Active Directory (AD) is een zeer aantrekkelijk doelwit voor aanvallers, die regelmatig pogingen ondernemen om het systeem te compromitteren om hun privileges te vergroten en hun toegang uit te breiden. Helaas betekent de operationele noodzaak ervan dat AD gemakkelijk toegankelijk moet zijn voor gebruikers in de hele onderneming, waardoor het notoir moeilijk te beveiligen is. Microsoft heeft verklaard dat dagelijks meer dan 95 miljoen AD-accounts worden aangevallen, wat de ernst van het probleem onderstreept.
Hoewel het beveiligen van AD een uitdaging is, is het zeker niet onmogelijk. Het vereist alleen de juiste tools en tactieken. Hieronder volgen tien tips die bedrijven kunnen gebruiken om AD effectiever te beveiligen tegen enkele van de meest voorkomende aanvalstactieken van dit moment.
1. Voorkom en detecteer opsomming van bevoorrechte, gedelegeerde beheer-, service- en netwerksessies
Zodra een aanvaller de perimeterverdediging heeft doorbroken en voet aan de grond heeft gekregen binnen het netwerk, zal hij verkenningen uitvoeren om potentieel waardevolle activa te identificeren – en hoe hij daar kan komen. Een van de beste manieren om dit te doen is door zich te richten op AD, omdat hij dit kan vermommen als normale bedrijfsactiviteiten die nauwelijks kunnen worden gedetecteerd.
De mogelijkheid om opsommingen van privileges, gedelegeerde beheerders en serviceaccounts te detecteren en te voorkomen, kan verdedigers al vroeg in de aanvalscyclus waarschuwen voor de aanwezigheid van een aanvaller. Het inzetten van misleidende domeinaccounts en inloggegevens op eindpunten kan aanvallers ook in de val lokken en verdedigers in staat stellen hen om te leiden naar lokvogels voor een confrontatie.
2. Identificeer en herstel blootstellingen van geprivilegieerde accounts
Gebruikers slaan inloggegevens vaak op hun werkstations op. Soms doen ze dit per ongeluk, maar soms ook bewust, meestal uit gemak. Aanvallers weten dit en zullen die opgeslagen inloggegevens aanvallen om toegang te krijgen tot de netwerkomgeving. De juiste inloggegevens kunnen veel opleveren, en indringers zullen altijd proberen hun privileges te vergroten en verder toegang te krijgen.
Bedrijven kunnen voorkomen dat aanvallers gemakkelijk toegang krijgen tot het netwerk door blootgestelde geprivilegieerde accounts te identificeren, verkeerde configuraties te herstellen en opgeslagen inloggegevens, gedeelde mappen en andere kwetsbaarheden te verwijderen.
3. Bescherm en detecteer "Golden Ticket"- en "Silver Ticket"-aanvallen
Pass-the-Ticket (PTT) aanvallen behoren tot de krachtigste technieken die tegenstanders gebruiken om zich lateraal door het netwerk te bewegen en hun privileges te escaleren. Het stateloze ontwerp van Kerberos maakt het gemakkelijk om misbruik te maken, wat betekent dat aanvallers gemakkelijk tickets binnen het systeem kunnen vervalsen. "Golden Ticket" en "Silver Ticket" zijn twee van de ernstigste soorten PTT-aanvallen die aanvallers gebruiken om domeinen te compromitteren en domeinpersistentie te bereiken.
Om dit aan te pakken, moet u kwetsbare Kerberos Ticket Granting Tickets (TGT's) en computerserviceaccounts kunnen detecteren en misconfiguraties kunnen identificeren en signaleren die mogelijk tot PTT-aanvallen kunnen leiden. Bovendien kan een oplossing zoals Singularity Identity het gebruik van vervalste tickets op de eindpunten voorkomen.
4. Bescherming tegen Kerberoasting-, DCSync- en DCShadow-aanvallen
Een "Kerberoasting"-aanval is een gemakkelijke manier voor tegenstanders om geprivilegieerde toegang te verkrijgen, terwijl DCSync- en DCShadow-aanvallen de domeinpersistentie binnen een onderneming in stand houden.
Verdedigers moeten in staat zijn om AD continu te beoordelen, zodat ze realtime analyses van AD-aanvallen kunnen uitvoeren en tegelijkertijd kunnen waarschuwen voor de verkeerde configuraties die tot die aanvallen leiden. Bovendien kan een oplossing die gebruikmaakt van de aanwezigheid van eindpunten om te voorkomen dat kwaadwillenden accounts ontdekken om aan te vallen, hun vermogen om deze inbraken uit te voeren belemmeren.
5. Voorkom het verzamelen van inloggegevens uit domeinshares
Tegenstanders richten zich vaak op platte tekst of omkeerbare wachtwoorden die zijn opgeslagen in scripts of groepsbeleidsbestanden in domeinshares zoals Sysvol of Netlogon.
Een oplossing zoals Singularity Identity Posture Management kan helpen bij het detecteren van deze wachtwoorden, waardoor verdedigers de kwetsbaarheden kunnen verhelpen voordat aanvallers ze kunnen misbruiken. Mechanismen zoals die in de Singularity Identity oplossing kunnen ook misleidende Sysvol-groepsbeleidsobjecten in de productie-AD implementeren, waardoor de aanvaller verder wordt verstoord door hem weg te leiden van productieactiva.
Singulariteit™ Identiteit
Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.
Vraag een demo aan6. Identificeer accounts met verborgen geprivilegieerde SID
Met behulp van de Windows Security Identifier (SID)-injectietechniek kunnen aanvallers misbruik maken van het SID-attribuut 'geschiedenis', waardoor ze zich lateraal binnen de AD-omgeving kunnen verplaatsen en hun privileges verder kunnen escaleren.
Om dit te voorkomen, moeten accounts worden gedetecteerd die zijn ingesteld met bekende geprivilegieerde SID-waarden in het SID-geschiedenisattribuut en rapporten.
7. Detecteer gevaarlijke delegatie van toegangsrechten op kritieke objecten
Delegatie is een AD-functie waarmee een gebruiker of computeraccount zich kan voordoen als een ander account. Wanneer een gebruiker bijvoorbeeld een webapplicatie oproept die op een webserver wordt gehost, kan de applicatie de inloggegevens van de gebruiker nabootsen om toegang te krijgen tot bronnen die op een andere server worden gehost. Elke domeincomputer waarop onbeperkte delegatie is ingeschakeld, kan de inloggegevens van gebruikers nabootsen voor elke andere service op het domein. Helaas kunnen aanvallers deze functie misbruiken om toegang te krijgen tot verschillende delen van het netwerk.
Door AD-kwetsbaarheden en delegatieblootstellingen continu te monitoren, kunnen beveiligers deze kwetsbaarheden identificeren en verhelpen voordat aanvallers ze kunnen misbruiken.
8. Identificeer geprivilegieerde accounts met ingeschakelde delegatie
Wat delegatie betreft, kunnen geprivilegieerde accounts die zijn geconfigureerd met onbeperkte delegatie direct leiden tot Kerberoasting- en Silver Ticket-aanvallen. Bedrijven moeten geprivilegieerde accounts met ingeschakelde delegatie kunnen detecteren en rapporteren.
Een uitgebreide lijst van geprivilegieerde gebruikers, gedelegeerde beheerders en serviceaccounts kan verdedigers helpen om potentiële kwetsbaarheden in kaart te brengen. In dit geval is delegatie niet automatisch slecht. Het is vaak noodzakelijk om operationele redenen, maar verdedigers kunnen een tool zoals Singularity Identity gebruiken om te voorkomen dat aanvallers deze accounts ontdekken.
9. Identificeer niet-bevoorrechte gebruikers in AdminSDHolder ACL
Active Directory Domain Services (AD DS's) gebruiken het AdminSDHolder en het Security Descriptor Propagator (SDProp)-proces om bevoorrechte gebruikers en groepen te beveiligen. Het AdminSDHolder-object heeft een unieke Access Control List (ACL), die de machtigingen controleert van beveiligingsprincipals die lid zijn van ingebouwde bevoorrechte AD-groepen. Om laterale bewegingen mogelijk te maken, kunnen aanvallers accounts toevoegen aan de AdminSDHolder, waardoor ze dezelfde bevoorrechte toegang krijgen als andere beschermde accounts.
Organisaties kunnen deze activiteit voorkomen met een tool zoals Singularity Identity Posture Management om de aanwezigheid van ongebruikelijke accounts binnen de AdminSDHolder ACL te detecteren en te signaleren.
10. Identificeer recente wijzigingen in het standaarddomeinbeleid of het standaarddomeincontrollerbeleid
Binnen AD gebruiken organisaties groepsbeleid om verschillende operationele configuraties te beheren door beveiligingsinstellingen te definiëren die specifiek zijn voor de omgeving. Deze configureren vaak administratieve groepen en bevatten opstart- en afsluitscripts. Beheerders configureren ze om door de organisatie gedefinieerde beveiligingsvereisten op elk niveau in te stellen, software te installeren en bestands- en registermachtigingen in te stellen. Helaas kunnen aanvallers dit beleid wijzigen om domeinpersistentie binnen het netwerk te bereiken.
Door wijzigingen in het standaardgroepsbeleid te monitoren, kunnen verdedigers deze aanvallers snel opsporen, waardoor beveiligingsrisico's worden beperkt en geprivilegieerde toegang tot AD wordt voorkomen.
Identiteitsrisico's in uw hele organisatie verminderen
Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.
Vraag een demo aanDe juiste tools inzetten
Inzicht in de meest voorkomende tactieken die tegenstanders gebruiken om AD aan te vallen, kan bedrijven helpen zich hiertegen te verdedigen. Bij de ontwikkeling van tools zoals Singularity Identity Posture Management en Singularity Identity hebben we rekening gehouden met veel aanvalsvectoren en bepaald hoe we deze het beste kunnen detecteren en dwarsbomen.
Met deze tools kunnen bedrijven tegenwoordig effectief kwetsbaarheden identificeren, kwaadaardige activiteiten vroegtijdig detecteren en beveiligingsincidenten verhelpen voordat indringers hun privileges kunnen uitbreiden en een kleinschalige aanval kunnen omzetten in een grootschalige inbreuk. Het beschermen van AD is een uitdaging, maar dankzij de huidige AD-beveiligingstools is het geen onoverkomelijke uitdaging.
"Veelgestelde vragen over best practices voor Active Directory-beveiliging
Active Directory-beveiliging is een reeks maatregelen en praktijken die u kunt gebruiken om uw Microsoft Active Directory-omgeving te beschermen tegen cyberdreigingen. Het bepaalt wie toegang heeft tot welke bronnen in uw netwerk door gebruikersaccounts, computers en machtigingen vanaf één centrale locatie te beheren. In feite is het een poortwachter die controleert of gebruikers zijn wie ze zeggen dat ze zijn en bepaalt wat ze mogen doen zodra ze toegang hebben gekregen.
Dit omvat authenticatie, autorisatie, toegangscontrole en monitoring om te voorkomen dat onbevoegde gebruikers uw systemen en gegevens verstoren.
Active Directory-beveiliging is van cruciaal belang, want als aanvallers toegang krijgen tot uw AD, hebben ze in feite de sleutels van uw hele koninkrijk in handen. Uw AD regelt de toegang tot alle systemen, applicaties en gevoelige gegevens in uw netwerk. Een gecompromitteerd AD kan leiden tot enorme datalekken, systeemcorruptie en zelfs volledige netwerkstoringen.
Er zijn nu jaarlijks 25 miljard Azure AD-aanvallen en als u deze centrale hub niet beveiligt, kunnen kwaadwillenden hun privileges uitbreiden, zich lateraal door uw netwerk verplaatsen en ransomware inzetten of inloggegevens stelen. De schade kan uw bedrijfsvoering lamleggen en leiden tot aanzienlijke financiële verliezen.
U moet het aantal gebruikers met geprivilegieerde rechten tot een minimum beperken en groepen gebruiken om toegang toe te wijzen in plaats van individuele machtigingen. Pas een sterk wachtwoordbeleid toe met moderne vereisten en dwing multi-factor authenticatie af voor alle beheerdersaccounts. Schakel onnodige services zoals Print Spooler uit, schakel SMBv1 uit en beperk NTLM waar mogelijk. Voer regelmatig beveiligingsbeoordelingen uit om inactieve accounts op te sporen en te verwijderen voordat ze een aanvalsvector worden.
Controleer uw AD continu op verdachte activiteiten, met name rond wijzigingen in geprivilegieerde groepen en mislukte inlogpogingen. Zorg ervoor dat domeincontrollers fysiek beveiligd zijn en zorg voor goede back-up- en herstelplannen.
MFA maakt uw AD veel veiliger door extra verificatiestappen toe te voegen naast alleen wachtwoorden. Zelfs als aanvallers uw inloggegevens stelen via phishing of brute-force-aanvallen, kunnen ze niet binnenkomen zonder de tweede factor, zoals een mobiele app of hardwaretoken. MFA blokkeert meer dan 99,9% van de geautomatiseerde aanvallen en vermindert het risico op inbreuken met 98,56%, zelfs wanneer inloggegevens zijn gelekt.
U kunt verschillende methoden gebruiken, zoals Microsoft Authenticator, FIDO2-sleutels, biometrie en platforms zoals SentinelOne, om het voor kwaadwillenden moeilijker te maken om accounts te compromitteren. MFA biedt ook betere audittrails voor forensische analyse als er iets misgaat.
Uw AD-beveiligingschecklist moet beginnen met het controleren van de huidige beveiligingsstatus en het identificeren van verouderde accounts die moeten worden verwijderd. Het zal het wachtwoordbeleid herzien en versterken en vervolgens accountvergrendelingsbeleid implementeren om brute-force-pogingen te stoppen. Een ander punt is het implementeren van meervoudige authenticatie voor alle geprivilegieerde accounts en het opstellen van veilig toegangsbeheer op basis van het principe van minimale privileges. Zorg voor regelmatig patchbeheer, voer kwetsbaarheidsbeoordelingen uit en voer AD-audits uit om configuratieproblemen op te sporen.
Zorg voor goede logboekregistratie en monitoring van kritieke gebeurtenissen, met name rond wijzigingen in de domeinbeheerdersgroep en mislukte authenticaties. Documenteer uw beveiligingsbeleid, train uw personeel in best practices en test uw AD-herstelprocessen regelmatig.
U moet specifieke gebeurtenis-ID's in uw beveiligingslogboeken controleren, met name mislukte aanmeldingen (4625), accountvergrendelingen (4740) en pogingen tot privilege-escalatie (4672). Let op ongeoorloofde wijzigingen in groepen met privileges, zoals domeinbeheerders en bedrijfsbeheerders, aangezien deze vaak wijzen op beveiligingsinbreuken. Stel realtime waarschuwingen in voor ongebruikelijke aanmeldingspatronen, zoals meerdere mislukte pogingen vanaf één IP-adres of aanmeldingen buiten de normale werkuren.
Houd wijzigingen in het groepsbeleid, het opnieuw instellen van wachtwoorden voor beheerdersaccounts en eventuele wijzigingen in de instellingen van de domeincontroller in de gaten. SentinelOne kan u helpen deze activiteiten bij te houden en ondersteunt u met geautomatiseerde detectie en waarschuwingen
