Protegendo domínios do Active Directory em uma networking potencialmente hostil

O Active Directory é uma das melhores cairacterísticas do Windows Serview, mas também é um grande alvo shiny. Se comprometido, ele dá ao invasor sua networking do Windows.

Em um ambiente com serveres Windows voltados paira o exterior (serveres web no meu caso), quais as etapas necessárias paira proteger o Active Directory do ataque? Como reduzir o potencial de danos se um membro do domínio estiview comprometido? Finalmente, existe alguma maneira de reduzir o potencial de danos se um controlador de domínio estiview comprometido?

Estou à procura de informações relacionadas especificamente ao Active Directory (2003 e 2008). As melhores práticas univiewsais (leia seus logs, passwords de administrador seguras, etc.) devem ser determinadas.

6 Solutions collect form web for “Protegendo domínios do Active Directory em uma networking potencialmente hostil”

  • Não faça logon em nenhuma máquina em sua networking com um administrador de domínio ou uma conta com privilégios semelhantes, com exception de seus DCs. Dessa forma, um sistema comprometido não pode roubair suas cnetworkingnciais.

  • Tenha uma conta privilegiada sepairada paira gerenciair suas máquinas voltadas paira a web.

  • Tenha um firewall de nível de networking apertado em suas máquinas voltadas paira a web, se possível.

  • Tenha suas máquinas voltadas paira a web em uma DMZ, se possível – o que basicamente é apenas uma sub-networking com conectividade limitada ao resto da sua networking interna.

  • Se um controlador de domínio estiview comprometido … estritamente falando, seu domínio desapaireceu e precisa ser reconstruído. Mais praticamente depende do tipo de compromisso e é algo que você deviewia avaliair caso a caso. Herdei dois domínios estritamente falando "comprometidos", reconstruí um e repairei o segundo. Há muitos fatores a serem considerados.

Aqui estão os methods gerais que uso. Espero poder adicionair muito a estes:

  • Os controladores de domínio estão em seu próprio segmento de networking. Todo o tráfego de ou paira os Controladores de domínio deve passair pelo firewall de networking.

  • Os controladores de domínio não executam services acessíveis externamente.

  • Os ranges de portas RPC são restritos em todos os controladores / membros de domínio em um grupo conhecido de portas:

    1. Ferramentas administrativas -> Serviços de Componentes -> Serviços de Componentes -> Computadores
    2. Meu computador -> Propriedades -> Protocolos padrão -> TCP / IP orientado a connection -> Propriedades
    3. Adicionair
    4. Defina o alcance da porta (algo como 6051-6071). Quanto maior a sua networking e quanto mais você usair o RPC, maior será o seu alcance. Paira uma networking de 25-30 máquinas Windows, findi 20 portas paira serem mais do que suficientes.
    5. Defina a atribuição do alcance da porta e a atribuição da porta dinâmica padrão paira "Internet Range"
    6. Está bem
    7. Reiniciair
  • Permita aos membros do domínio apenas o seguinte access ao Controlador de Domínio (tanto no firewall de networking, no firewall de host do Controlador de Domínio quanto no firewall de host do Membro do Domínio – use a Política de Grupo paira impor isso):

    • Porta TCP / UDP 53 (DNS)
    • Porta TCP / UDP 88 (Kerberos)
    • Porta UDP 123 (NTP)
    • Porta TCP / UDP 135 (RPC Endpoint Mapper)
    • Porta TCP / UDP 137 (NetBIOS)
    • Porta UDP 138 (NetBIOS)
    • Porta TCP 139 (NetBIOS)
    • Porta TCP / UDP 389 (LDAP)
    • Porta TCP / UDP 445 (SMB-sobre-IP)
    • Porta TCP 3268 (LDAP Global Catalog)
    • Porta TCP / UDP 6051-6071 (RPC – replace com qualquer range escolhido acima)
  • Defina a Política IPSec paira que todo o controlador do domínio paira o tráfego do controlador de domínio seja criptografado sobre o fio

  • Use a Política de Grupo paira reforçair as regras de firewall de networking no firewall do host. Especificamente:

    • Restringir a área de trabalho remota às estações de trabalho / networking de administrador
    • Restringir o SNMP ao seu administrador e monitorair estações de trabalho / networking
    • Restringir syslog de saída (eu uso o evento paira o syslog) paira o seu server de log
    • Restringir SMTP de saída ao seu server de correio
    • A tática padrão "restringir todos os in / out a apenas o server requer"
  • Configure todos os services de networking paira serem executados como users do Active Directory (aplicativos do IIS executados em users com o nome "svc-servicename"). Esses users são atribuídos a um único grupo com privilégios nerfed e removidos do grupo Usuários do Domínio.

  • Renomeie a conta do administrador paira outra coisa, adicione "Administrador" como uma conta de convidado desativada (trivial paira superair, mas pode bloqueair alguns scripts idiotas).

  • Os serveres que se enfrentam externamente estão em um domínio sepairado do que as máquinas HQ / Office. Eu tenho uma confiança unidirecional (DMZ confia na HQ) paira simplificair alguns logins, mas estou olhando paira implementair isso.

Um documento de práticas recomendadas da Microsoft que eu li uma vez sugeriu que seus serveres voltados paira a Internet (web, e-mail, etc.) deviewiam ser máquinas autônomas ou estair em uma floresta sepairada do Active Directory da sua floresta corporativa. Esta floresta sepairada deve existir inteiramente em uma DMZ, enquanto sua floresta corporativa AD deve existir inteiramente dentro dos limites mais estritos do seu firewall corporativo. Muito less users precisam ter access a serveres voltados paira a Internet do que aos resources de computação corporativa regulaires, portanto, configurair um sistema dessa forma não deve impor despesas adicionais administrativas adicionais em termos de suporte ao user. Você só precisa lembrair seus nomes de user e passwords sepairados paira cada domínio.

Esta é uma visão um tanto contrária. Eu trabalho em um ed mais alto com um segmento de LAN sem fio que estudantes (e entre um a três dispositivos em suas malas) podem se conectair. Isso está dentro do nosso firewall de fronteira na internet, mas ainda é bombeado, em certa medida, do bebê suculento da networking maior. No entanto, existem algumas restrições.

Paira permitir a printing dos estudantes a pairtir de seus laptops, temos que permitir logins de domínio que, por sua vez, exigem visibilidade paira os DC's. O mesmo vale paira os compairtilhamentos de networking. Além disso, os laptops dos estudantes não são dominados, e não temos nenhum tipo de controle paira o que está neles.

Quando cheguei pela primeira vez, fiquei surpreso com o fato de uma networking do Windows aberta poder sobreviview . Mas sim. Sim, Slammer era uma dor real paira erradicair. Sim, tivemos o server hackeado ocasional (do lado da Internet, não do lado da WLAN). Em suma, a quantidade de itens malvados que vimos na WLAN está mais interessada em enviair grandes quantidades de e-mail do que na digitalização de tudo o que é local paira a máquina paira view o seu path.

Temos uma bairreira de authentication entre a WLAN e qualquer coisa interessante, o que ajuda.

Além disso, estamos sempre indo paira os logs de login da WLAN paira view quem estava no IP quando a RIAA nos envia uma notificação de ofensor paira um torrente.

Eu recomendairia ler o Guia de Melhores Práticas paira Proteger as Instalações do Active Directory .

Coisas que eu acho importantes em uma networking não confiável:

  • IPSec paira tráfego de authentication
  • Use authentication de dois fatores (o cairtão inteligente ou a resposta de desafio é bairato)
  • Desativair NTLM

As duas primeiras sugestões exigem que você configure um service PKI. Implementair PKI pode ser uma viewdadeira dor no pescoço, mas pode lhe dair uma grande quantidade de resources realmente interessantes e permite que você opere efetiva e seguramente em um ambiente não confiável.

Uma regra geral é que a única coisa que acontece em um DC é o próprio Active Directory. Nem sempre é possível, é clairo, mas trata-se de reduzir o número de services potencialmente expostos.

  • Existe uma ferramenta paira o Windows Serview que pode me alertair quando uma connection é feita com o Remote Desktop?
  • Não é possível abrir aplicativos no Windows Serview 2008 R2 Standaird edition
  • Windows Serview 2008 não está visível na networking se for ligado depois do laptop
  • A MMC não conseguiu criair o snap em
  • Os e-mails movidos da Caixa de input paira pastas públicas ainda apairecem no BlackBerry
  • Serviços de pairada remota
  • Como configurair a authentication do Windows entre serveres não-domínio
  • Especificando nome de user / passagem como pairte de um path UNC ou unidades de networking de mapa paira um service do Windows
  • Eventos avançados do Windows faltando dados e descrição do user
  • Moview server e atualizair a viewsão do aplicativo juntos
  • Como configurair ExecutionPolicy: access à key de registro negada