Active Directory è uno dei componenti principali delle reti aziendali per l'autenticazione degli utenti e i sistemi di gestione degli accessi. Funge da sistema che contiene e controlla le risorse di rete, come gli account utente e le impostazioni di sicurezza per un ambiente aziendale.
Active Directory è responsabile di importanti funzioni di sicurezza all'interno delle reti aziendali odierne. Determina quali utenti sono autorizzati ad accedere a determinate risorse, fornisce l'accesso ai certificati di sicurezza e applica le politiche di sicurezza su tutti i dispositivi e i sistemi collegati. Active Directory è il meccanismo affidabile che le organizzazioni utilizzano per garantire l'applicazione di procedure di sicurezza coerenti per proteggere i dati sensibili da accessi non autorizzati.
In questo blog leggeremo cosa sono le misure di sicurezza di Active Directory, come vengono attaccate dagli autori delle minacce e cosa possono fare le organizzazioni per mitigare questi attacchi. In questo blog ci concentreremo sulle soluzioni tecniche e sui vari controlli di sicurezza per proteggere l'infrastruttura di Active Directory.
Che cos'è la sicurezza di Active Directory?
La sicurezza di Active Directory è una serie di misure volte a evitare la compromissione dell'infrastruttura del servizio di directory. Il sistema opera attraverso i controller di dominio, ovvero server che rispondono alle richieste di autenticazione di sicurezza provenienti dall'interno di una rete Windows Server.
Perché la sicurezza di Active Directory è importante?
Un elemento essenziale della difesa aziendale deriva dalla sicurezza di Active Directory, poiché controlla l'accesso alle risorse di rete e ai dati sensibili. Active Directory è il punto di accesso alla maggior parte delle reti aziendali e, quando si verifica una violazione della sicurezza, gli aggressori possono navigare nella rete e accedere a sistemi a cui non dovrebbero avere accesso. Le compromissioni di Active Directory comportano rischi operativi sostanziali per le organizzazioni, causando furti di dati, tempi di inattività del sistema e violazioni della conformità normativa.
Le configurazioni di Active Directory che presentano falle di sicurezza danno origine a molteplici punti di attacco. La presenza di password deboli, autorizzazioni configurate in modo errato e vulnerabilità non corrette fornisce potenziali punti di accesso per lo sfruttamento. Dopo aver ottenuto l'accesso iniziale, gli aggressori sfruttano le relazioni di fiducia tra i diversi domini per ottenere infine l'accesso al dominio di destinazione finale. Gli attacchi ai controller di dominio sono i più dannosi, poiché questi server contengono le informazioni di autenticazione di tutti gli utenti del dominio.
Gli attacchi AD richiedono tempi di ripristino lunghi. Il ripristino di configurazioni sicure richiede audit approfonditi delle autorizzazioni degli utenti, delle relazioni di fiducia e delle impostazioni dei criteri di gruppo. Le funzioni aziendali vengono ostacolate mentre i sistemi vengono controllati per verificarne la sicurezza e ripristinati.
Componenti chiave della sicurezza di Active Directory
Per proteggere Active Directory, diversi componenti sono collegati tra loro. I protocolli di autenticazione come Kerberos e NTLM verificano che un utente sia chi dice di essere prima di consentirgli l'accesso alle risorse. Consentono l'uso di ticket crittografati e meccanismi di challenge-response per fornire protezione delle credenziali in tutta la rete.
I meccanismi di controllo degli accessi specificano quali risorse sono accessibili agli utenti. Gli elenchi di controllo degli accessi (ACL) concedono autorizzazioni ai soggetti di sicurezza, che sono account utente o gruppi di sicurezza (insiemi di account utente). Queste autorizzazioni vengono utilizzate per consentire operazioni su oggetti di directory quali lettura, scrittura o modifica.
I criteri di sicurezza del dominio applicano controlli standardizzati in tutti i domini. I criteri relativi alle password applicano regole relative a aspetti quali la complessità, la durata e il riutilizzo delle password. Per proteggersi dagli attacchi di forza bruta, in cui malintenzionati potrebbero tentare di indovinare e superare con la forza bruta le misure di sicurezza, i criteri di blocco degli account garantiscono che i tentativi di accesso abbiano esito positivo solo se utilizzati in modo appropriato.
Minacce comuni alla sicurezza di Active Directory
Active Directory è il punto centrale per l'autenticazione e il controllo degli accessi all'interno di una rete. È uno dei principali obiettivi di molteplici minacce alla sicurezza. Gli aggressori sfruttano gli elementi di Active Directory utilizzando una serie di tecniche per ottenere l'accesso non autorizzato o il controllo delle risorse del dominio.
1. Attacchi basati sugli account
Il password spraying e i tentativi di forza bruta contro gli account utente sono una pratica comune tra gli autori delle minacce. Questi attacchi agli account o alle password prendono di mira password diffuse su numerosi account o testano più password su account specifici. Gli aggressori che utilizzano strumenti automatizzati possono provare migliaia di combinazioni di password, aggirando i blocchi degli account. Gli account utente sono spesso tra i primi punti di accesso, in particolare quelli con accesso amministrativo di alto livello.
2. Furto di credenziali
Utilizzando vari strumenti, gli aggressori estraggono le credenziali dalla memoria. È noto che gli aggressori rubano gli hash delle password e persino i ticket Kerberos memorizzati nella memoria di processo LSASS. Gli strumenti di dumping delle credenziali estraggono questi materiali di autenticazione direttamente dai controller di dominio o dalle workstation. Se gli aggressori dispongono di credenziali valide, spesso possono impersonare un utente legittimo e aggirare i normali controlli di autenticazione.
3. Sfruttamento dei servizi di directory
Le falle nei protocolli e nei servizi Active Directory introducono opportunità di attacco. Le configurazioni errate LDAP consentono connessioni semplici, esponendo così le query di directory alla manipolazione. Sia le impostazioni di trasferimento della zona DNS che le configurazioni di aggiornamento dinamico creano vulnerabilità quando non sono adeguatamente protette. Questi problemi a livello di servizio vengono poi utilizzati dagli aggressori per acquisire conoscenze sull'architettura e sulle risorse del dominio.
4. Attacchi di replica
I processi di replica dei controller di dominio sono esposti a minacce specifiche. Gli attacchi DCSync leggono i dati delle password tramite protocolli di replica. Se gli aggressori ottengono l'accesso al traffico di replica, possono modificare tali dati mentre fluiscono da un controller di dominio all'altro. Quando la replica fallisce, vengono rivelate incongruenze nei dati, creando lacune di sicurezza aperte nell'applicazione delle politiche a livello di dominio.
Come funzionano gli attacchi Active Directory?
La compromissione del dominio viene ottenuta attraverso diversi tipi di tecniche di attacco Active Directory. Questi approcci attaccano diverse parti del sistema di autenticazione e autorizzazione e, spesso, viene utilizzata una combinazione di approcci per ottenere l'accesso completo alla rete. La conoscenza di questi modelli di attacco consente alle organizzazioni di mettere in atto solide azioni di difesa.
Tecniche di escalation dei privilegi
L'escalation dei privilegi è una tecnica utilizzata dagli aggressori per ottenere un accesso di livello superiore agli ambienti Active Directory (da un livello base). Inizialmente, comporta lo sfruttamento di account comuni di utenti normali che utilizzano password deboli o attacchi di phishing efficaci. Metodi avanzati consentono agli aggressori di superare l'account di servizio configurato in modo errato che viene eseguito con i privilegi di amministratore di dominio.
Attacchi Kerberoasting
Il kerberoasting è rivolto agli account di servizio in AD. Funziona effettuando richieste di ticket TGS per i servizi in esecuzione con account di dominio. In questi ticket, gli hash delle password degli account di servizio sono presentati in forma crittografata. Gli aggressori estraggono questi hash offline per cercare di decifrare le password. Questo metodo è particolarmente dannoso nei confronti degli account di servizio con password deboli, poiché spesso dispongono di privilegi amministrativi.
Attacchi Pass-the-Hash e Pass-the-Ticket
Questi attacchi funzionano con set di credenziali acquisiti in precedenza e riutilizzati. Negli attacchi pass-the-hash, gli aggressori rubano gli hash delle password NTLM da una macchina e li utilizzano per autenticarsi su altre macchine. Un altro approccio è l'attacco pass-the-ticket, che si basa sugli stessi principi ma prende di mira i ticket Kerberos compromessi invece degli hash. In entrambi i casi, si tratta di tecniche di movimento laterale utilizzate sulla rete senza bisogno della password effettiva.
Sfruttamento dei ticket Golden e Silver
Attacchi Golden Ticket forzano i ticket Kerberos utilizzando l'account con i privilegi più elevati del dominio (KRBTGT). Una volta ottenuto l'hash KRBTGT, gli aggressori possono creare ticket per qualsiasi utente o servizio nel dominio. Questi consentono di aggirare i normali controlli di sicurezza e persistono anche quando le password vengono modificate.
Invece dell'account KRBTGT a livello di dominio, gli attacchi silver ticket vengono eseguiti contro account di servizio specifici. Una volta ottenuto l'hash di un account di servizio, l'autore dell'attacco può creare ticket di servizio contraffatti per quel servizio. Questi ticket consentono di accedere a un numero limitato di servizi, ma sono meno completi dei golden ticket.
Attacchi di replica del dominio
DCSync è una compromissione che utilizza il protocollo remoto del servizio di replica delle directory (MS-DRSR) per ottenere i dati delle password dai controller di dominio. Estrae gli hash delle password per tutti gli account basati su password nel dominio se l'autore dell'attacco dispone dei diritti di replica.
Gli attacchi DCShadow prevedono la simulazione del comportamento DC registrando server RPC specifici e creando gli oggetti di directory necessari per iniettare modifiche dannose che si replicano attraverso canali di replica legittimi.
Tecniche di rafforzamento di Active Directory
I controlli tecnici e le configurazioni possono migliorare la sicurezza di Active Directory delle organizzazioni Active Directory delle organizzazioni. Queste tecniche includono il rafforzamento degli elementi essenziali dell'infrastruttura della directory per evitare una superficie di attacco più ampia e prevenire l'impatto delle tecniche di sfruttamento comunemente utilizzate.
1. Rafforzamento del controller di dominio
I controller di dominio sono la spina dorsale della rete AD e, pertanto, devono essere protetti da un approccio di sicurezza multilivello. Ciò significa che i controlli di sicurezza fisica dovrebbero impedire a chiunque di accedere all'hardware del server fisico, mentre il rafforzamento del sistema operativo rimuove funzionalità e servizi non necessari che potrebbero costituire un punto di ingresso per gli attacchi. Potrebbe essere necessario eseguire aggiornamenti di sicurezza sui componenti di Windows Server per correggere vulnerabilità note e garantire che non si verifichino exploit.
2. Configurazione di sicurezza LDAP
La sicurezza del protocollo LDAP (Lightweight Directory Access Protocol) per quanto riguarda le query e le modifiche alle directory richiede un monitoraggio speciale. Per mitigare i rischi ed evitare che il traffico delle directory venga alterato durante la trasmissione, le organizzazioni devono attivare la firma LDAP.
Configurare l'implementazione del binding dei canali per collegare le connessioni LDAP a canali TLS specifici, rendendo così impossibile il dirottamento delle connessioni. Queste impostazioni vengono applicate con Criteri di gruppo distribuiti in tutto il dominio, che richiedono la firma del server LDAP, la firma del client e il binding dei canali, e negano il binding semplice su connessioni non SSL e non TLS.
3. Implementazione della sicurezza DNS
La sicurezza DNS è uno degli aspetti più importanti della protezione di Active Directory, poiché i servizi di risoluzione dei nomi sono essenziali per le funzioni di directory di base. Impedendo aggiornamenti non autorizzati dei record DNS che potrebbero reindirizzare il traffico, gli aggiornamenti dinamici sicuri sono di grande aiuto. Assicurarsi che l'integrità dell'origine delle richieste DNS sia autenticata dalla convalida DNSSEC (per impedire lo spoofing).
4. Sicurezza del protocollo di autenticazione
La sicurezza dell'autenticazione riguarda il processo di verifica delle credenziali e deve essere configurata con attenzione. È necessario prestare particolare attenzione alle impostazioni Kerberos, che devono essere preparate per abilitare il supporto della crittografia AES ma disabilitare RC4 come metodo di crittografia. Le organizzazioni devono definire una durata massima appropriata dei ticket e adottare un sistema di notifica della modifica delle password. Anche la sicurezza NTLM merita lo stesso livello di attenzione, con impostazioni che disabilitano i protocolli obsoleti LM e NTLMv1, applicando al contempo NTLMv2 e la sicurezza delle sessioni.
5. Controllo dell'accesso amministrativo
Sono necessari controlli approfonditi per l'accesso amministrativo al fine di prevenire l'abuso dei privilegi nella directory. L'accesso amministrativo limitato nel tempo e l'elevazione dei privilegi just-in-time devono essere applicati attraverso sistemi di gestione degli accessi privilegiati. Le organizzazioni necessitano di un account amministrativo separato per le attività quotidiane e di un altro per le operazioni privilegiate. L'appartenenza al gruppo di sicurezza dell'utente protetto applica ulteriori protezioni agli account privilegiati, mentre il controllo degli accessi basato sui ruoli consente l'assegnazione dettagliata di autorizzazioni su misura per la specifica funzione lavorativa.
Best practice per la sicurezza di Active Directory
In questa sezione, discuteremo le best practice comuni per la sicurezza di AD al fine di prevenire attacchi comuni contro di esso.
1. Pratiche amministrative sicure
Per evitare minacce dagli account amministrativi, è necessario controllarli rigorosamente a livello operativo. È necessario integrare nelle organizzazioni workstation amministrative dedicate alla gestione delle directory. Ciò richiede controlli di sicurezza rigorosi, come l'inserimento di applicazioni nella whitelist e l'accesso limitato a Internet nelle workstation. Tutte le azioni amministrative devono essere registrate tramite un sistema di gestione degli accessi privilegiati (PAM) che acquisisce le azioni amministrative intraprese dal computer e include flussi di lavoro di approvazione per le azioni sensibili. che registra le azioni amministrative intraprese dal computer e include flussi di lavoro di approvazione per le azioni sensibili.
2. Implementazione della politica sulle password
Le politiche sulle password costituiscono la base per la sicurezza degli account di dominio. Le organizzazioni dovrebbero impostare requisiti di complessità con un minimo di 16 caratteri, caratteri vari e un periodo di scadenza per le password. Per proteggersi dagli attacchi di forza bruta, gli account dovrebbero essere bloccati per un periodo di tempo definito dopo un numero limitato di tentativi di accesso non riusciti. Le politiche relative alle password devono essere valutate periodicamente per garantire che siano coerenti con le pratiche di sicurezza e gli scenari di minaccia contemporanei.
3. Sicurezza dei criteri di gruppo
Le impostazioni di sicurezza sono controllate tramite la configurazione dei criteri di gruppo sui sistemi collegati a un dominio. Le organizzazioni dovrebbero applicare impostazioni di sicurezza di base per limitare i servizi inutilizzati e restringere l'assegnazione dei diritti agli utenti. Le modifiche agli oggetti dei criteri di gruppo devono inoltre essere sottoposte a un controllo delle versioni e a un processo di gestione delle modifiche per tenerne traccia. Verificare che l'elaborazione dei criteri di gruppo avvenga regolarmente, in modo che i criteri siano applicati come previsto a tutti i sistemi. Il controllo delle impostazioni dei criteri di gruppo per verificare la presenza di configurazioni errate o criteri in conflitto può rappresentare un onere per i team di sicurezza.
4. Gestione degli account di servizio
Gli account di servizio necessitano urgentemente di controlli di sicurezza personalizzati per prevenire abusi nella creazione. Ogni servizio o applicazione deve disporre di un proprio account di servizio fornito da un'organizzazione. Gli account devono avere password lunghe e complesse, difficili da indovinare, uniche per ogni account e modificate secondo una pianificazione definita dall'organizzazione. È necessario effettuare controlli regolari per identificare ed eliminare gli account di servizio inutilizzati o le autorizzazioni in eccesso.
5. Valutazione periodica della sicurezza
Lo stato di salute di Active Directory viene mantenuto grazie a una valutazione sistematica dei controlli di sicurezza effettuata sotto forma di valutazioni della sicurezza. Gli audit dei privilegi sono un altro concetto importante che le organizzazioni devono eseguire periodicamente al fine di identificare le autorizzazioni eccessive ed eliminare quelle non necessarie. Le misure o gli standard di sicurezza approvati dalla baseline possono essere verificati effettuando revisioni della configurazione della directory. Il rapporto di valutazione deve contenere piani di correzione con scadenze per colmare le lacune di sicurezza.
Sfide per la sicurezza di Active Directory
L'implementazione della sicurezza AD presenta sfide significative. Queste difficoltà derivano dai vincoli architetturali, dalle esigenze operative e dalla complessità del sistema di servizi di directory aziendale. Vediamo alcune di esse.
1. Protocolli di autenticazione legacy
I sistemi legacy creano falle nella sicurezza dell'organizzazione a causa dell'uso di metodi di autenticazione obsoleti. L'autenticazione NTLM è ancora richiesta da molte applicazioni legacy, quindi le organizzazioni non hanno altra scelta che abilitare questo protocollo non sicuro.
2. Gerarchie di autorizzazioni complesse
Con la crescita degli ambienti Active Directory, le strutture delle autorizzazioni AD diventano più complesse e scoraggianti. Le appartenenze a gruppi nidificati eliminano la chiarezza. Le autorizzazioni degli oggetti vengono distribuite nel tempo attraverso diverse attività amministrative. Pertanto, la gestione degli ACL finisce per essere una questione complicata, soprattutto quando le autorizzazioni sono sparse su numerosi sistemi e domini dell'organizzazione. Diventa difficile per i team di sicurezza tenere traccia dei confini chiari delle autorizzazioni e revocare i privilegi di accesso che non sono più necessari.
3. Gestione delle relazioni di trust
Le relazioni di trust tra foreste, così come tra domini diversi nella stessa foresta, sono una questione complessa, soprattutto quando si tratta di gestione della sicurezza. I trust esterni aprono la strada ad attacchi ai quali i team di sicurezza devono prestare particolare attenzione. Le organizzazioni hanno difficoltà a mantenere una documentazione accurata di queste relazioni di fiducia e a verificare le impostazioni di sicurezza.
4. Proliferazione degli account di servizio
Gli account di servizio vengono creati quando le organizzazioni lanciano nuove app e servizi. La sicurezza degli account deve essere gestita costantemente, con password obsolete aggiornate nel tempo. La modifica delle password crea problemi con le dipendenze dei servizi, con il risultato di credenziali statiche che violano le politiche di sicurezza. Molte applicazioni richiedono autorizzazioni non necessarie per gli account di servizio, aumentando ulteriormente le superfici di attacco. È difficile per le organizzazioni tenere traccia di come vengono utilizzati gli account di servizio e ripulire quelli vecchi.
5. Configurazioni errate degli accessi privilegiati
È piuttosto difficile implementare il controllo degli accessi amministrativi. Le procedure di accesso di emergenza vengono in genere implementate al di fuori dei normali controlli di sicurezza, creando lacune nella sicurezza. Inoltre, le assegnazioni temporanee di privilegi non scadono. Senza una corretta implementazione dei controlli di accesso a tempo determinato, le organizzazioni non possono disporre di un inventario accurato dei propri utenti privilegiati.
Sicurezza di Active Directory con SentinelOne
SentinelOne aggiunge funzionalità specializzate di monitoraggio e protezione di Active Directory. La piattaforma funziona con i servizi di directory per rilevare e reagire agli attacchi contro l'infrastruttura di Active Directory.
Monitoraggio delle directory in tempo reale
Gli agenti SentinelOne vengono distribuiti per monitorare gli eventi e le attività di Active Directory. Attraverso questi agenti, monitorano i tentativi di autenticazione, le modifiche alle autorizzazioni e gli aggiornamenti alla directory con una precisione al secondo. Mantengono registri completi relativi alle azioni amministrative e agli eventi rilevanti per la sicurezza all'interno della gerarchia delle directory.
Funzionalità di protezione dell'identità
SentinelOne fornisce controlli sulla protezione dell'identità della directory. Utilizzando i modelli storici di utilizzo delle credenziali, SentinelOne è in grado di identificare potenziali compromissioni delle credenziali. Registra i tentativi di ottenere maggiori privilegi e l'accesso non autorizzato alle funzioni di amministrazione del sistema. Questi offrono risposte automatizzate che possono includere la risposta a eventi di autenticazione sospetti e attività insolite dell'account.
Azioni di risposta automatizzate
SentinelOne risponde automaticamente quando le minacce prendono di mira Active Directory. Tra queste risposte vi sono il blocco dei tentativi di autenticazione sospetti e la messa in quarantena dei dispositivi compromessi. Gli account compromessi possono essere chiusi e i diritti di accesso non autorizzati possono essere revocati automaticamente sulla piattaforma. Le politiche configurabili determinano le azioni di risposta garantendo al contempo la disponibilità dei servizi di directory.
Integrazione della sicurezza
La piattaforma si collega perfettamente agli strumenti e ai controlli di sicurezza basati su directory esistenti. Utilizzando alcuni controlli di sicurezza aggiuntivi, SentinelOne fornisce un modo per applicare i criteri di gruppo. Completa la registrazione integrata in Windows con una telemetria di sicurezza dettagliata. Dispone di funzionalità di integrazione che consentono la gestione centralizzata della sicurezza delle directory utilizzando la console SentinelOne.
Ridurre il rischio di identità in tutta l'organizzazione
Rilevate e rispondete agli attacchi in tempo reale con soluzioni olistiche per Active Directory ed Entra ID.
Richiedi una demoConclusione
La sicurezza di Active Directory richiede un approccio completo che combini controlli tecnici, pratiche operative e monitoraggio continuo. Le organizzazioni devono affrontare minacce in continua evoluzione che prendono di mira i servizi di directory attraverso tecniche di attacco sofisticate e sfruttano varie vulnerabilità del sistema. Comprendere queste minacce e implementare misure di sicurezza adeguate aiuta a proteggere i sistemi critici di autenticazione e controllo degli accessi.
Le best practice di sicurezza costituiscono la base per la protezione degli ambienti Active Directory. È necessario condurre valutazioni di sicurezza regolari per individuare possibili vulnerabilità e verificare l'efficacia dei controlli associati. L'accesso amministrativo deve essere gestito attraverso sistemi specifici e processi scritti, ma gli account di servizio richiedono una manutenzione continua per evitare falle nella sicurezza. Il Group Policy è un ottimo modo per applicare gli standard di sicurezza a tutti i sistemi collegati al dominio, aggiungendo diversi livelli di protezione per impedire accessi non autorizzati e compromissioni del sistema.
Le moderne soluzioni di sicurezza come SentinelOne forniscono una protezione aggiuntiva e più sofisticata, come il monitoraggio e la correzione automatizzata progettati specificamente per Active Directory. Tali strumenti offrono una visibilità aggiuntiva su ciò che accade all'interno delle directory, accelerando al contempo il rilevamento e la risposta alle minacce.
FAQs
La sicurezza Active Directory è un insieme di misure e controlli che proteggono l'infrastruttura del servizio Active Directory utilizzata per l'autenticazione e l'accesso alla rete. Le funzionalità di protezione includono soluzioni per proteggere i controller di dominio, protocolli di autenticazione sicuri e controllo dell'accesso alle risorse nell'ambiente aziendale.
La sicurezza di Active Directory costituisce la base della protezione della rete aziendale, gestendo l'accesso alle risorse e autenticando gli utenti con la loro vera identità. Una compromissione riuscita di Active Directory può significare una compromissione completa della rete, il furto di dati e solo una questione di tempo prima che tutti i servizi/sistemi vengano interrotti, compromettendo la continuità aziendale.
Le violazioni vengono rilevate attraverso il monitoraggio continuo degli eventi di autenticazione, delle directory e delle attività degli account. Per mitigare la violazione, è necessario seguire una serie di passaggi, quali l'isolamento dalla rete dei sistemi compromessi, la revoca dell'accesso agli account, la reimpostazione delle credenziali, ecc.
Se Active Directory è stato compromesso, è necessario isolare immediatamente qualsiasi sistema e controller di dominio specifico. Correggere gli account KRBTGT, controllare i backup delle directory, confermare tutte le credenziali degli account privilegiati nelle organizzazioni e monitorare attentamente i sistemi rimanenti.
Alcune configurazioni errate includono diritti di accesso privilegiati eccessivamente permissivi, password deboli sugli account di servizio, relazioni di trust non necessarie tra domini o misure di sicurezza disabilitate. Le lacune di sicurezza tendono ad essere il risultato delle configurazioni predefinite, che sono qualcosa che gli aggressori sono in grado di sfruttare.
L'elenco di controllo per la sicurezza include valutazioni di sicurezza, misure di sicurezza per il controllo degli accessi, misure di sicurezza per i criteri di gruppo, misure di sicurezza per i controller di dominio e molto altro ancora. È responsabilità delle organizzazioni rafforzare i protocolli di autenticazione, tenere traccia delle modifiche ai servizi di directory e mantenere aggiornate le patch di sicurezza.
Le misure per prevenire gli attacchi ransomware includono l'implementazione di protocolli di autenticazione sicuri, la limitazione dell'accesso amministrativo, il mantenimento di backup aggiornati e il monitoraggio delle reti per individuare eventi sospetti. È necessario che le organizzazioni proteggano i controller di dominio e applichino la segmentazione della rete per ridurre la diffusione degli attacchi.
