึ้นจากการเจาะชื่อผู้ใช้และข้อมูลประจำตัวที่ถูกต้อง จึงสามารถหลีกเลี่ยง AD ได้อย่างง่ายดายและปลอมแปลงการตรวจสอบสิทธิ์ที่เป็นอันตรายให้ดูเหมือนเป็นการตรวจสอบสิทธิ์ที่ถูกต้อง สิ่งนี้สร้างจุดบอดร้ายแรงในสถาปัตยกรรมความปลอดภัยขององค์กร ซึ่งก่อให้เกิดการโจมตีแบบเคลื่อนย้ายภายใน (lateral movement attacks) ในรูปแบบต่างๆ มากมาย

เป็นสิ่งสำคัญสำหรับองค์กรที่ต้องใช้มาตรการรักษาความปลอดภัยที่เข้มงวด เช่น การแพตช์ปกติ นโยบายรหัสผ่านที่แข็งแกร่ง การตรวจสอบสิทธิ์แบบหลายปัจจัย และการตรวจสอบ เพื่อลดช่องโหว่เหล่านี้และปกป้องความสมบูรณ์และความปลอดภัยขององค์กร Active Directory สิ่งแวดล้อม

Active Directory โครงสร้าง

องค์ประกอบของ Active Directory

Active Directory มีโครงสร้างโดยใช้องค์ประกอบหลัก XNUMX ส่วน ได้แก่ โดเมน ต้นไม้ และป่าไม้ โดเมนคือการจัดกลุ่มวัตถุทางตรรกะ เช่น บัญชีผู้ใช้ คอมพิวเตอร์ และทรัพยากร ภายในเครือข่าย โดเมนสามารถนำมารวมกันเพื่อสร้างโครงสร้างแบบต้นไม้ ซึ่งแสดงถึงโครงสร้างแบบลำดับชั้นที่โดเมนย่อยเชื่อมต่อกับโดเมนหลัก ต้นไม้หลายต้นสามารถเชื่อมโยงเข้าด้วยกันเพื่อสร้างป่าไม้ซึ่งเป็นระดับสูงสุดขององค์กร Active Directory. ฟอเรสต์ช่วยให้สามารถแบ่งปันทรัพยากรและความสัมพันธ์ที่เชื่อถือได้ระหว่างโดเมนภายในองค์กรเดียวกันหรือระหว่างองค์กรต่างๆ

โครงสร้างลำดับชั้นของ Active Directory

โดเมนใน Active Directory ปฏิบัติตามโครงสร้างแบบลำดับชั้น โดยแต่ละโดเมนจะมีชื่อโดเมนเฉพาะของตัวเอง โดเมนสามารถแบ่งเพิ่มเติมออกเป็นหน่วยองค์กร (OU) ซึ่งเป็นคอนเทนเนอร์ที่ใช้สำหรับจัดระเบียบและจัดการออบเจ็กต์ภายในโดเมน OU มอบวิธีการมอบหมายงานการดูแลระบบ ใช้นโยบายกลุ่ม และกำหนดสิทธิ์การเข้าถึงในระดับที่ละเอียดยิ่งขึ้น OU สามารถซ้อนกันภายในกันและกันเพื่อสร้างลำดับชั้นที่สอดคล้องกับโครงสร้างขององค์กร ทำให้ง่ายต่อการจัดการและควบคุมการเข้าถึงทรัพยากร

ความน่าเชื่อถือและวิธีที่ทำให้เกิดการสื่อสารที่ปลอดภัยระหว่างโดเมน

เชื่อถือความสัมพันธ์ใน Active Directory สร้างการสื่อสารที่ปลอดภัยและการแบ่งปันทรัพยากรระหว่างโดเมนต่างๆ ความน่าเชื่อถือคือความสัมพันธ์ที่สร้างขึ้นระหว่างสองโดเมนที่ช่วยให้ผู้ใช้ในโดเมนหนึ่งสามารถเข้าถึงทรัพยากรในโดเมนอื่นได้ ความน่าเชื่อถือสามารถเป็นสกรรมกริยาหรือไม่ใช่สกรรมกริยา ความไว้วางใจแบบสกรรมกริยาช่วยให้ความสัมพันธ์ของความไว้วางใจไหลผ่านหลายโดเมนภายในฟอเรสต์ ในขณะที่ความเชื่อถือแบบไม่ใช่สกรรมกริยาจะถูกจำกัดไว้ที่ความสัมพันธ์โดยตรงระหว่างสองโดเมนเฉพาะ Trusts ช่วยให้ผู้ใช้สามารถตรวจสอบสิทธิ์และเข้าถึงทรัพยากรผ่านโดเมนที่เชื่อถือได้ โดยจัดให้มีสภาพแวดล้อมที่สอดคล้องและปลอดภัยสำหรับการทำงานร่วมกันและการแบ่งปันทรัพยากรภายในและระหว่างองค์กร

Active Directory สถาปัตยกรรมและส่วนประกอบ

ตัวควบคุมโดเมน

ตัวควบคุมโดเมนเป็นองค์ประกอบสำคัญของ Active Directory สถาปัตยกรรม. ทำหน้าที่เป็นเซิร์ฟเวอร์กลางที่รับผิดชอบในการตรวจสอบสิทธิ์และอนุญาตการเข้าถึงของผู้ใช้ ดูแลรักษาฐานข้อมูลไดเร็กทอรี และจัดการการดำเนินการที่เกี่ยวข้องกับไดเร็กทอรีภายในโดเมน ในโดเมน โดยทั่วไปจะมีตัวควบคุมโดเมนหลัก (PDC) หนึ่งตัวที่เก็บสำเนาแบบอ่าน-เขียนของฐานข้อมูลไดเรกทอรี ในขณะที่ตัวควบคุมโดเมนสำรองเพิ่มเติม (BDC) จะรักษาสำเนาแบบอ่านอย่างเดียว ตัวควบคุมโดเมนจะจำลองและซิงโครไนซ์ข้อมูลโดยใช้กระบวนการที่เรียกว่าการจำลอง เพื่อให้มั่นใจว่าการเปลี่ยนแปลงที่ทำในตัวควบคุมโดเมนตัวหนึ่งจะเผยแพร่ไปยังตัวอื่นๆ ดังนั้นจึงรักษาฐานข้อมูลไดเรกทอรีที่สอดคล้องกันทั่วทั้งโดเมน

เซิร์ฟเวอร์แค็ตตาล็อกสากล

เซิร์ฟเวอร์แค็ตตาล็อกทั่วโลกมีบทบาทสำคัญใน Active Directory โดยจัดเตรียมแค็ตตาล็อกของออบเจ็กต์แบบกระจายและค้นหาได้ในหลายโดเมนภายในฟอเรสต์ แตกต่างจากตัวควบคุมโดเมนที่เก็บข้อมูลเฉพาะของโดเมน เซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางเก็บแบบจำลองบางส่วนของวัตถุโดเมนทั้งหมดในฟอเรสต์ ช่วยให้ค้นหาและเข้าถึงข้อมูลได้เร็วขึ้นโดยไม่จำเป็นต้องอ้างอิงไปยังโดเมนอื่น เซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางมีประโยชน์ในสถานการณ์ที่ผู้ใช้จำเป็นต้องค้นหาออบเจ็กต์ข้ามโดเมน เช่น การค้นหาที่อยู่อีเมลหรือการเข้าถึงทรัพยากรในสภาพแวดล้อมแบบหลายโดเมน

Active Directory ไซต์และการจำลองแบบ

Active Directory ไซต์คือการจัดกลุ่มเชิงตรรกะของตำแหน่งเครือข่ายที่แสดงถึงตำแหน่งทางกายภาพภายในองค์กร เช่น สำนักงานหรือศูนย์ข้อมูลที่แตกต่างกัน ไซต์ช่วยจัดการการรับส่งข้อมูลเครือข่ายและเพิ่มประสิทธิภาพการรับรองความถูกต้องและการจำลองข้อมูลภายใน Active Directory สิ่งแวดล้อม. ลิงก์ไซต์จะกำหนดการเชื่อมต่อเครือข่ายระหว่างไซต์และใช้เพื่อควบคุมโฟลว์การรับส่งข้อมูลการจำลอง บริดจ์ลิงก์ไซต์เป็นวิธีการเชื่อมต่อหลายลิงก์ของไซต์ ช่วยให้การจำลองแบบมีประสิทธิภาพระหว่างไซต์ที่ไม่อยู่ติดกัน กระบวนการจำลองแบบช่วยให้มั่นใจถึงความสอดคล้องของข้อมูลโดยการจำลองการเปลี่ยนแปลงที่ทำในตัวควบคุมโดเมนหนึ่งไปยังตัวควบคุมโดเมนอื่นภายในไซต์เดียวกันหรือข้ามไซต์อื่น กระบวนการนี้ช่วยรักษาฐานข้อมูลไดเร็กทอรีที่ซิงโครไนซ์และทันสมัยทั่วทั้งเครือข่าย ทำให้มั่นใจได้ว่าการเปลี่ยนแปลงจะเผยแพร่ได้อย่างน่าเชื่อถือตลอดทั้งระบบ Active Directory โครงสร้างพื้นฐาน

Active Directory บริการของเรา

Active Directory บริการโดเมน (AD DS)

AD DS เป็นบริการหลักภายใน Active Directory ที่จัดการการรับรองความถูกต้องและการอนุญาต จะตรวจสอบตัวตนของผู้ใช้และอนุญาตให้พวกเขาเข้าถึงทรัพยากรเครือข่ายตามสิทธิ์ของพวกเขา AD DS รับรองความถูกต้องของผู้ใช้โดยการตรวจสอบข้อมูลประจำตัว เช่น ชื่อผู้ใช้และรหัสผ่าน กับฐานข้อมูลไดเร็กทอรี การอนุญาตจะกำหนดระดับการเข้าถึงที่ผู้ใช้มีต่อทรัพยากรโดยพิจารณาจากความเป็นสมาชิกกลุ่มและหลักการด้านความปลอดภัย

บัญชีผู้ใช้ กลุ่ม และหลักการรักษาความปลอดภัยใน AD DS

บัญชีผู้ใช้ กลุ่ม และหลักการรักษาความปลอดภัยเป็นองค์ประกอบพื้นฐานของ AD DS

บัญชีผู้ใช้แสดงถึงผู้ใช้แต่ละรายและมีข้อมูล เช่น ชื่อผู้ใช้ รหัสผ่าน และคุณลักษณะ เช่น ที่อยู่อีเมลและหมายเลขโทรศัพท์

กลุ่มคือคอลเลกชันของบัญชีผู้ใช้ที่แชร์สิทธิ์และสิทธิ์การเข้าถึงที่คล้ายคลึงกัน ช่วยให้การจัดการการเข้าถึงง่ายขึ้นโดยอนุญาตให้ผู้ดูแลระบบกำหนดสิทธิ์ให้กับกลุ่มแทนผู้ใช้แต่ละราย

หลักการรักษาความปลอดภัย เช่น ตัวระบุความปลอดภัย (SID) จะระบุและรักษาความปลอดภัยออบเจ็กต์ภายใน AD DS โดยไม่ซ้ำกัน ซึ่งเป็นรากฐานสำหรับการควบคุมการเข้าถึงและการรักษาความปลอดภัย

ตัวควบคุมโดเมนและบทบาทใน AD DS

ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่โฮสต์ AD DS และมีบทบาทสำคัญในการทำงาน พวกเขาจัดเก็บและจำลองฐานข้อมูลไดเร็กทอรี จัดการคำขอตรวจสอบสิทธิ์ และบังคับใช้นโยบายความปลอดภัยภายในโดเมน ตัวควบคุมโดเมนจะรักษาสำเนาฐานข้อมูลไดเรกทอรีที่ซิงโครไนซ์ เพื่อให้มั่นใจถึงความสอดคล้องกันในตัวควบคุมโดเมนหลายตัว นอกจากนี้ยังอำนวยความสะดวกในการจำลองการเปลี่ยนแปลงที่ทำในตัวควบคุมโดเมนหนึ่งไปยังการเปลี่ยนแปลงอื่นๆ ภายในโดเมนเดียวกันหรือข้ามโดเมน รองรับความทนทานต่อข้อผิดพลาดและความซ้ำซ้อนภายในสภาพแวดล้อม AD DS

Active Directory บริการสหพันธรัฐ (AD FS)

AD FS เปิดใช้งานการลงชื่อเพียงครั้งเดียว (SSO) ในองค์กรและแอปพลิเคชันต่างๆ โดยทำหน้าที่เป็นตัวกลางที่เชื่อถือได้ ช่วยให้ผู้ใช้สามารถตรวจสอบสิทธิ์เพียงครั้งเดียวและเข้าถึงทรัพยากรต่างๆ ได้โดยไม่จำเป็นต้องเข้าสู่ระบบแยกต่างหาก AD FS มอบประสบการณ์การรับรองความถูกต้องที่ปลอดภัยและราบรื่นโดยใช้ประโยชน์จากโปรโตคอลมาตรฐาน เช่น Security Assertion Markup Language (SAML) และ OAuth ทำให้ผู้ใช้ไม่จำเป็นต้องจดจำข้อมูลรับรองหลายรายการ และลดความยุ่งยากในการจัดการการเข้าถึงของผู้ใช้ข้ามขอบเขตองค์กร

AD FS สร้างความสัมพันธ์ที่น่าเชื่อถือระหว่างองค์กรอย่างไร

AD FS สร้างความสัมพันธ์ที่เชื่อถือได้ระหว่างองค์กรเพื่อให้สามารถสื่อสารและรับรองความถูกต้องได้อย่างปลอดภัย ความน่าเชื่อถือถูกสร้างขึ้นผ่านการแลกเปลี่ยนใบรับรองดิจิทัลระหว่างผู้ให้บริการข้อมูลประจำตัว (IdP) และฝ่ายที่พึ่งพา (RP) IdP ซึ่งโดยทั่วไปแล้วเป็นองค์กรที่ให้ข้อมูลประจำตัว ออกและตรวจสอบโทเค็นความปลอดภัยที่มีการอ้างสิทธิ์ของผู้ใช้ RP ซึ่งเป็นทรัพยากรหรือผู้ให้บริการ เชื่อถือ IdP และยอมรับโทเค็นความปลอดภัยเป็นหลักฐานการตรวจสอบสิทธิ์ผู้ใช้ ความสัมพันธ์ที่ไว้วางใจนี้ช่วยให้ผู้ใช้จากองค์กรหนึ่งสามารถเข้าถึงทรัพยากรในองค์กรอื่น ทำให้สามารถทำงานร่วมกันและเข้าถึงบริการที่ใช้ร่วมกันได้อย่างราบรื่น

Active Directory บริการไดเรกทอรีน้ำหนักเบา (AD LDS)

AD LDS เป็นบริการไดเร็กทอรีแบบไลท์เวทที่จัดทำโดย Active Directory. โดยทำหน้าที่เป็นโซลูชันไดเร็กทอรีสำหรับแอปพลิเคชันขนาดเล็กที่ต้องการฟังก์ชันไดเร็กทอรีโดยไม่ต้องใช้โครงสร้างพื้นฐาน AD DS เต็มรูปแบบ AD LDS มีพื้นที่น้อยกว่า การจัดการที่ง่ายขึ้น และสคีมาที่ยืดหยุ่นมากกว่า AD DS โดยทั่วไปจะใช้ในสถานการณ์ต่างๆ เช่น เว็บแอปพลิเคชัน เอ็กซ์ทราเน็ต และแอปพลิเคชันสายงานธุรกิจที่ต้องการบริการไดเร็กทอรี แต่ไม่จำเป็นต้องมีความซับซ้อนของการสมบูรณ์ Active Directory การใช้งาน

คุณสมบัติที่สำคัญของ Active Directory บริการไดเรกทอรีน้ำหนักเบา

คุณสมบัติหลักของ AD LDS ได้แก่ ความสามารถในการสร้างหลายอินสแตนซ์บนเซิร์ฟเวอร์เดียว ซึ่งช่วยให้แอปพลิเคชันหรือบริการต่างๆ มีไดเร็กทอรีแยกของตนเองได้ AD LDS มีสคีมาที่ยืดหยุ่นและขยายได้ ซึ่งสามารถปรับแต่งให้เหมาะกับข้อกำหนดการใช้งานเฉพาะได้ รองรับการจำลองแบบแบบน้ำหนักเบาเพื่อซิงโครไนซ์ข้อมูลไดเร็กทอรีข้ามอินสแตนซ์ เปิดใช้งานบริการไดเร็กทอรีแบบกระจายและซ้ำซ้อน กรณีการใช้งานสำหรับ AD LDS รวมถึงการจัดเก็บโปรไฟล์ผู้ใช้สำหรับแอปพลิเคชันบนเว็บ การให้บริการไดเร็กทอรีสำหรับแอปพลิเคชันบนคลาวด์ และการสนับสนุนการจัดการข้อมูลประจำตัวสำหรับแอปพลิเคชันสายงานธุรกิจที่ต้องใช้ที่เก็บไดเร็กทอรีแยกต่างหาก

Active Directory บริการออกใบรับรอง (AD CS)

Active Directory Certificate Services (AD CS) เป็นบริการภายใน Active Directory ที่มีบทบาทสำคัญในการออกและจัดการใบรับรองดิจิทัล AD CS ช่วยให้องค์กรสามารถสร้างการสื่อสารที่ปลอดภัย ตรวจสอบตัวตน ของผู้ใช้หรืออุปกรณ์ และสร้างความไว้วางใจภายในสภาพแวดล้อมเครือข่ายของพวกเขา โดยเป็นแพลตฟอร์มแบบรวมศูนย์สำหรับการออกและจัดการใบรับรองดิจิทัล ซึ่งใช้ในการเข้ารหัสข้อมูล รับรองความถูกต้องของผู้ใช้ และรับรองความสมบูรณ์ของข้อมูลที่ส่ง

ด้วยการใช้ประโยชน์จาก AD CS องค์กรต่างๆ สามารถเพิ่มความปลอดภัยในการสื่อสาร ปกป้องข้อมูลที่ละเอียดอ่อน และสร้างความสัมพันธ์ที่ไว้วางใจกับหน่วยงานภายในและภายนอก ประโยชน์ของ AD CS ได้แก่ การรักษาความลับของข้อมูลที่ดีขึ้น การเข้าถึงทรัพยากรที่ปลอดภัย กลไกการตรวจสอบสิทธิ์ที่ได้รับการปรับปรุง และการปฏิบัติตามกฎระเบียบของอุตสาหกรรม AD CS ช่วยให้องค์กรต่างๆ สร้างโครงสร้างพื้นฐานด้านความปลอดภัยที่แข็งแกร่ง และสร้างรากฐานของความไว้วางใจในสภาพแวดล้อมเครือข่ายของตน

Active Directory ⁠ความปลอดภัย

การรับรองความถูกต้องและการอนุญาต

การรับรองความถูกต้องเป็นขั้นตอนสำคัญ Active Directoryกรอบการรักษาความปลอดภัยของ เมื่อผู้ใช้พยายามเข้าถึงทรัพยากรเครือข่าย Active Directory ระบบจะตรวจสอบตัวตนของผู้ใช้โดยการตรวจสอบข้อมูลประจำตัวที่ให้มากับข้อมูลบัญชีผู้ใช้ที่จัดเก็บไว้ กระบวนการนี้เกี่ยวข้องกับการตรวจสอบความถูกต้องของชื่อผู้ใช้และรหัสผ่าน หรือการใช้โปรโตคอลการตรวจสอบสิทธิ์อื่นๆ เช่น Kerberos หรือ NTLM

Active Directory รองรับโปรโตคอลเหล่านี้เพื่อให้แน่ใจว่าการรับรองความถูกต้องปลอดภัยและเชื่อถือได้ เมื่อผู้ใช้ได้รับการตรวจสอบสิทธิ์แล้ว Active Directory ดำเนินการอนุญาต โดยกำหนดระดับการเข้าถึงที่พวกเขามีตามสิทธิ์ที่ได้รับมอบหมายและการเป็นสมาชิกกลุ่ม การควบคุมการอนุญาตที่มีประสิทธิภาพทำให้มั่นใจได้ว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงทรัพยากรที่เฉพาะเจาะจงได้ ซึ่งจะช่วยลดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตและการละเมิดความปลอดภัยที่อาจเกิดขึ้น

วัตถุนโยบายกลุ่ม (GPO)

Group Policy Objects (GPO) เป็นเครื่องมือที่ทรงพลังภายใน Active Directory เพื่อบังคับใช้นโยบายความปลอดภัยและการตั้งค่าคอนฟิกทั่วทั้งเครือข่าย GPO จะกำหนดกฎและการตั้งค่าที่ใช้กับผู้ใช้และคอมพิวเตอร์ภายในหน่วยองค์กร (OU) ที่ระบุ ช่วยให้ผู้ดูแลระบบใช้มาตรการรักษาความปลอดภัยได้อย่างสม่ำเสมอและมีประสิทธิภาพ ตัวอย่างเช่น GPO สามารถบังคับใช้ข้อกำหนดด้านความซับซ้อนของรหัสผ่าน กำหนดนโยบายการล็อคบัญชี และจำกัดการทำงานของซอฟต์แวร์ที่ไม่ได้รับอนุญาต

ด้วยการใช้ GPO อย่างมีประสิทธิภาพ องค์กรต่างๆ จะสามารถสร้างพื้นฐานการรักษาความปลอดภัยที่ได้มาตรฐาน ลดความเสี่ยงของการกำหนดค่าที่ไม่ถูกต้อง และปรับปรุงมาตรการรักษาความปลอดภัยโดยรวมของเครือข่าย

Active Directory แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย

เมื่อการพึ่งพา AD เพิ่มขึ้น การใช้แนวทางปฏิบัติด้านความปลอดภัยที่แข็งแกร่งเพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นจึงกลายเป็นสิ่งสำคัญ ในบทความนี้ เราจะสำรวจข้อควรพิจารณาด้านความปลอดภัยที่สำคัญและแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัย Active Directoryโดยมุ่งเน้นไปที่ความสำคัญของรหัสผ่านที่รัดกุมและนโยบายรหัสผ่าน การใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) และบทบาทของการตรวจสอบในการรักษาสภาพแวดล้อมที่ปลอดภัย

ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญสำหรับการรักษาความปลอดภัย Active Directory:

การรักษา Active Directory ต้องการแนวทางที่ครอบคลุมซึ่งเน้นด้านต่างๆ ของโครงสร้างพื้นฐาน ข้อควรพิจารณาด้านความปลอดภัยที่สำคัญบางประการ ได้แก่:

  • การปะแก้ปกติ: การเก็บรักษา Active Directory เซิร์ฟเวอร์ที่ทันสมัยพร้อมแพตช์รักษาความปลอดภัยล่าสุดมีความสำคัญอย่างยิ่งในการบรรเทาช่องโหว่ การใช้แพตช์และการอัปเดตเป็นประจำจะช่วยป้องกันการโจมตีที่รู้จักและลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต
  • หลักการสิทธิพิเศษน้อยที่สุดการนำหลักการให้สิทธิ์ขั้นต่ำมาใช้จะช่วยให้ผู้ใช้มีสิทธิ์เฉพาะที่จำเป็นในการปฏิบัติงานเท่านั้น การให้สิทธิ์ขั้นต่ำจะช่วยให้องค์กรจำกัดความเสียหายที่อาจเกิดขึ้นในกรณีที่บัญชีถูกบุกรุกหรือมีภัยคุกคามจากภายในองค์กร
  • โครงสร้างพื้นฐานเครือข่ายที่ปลอดภัย: การดูแลรักษาโครงสร้างพื้นฐานเครือข่ายที่ปลอดภัยถือเป็นสิ่งสำคัญในการปกป้อง Active Directory. การใช้ไฟร์วอลล์ ระบบตรวจจับและป้องกันการบุกรุก และการแบ่งส่วนเครือข่ายที่แข็งแกร่งจะช่วยเพิ่มมาตรการรักษาความปลอดภัยโดยรวมของเครือข่าย และลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต

ความสำคัญของรหัสผ่านที่รัดกุมและนโยบายรหัสผ่าน:

รหัสผ่านที่รัดกุมมีบทบาทสำคัญในการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต Active Directory ทรัพยากร. การใช้นโยบายรหัสผ่านที่รัดกุมทำให้ผู้ใช้สร้างและรักษารหัสผ่านที่ปลอดภัยได้ นโยบายรหัสผ่านควรบังคับใช้ข้อกำหนดที่ซับซ้อน เช่น ความยาวขั้นต่ำ อักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็กผสมกัน ตัวเลข และสัญลักษณ์พิเศษ การหมดอายุของรหัสผ่านเป็นประจำและการป้องกันการใช้รหัสผ่านซ้ำยังเป็นสิ่งสำคัญในการรักษาแนวทางการตรวจสอบสิทธิ์ที่เข้มงวด การให้ความรู้แก่ผู้ใช้เกี่ยวกับความสำคัญของการสร้างรหัสผ่านที่ไม่ซ้ำใครและมีประสิทธิภาพจะช่วยเพิ่มความปลอดภัยของรหัสผ่านได้

สามารถ Active Directory ซิงค์กับ IAM ที่จัดการการเข้าถึงแอป SaaS หรือไม่

ใช่ คุณสามารถซิงค์หรือรวมศูนย์ได้ Active Directory (AD) พร้อมการจัดการข้อมูลประจำตัวและการเข้าถึงอื่น (AMI) ที่จัดการการเข้าถึงและการลงชื่อเพียงครั้งเดียว (SSO) สำหรับแอปพลิเคชัน SaaS การบูรณาการนี้ช่วยให้องค์กรสามารถใช้ประโยชน์จากบัญชีผู้ใช้และกลุ่มที่มีอยู่ใน AD ในขณะที่ขยายการเข้าถึงแอปพลิเคชันและบริการบนคลาวด์

มีหลายวิธีในการบรรลุการบูรณาการนี้:

  1. เซิร์ฟเวอร์สหพันธรัฐ: เซิร์ฟเวอร์สหพันธรัฐ เช่น Active Directory Federation Services (AD FS) ช่วยให้องค์กรสามารถสร้างความไว้วางใจระหว่าง AD ในสถานที่และบนคลาวด์ได้ AMI โซลูชัน AD FS ทำหน้าที่เป็นผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับ AD โดยออกโทเค็นความปลอดภัยที่สามารถใช้สำหรับการรับรองความถูกต้องและการอนุญาตในสภาพแวดล้อมคลาวด์ โทเค็นความปลอดภัยเหล่านี้สามารถใช้ได้โดยโซลูชัน IAM ทำให้สามารถเปิดใช้งาน SSO และการจัดการการเข้าถึงสำหรับแอป SaaS ได้
  2. ไดเรกทอรีบนพื้นฐาน SaaS: โซลูชัน IAM มากมาย รวมถึง Okta และ Azure AD นำเสนอบริการไดเรกทอรีที่สามารถซิงค์หรือรวมเข้ากับ AD ในสถานที่ บริการไดเรกทอรีเหล่านี้ทำหน้าที่เป็นสะพานเชื่อมระหว่าง AD และระบบบนคลาวด์ โซลูชัน IAM. บัญชีผู้ใช้และกลุ่มจาก AD สามารถซิงโครไนซ์กับไดเร็กทอรีที่ใช้ SaaS ซึ่งช่วยให้สามารถจัดการแบบรวมศูนย์และรับรองความถูกต้องของแอปพลิเคชันระบบคลาวด์ การเปลี่ยนแปลงที่ทำใน AD เช่น การเพิ่มหรือการอัปเดตผู้ใช้ สามารถสะท้อนให้เห็นโดยอัตโนมัติในโซลูชัน IAM บนคลาวด์

โดยทั่วไปกระบวนการซิงโครไนซ์หรือการรวมศูนย์จะเกี่ยวข้องกับขั้นตอนต่อไปนี้:

  1. การสร้างความน่าเชื่อถือ: จำเป็นต้องสร้างความน่าเชื่อถือระหว่าง AD ภายในองค์กรและโซลูชัน IAM สิ่งนี้เกี่ยวข้องกับการกำหนดค่าความสัมพันธ์ที่เชื่อถือได้ ใบรับรอง และการตั้งค่าความปลอดภัยอื่นๆ ที่จำเป็น
  2. การซิงโครไนซ์ไดเรกทอรี: บัญชีผู้ใช้ กลุ่ม และคุณลักษณะอื่นๆ ที่เกี่ยวข้องจาก AD จะถูกซิงโครไนซ์กับโซลูชัน IAM บนคลาวด์ เพื่อให้แน่ใจว่าโซลูชัน IAM มีข้อมูลล่าสุดเกี่ยวกับผู้ใช้และบทบาทของพวกเขา
  3. การรับรองความถูกต้องและการอนุญาต: โซลูชัน IAM บนคลาวด์ทำหน้าที่เป็นจุดรับรองความถูกต้องและการอนุญาตส่วนกลางสำหรับแอปพลิเคชัน SaaS เมื่อผู้ใช้พยายามเข้าถึงแอป SaaS พวกเขาจะถูกเปลี่ยนเส้นทางไปยังโซลูชัน IAM เพื่อตรวจสอบสิทธิ์ โซลูชัน IAM จะตรวจสอบข้อมูลประจำตัวของผู้ใช้ และหากสำเร็จ จะออกโทเค็น SSO เพื่อให้สิทธิ์การเข้าถึงแอป SaaS

ด้วยการผสานรวม AD เข้ากับโซลูชัน IAM บนคลาวด์ องค์กรต่างๆ จึงสามารถปรับปรุงการจัดการผู้ใช้ ปรับปรุงความปลอดภัย และมอบประสบการณ์ผู้ใช้ที่ราบรื่นทั้งในสภาพแวดล้อมภายในองค์กรและบนคลาวด์

ฝ่ายตรงข้ามสามารถเคลื่อนตัวจากการถูกบุกรุกได้ Active Directory สภาพแวดล้อมในการเข้าถึงแอป SaaS และปริมาณงานบนคลาวด์เป็นอย่างไร

ใช่ หากฝ่ายตรงข้ามประนีประนอมได้สำเร็จ Active Directory (AD) พวกเขาอาจใช้การเข้าถึงนั้นเพื่อเพิ่มการโจมตีและรับการเข้าถึงแอป SaaS และปริมาณงานบนคลาวด์โดยไม่ได้รับอนุญาต AD เป็นองค์ประกอบที่สำคัญของโครงสร้างพื้นฐานด้านไอทีของหลายองค์กร และการประนีประนอมสามารถให้ประโยชน์ที่สำคัญแก่ผู้โจมตี

ต่อไปนี้เป็นสถานการณ์บางส่วนที่แสดงให้เห็นว่าฝ่ายตรงข้ามสามารถใช้ประโยชน์จากสภาพแวดล้อม AD ที่ถูกบุกรุกเพื่อเข้าถึงแอป SaaS และปริมาณงานบนคลาวด์ได้อย่างไร:

  1. การขโมยข้อมูลประจำตัว: ฝ่ายตรงข้ามที่สามารถเข้าถึง AD สามารถพยายามขโมยข้อมูลประจำตัวของผู้ใช้ที่จัดเก็บไว้ใน AD หรือสกัดกั้นข้อมูลประจำตัวในระหว่างกระบวนการตรวจสอบความถูกต้อง หากสำเร็จ พวกเขาสามารถใช้ข้อมูลประจำตัวที่ถูกขโมยเหล่านี้เพื่อตรวจสอบสิทธิ์ตนเองและเข้าถึงแอป SaaS และปริมาณงานบนคลาวด์โดยไม่ได้รับอนุญาต
  2. การยกระดับสิทธิ์: AD (Active Access Protocol) ใช้ในการจัดการบัญชีผู้ใช้และสิทธิ์การเข้าถึงภายในองค์กร หากผู้ไม่หวังดีเจาะระบบ AD ได้ พวกเขาสามารถยกระดับสิทธิ์ของตนเองได้โดยการแก้ไขสิทธิ์ของผู้ใช้หรือสร้างบัญชีผู้ใช้ที่มีสิทธิ์พิเศษใหม่ ด้วยสิทธิ์ที่สูงขึ้น พวกเขาสามารถเข้าถึงและจัดการแอปพลิเคชัน SaaS และเวิร์กโหลดบนคลาวด์ได้มากกว่าจุดที่พวกเขาถูกเจาะระบบในตอนแรก
  3. สหพันธรัฐและ SSO: หลายองค์กรใช้โซลูชันสหพันธรัฐและการลงชื่อเพียงครั้งเดียว (SSO) เพื่อให้สามารถเข้าถึงแอป SaaS ได้อย่างราบรื่น หากสภาพแวดล้อม AD ที่ถูกบุกรุกถูกรวมเข้ากับแอป SaaS ฝ่ายตรงข้ามอาจสามารถใช้ประโยชน์จากความไว้วางใจที่สร้างขึ้นระหว่าง AD และแอป SaaS เพื่อเข้าถึงโดยไม่ได้รับอนุญาต ซึ่งอาจเกี่ยวข้องกับการจัดการกับการตั้งค่าสหพันธรัฐ การขโมยโทเค็น SSO หรือการใช้ประโยชน์จากช่องโหว่ในโครงสร้างพื้นฐานของสหพันธรัฐ

การใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA):

AD เองไม่มีวิธีแยกแยะระหว่างการตรวจสอบสิทธิ์ที่ถูกต้องและการตรวจสอบสิทธิ์ที่เป็นอันตราย (ตราบใดที่ได้ป้อนชื่อผู้ใช้และข้อมูลประจำตัวที่ถูกต้อง) ช่องโหว่ด้านความปลอดภัยนี้สามารถแก้ไขได้ในทางทฤษฎีโดยการเพิ่มการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เข้าไปในกระบวนการตรวจสอบสิทธิ์ น่าเสียดายที่โปรโตคอลการตรวจสอบสิทธิ์ที่ AD ใช้ ได้แก่ NTLM และ Kerberos ไม่รองรับการตรวจสอบสิทธิ์แบบ MFA โดยตรง 

ผลที่ตามมาคือ วิธีการเข้าถึงส่วนใหญ่ในสภาพแวดล้อม AD ไม่สามารถป้องกันการโจมตีแบบเรียลไทม์ที่ใช้ข้อมูลประจำตัวที่ไม่ได้รับอนุญาตได้ ตัวอย่างเช่น เครื่องมือการเข้าถึงระยะไกล CMD และ PowerShell ที่ใช้บ่อย เช่น PsExec หรือ Enter-PSSession ไม่สามารถป้องกันด้วย MFA ได้ ทำให้ผู้โจมตีสามารถใช้เครื่องมือเหล่านี้ในทางที่ผิดเพื่อเข้าถึงระบบอย่างเป็นอันตรายได้

การนำ MFA มาใช้จะช่วยเสริมความปลอดภัยให้มากขึ้น Active Directory โดยทำให้มั่นใจว่าแม้ว่ารหัสผ่านจะถูกบุกรุก แต่จำเป็นต้องมีปัจจัยการตรวจสอบสิทธิ์เพิ่มเติมสำหรับการเข้าถึง องค์กรควรพิจารณานำ MFA ไปใช้กับบัญชีผู้ใช้ทั้งหมด โดยเฉพาะบัญชีที่มีสิทธิ์ระดับผู้ดูแลระบบหรือการเข้าถึงข้อมูลที่ละเอียดอ่อน

บทบาทของการตรวจสอบในการรักษาสภาพแวดล้อมที่ปลอดภัย:

การตรวจสอบถือเป็นองค์ประกอบที่สำคัญของ Active Directory ความปลอดภัย. การเปิดใช้งานการตั้งค่าการตรวจสอบช่วยให้องค์กรสามารถติดตามและตรวจสอบกิจกรรมของผู้ใช้ การเปลี่ยนแปลงกลุ่มความปลอดภัย และเหตุการณ์สำคัญอื่นๆ ภายใน Active Directory โครงสร้างพื้นฐาน การตรวจสอบบันทึกการตรวจสอบอย่างสม่ำเสมอ องค์กรสามารถตรวจจับและตอบสนองต่อกิจกรรมที่น่าสงสัยหรือเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นได้ทันที การตรวจสอบให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต การละเมิดนโยบาย และภัยคุกคามจากภายในที่อาจเกิดขึ้น ซึ่งช่วยในการรักษาสภาพแวดล้อมที่ปลอดภัยและสนับสนุนความพยายามในการตอบสนองต่อเหตุการณ์

กลับไปยังคำศัพท์