Förutsättning för ett stark Active Directory – AD analys

2024-08-29

Active Directory (AD) är en grundläggande komponent i många företags IT-infrastruktur, vilket är avgörande för att upprätthålla säkerhet, effektivitet och kontroll över nätverksresurser. Ett korrekt konfigurerat AD är av största vikt för att minimera risken för cyberattacker.

För att säkerställa att er AD-miljö är korrekt uppsatt rekommenderar Certezza en omfattande AD-analys. Att bygga om ett redan existerande AD från grunden är en tidskrävande process och har man inte den möjligheten kan vi hjälpa till att hantera de viktigaste punkterna som AD-analysen fastställer. Eftersom dagens angripare automatiserar sina attacker kan man höja ribban avsevärt för ransomware och datastöld genom att åtgärda de mest uppenbara sårbarheterna.

En sårbarhetsanalys av Active Directory genomförs med hjälp av avancerade verktyg som identifierar kända sårbarheter och vanliga felkonfigurationer. Våra säkerhetskonsulter på Certezza granskar sedan resultaten för att identifiera allvarliga hot och eliminera eventuella falska positiva resultat. Detta ger er en klar bild av säkerhetsnivån i AD-miljön. Resultaten presenteras i en detaljerad rapport som innehåller analyserad data och rekommenderade åtgärder för att förbättra säkerheten under en heldags-workshop.

“The top finding among ransomware incident response engagements was insufficient privilege access and lateral movement controls.” – Microsoft

Microsofts rapport “State of Cybercrime” från 2022 avslöjade att den främsta upptäckten bland insatser för att hantera ransomwareincidenter var otillräcklig kontroll över privilegierad åtkomst och spärrar för attackvägar. Detta understryker vikten av en säker AD-konfiguration.

Microsoft rekommenderar att bygg sitt AD enligt Tier modellen.

Tier modellen är en säkerhetsarkitektur som används för att segmentera och skydda olika nivåer av resurser och åtkomst i Active Directory. Modellen delar upp miljön i tre säkerhetsnivåer eller “tiers” med syftet att isolera privilegierad åtkomst för att reducera attackytan. 

De tre nivåerna är:

  1. Tier 0: Privileged Access
    • Vad: Detta är den högsta säkerhetsnivån och omfattar de mest kritiska resurserna, inklusive Active Directory-domänkontrollanter, administrativa konton med fullständig åtkomst till AD (som Domain Admins), och andra infrastrukturkomponenter som är avgörande för företagets säkerhet.
    • Skydd: Åtkomst till Tier 0-resurser är strikt kontrollerad och begränsad. Endast särskilda administratörer får ha tillgång, och dessa konton bör hanteras mycket noggrant, ofta med multifaktorautentisering och dedikerade arbetsstationer (Privileged Access Workstation, PAWs).
  2. Tier 1: Server Management
    • Vad: Denna nivå inkluderar alla servrar och applikationer som är kritiska för företagets drift, men inte lika säkerhetskänsliga som Tier 0. Exempel är applikationsservrar, databasservrar, och andra IT-infrastrukturtjänster.
    • Skydd: Åtkomst till Tier 1 är begränsad till serveradministratörer och hanteras separat från Tier 0. Administrativa konton på denna nivå skall ej ha direkt tillgång till Tier 0-resurser för att stoppa attacker från ett lägre till ett högre privilegierat område.
  3. Tier 2: Workstation Management
    • Vad: Tier 2 omfattar arbetsstationer, klientdatorer och andra slutanvändarenheter. Detta är den lägsta säkerhetsnivån i modellen och inkluderar användarkonton och enheter som är mer exponerade för attacker.
    • Skydd: Administratörer som hanterar Tier 2 har endast behörighet att administrera arbetsstationer och slutanvändarenheter, men inte servrar eller AD-komponenter. Det är viktigt att hålla dessa separerade från Tier 1 och Tier 0 för att förhindra att ett intrång i en arbetsstation sprider sig till högre säkerhetsnivåer.

Syftet med Tier modellen

Genom att segmentera åtkomsten och säkerställa att administrationen av varje nivå hålls åtskild, ökar säkerheten och skyddet mot attacker, särskilt mot avancerade och ihärdiga hot (Advanced Persistent Threats, APTs).

Att implementera en Tier modell i Active Directory är inte ett krav, men det är en stark rekommendation för organisationer som vill förbättra sin säkerhetsställning och skydda sin IT-infrastruktur mot angrepp.

Varför implementera en Tier modell?

  1. Skydda kritiska resurser: En Tier modell skapar en tydlig separation mellan kritiska system (som domänkontrollanter) och mindre känsliga resurser (som arbetsstationer). Detta skyddar de mest känsliga delarna av domänen från att äventyras genom mindre säkra delar.
  2. Förhindra attackvägar: Modellen begränsar möjligheten för en angripare att röra sig från en mindre säker del av nätverket (som en komprometterad arbetsstation) till en mer kritisk del (som AD-domänkontrollanter). Detta minskar risken för att ett mindre allvarligt intrång eskalerar till en katastrofal säkerhetsincident.
  3. Minska attackytan: Genom att begränsa vilka konton som har åtkomst till olika nivåer, minskar Tier modellen antalet potentiella in- och utgångar för attacker. Detta gör det svårare för angripare att utnyttja systemets svagheter.
  4. Struktur och kontroll: Tier modellen ger en strukturerad strategi för åtkomstkontroll, vilket gör det lättare att hantera och övervaka vem som har tillgång till vad. Det bidrar också till att säkerställa att säkerhetsprinciper efterlevs konsekvent.

Slutsats

Om din organisation har en komplex IT-infrastruktur, hanterar känslig information, eller är ett sannolikt mål för cyberattacker, är det klokt att överväga implementeringen av en Tier modell. För andra organisationer kan det finnas enklare, men fortfarande effektiva, sätt att skydda AD och nätverket som helhet. Oavsett val, är det viktigt att ha en medveten och strukturerad strategi för att hantera privilegierad åtkomst och säkerhet i Active Directory.