19 Smart Tips for Securing Active Directory
 

در این جا Sean سعی کرده تجربه خود را در که در شرکت Intel بدست آورده شرح دهد در مورد امنیت بیشتر در ADS مرحله به مرحله مرور می کنیم :

قبل از انجام این 19 Tips باید در مورد Administrator Groups و Account موارد لازم امنیتی را انجام دهید  و نیز در مورد Password آنها و...

1.Document What You Have

اولین مرحله این می باشد که شما باید از Active Directory خود یک Map و یا یک سری Document داشته باشید از Configuration های آن که توسط Admin ایجاد شده .

این کار موجب می شود که شما بدانید در کجاهای AD تغییرات داده اید و در زمان مشکل به کجاها شک کنید برای رفع اشکال و ...

بهترین Document آنهای میباشد که از Forest و Domain آنها شروع شود و به OU ها و Users و Groups و Computer ها برسد  البته9مواردی همچون External Trust و

Site Names و Site Link ها ,Subnet Settings و البته Replication و ... نیز نباید فراموش شود و در آخر Policy های هر یک که بسیار مهم می باشد .

دو مورد دیگر وجود دارد یکی List GPOs ها می باشد که بر روی Domain وجود دارد و Configuration های آنها و دوم DNS و Configuration آن می باشد که توسط

دستور DNSCMD می توان آنها را بدست آورد و در مورد اولی شما می توانید اطلاعات بیشتر و کاملتر را در صفحه مربوطه مشاهده کنید برای

دیدن اطلاعات بیشتر در مورد GPOs List بر روی  GPMC and Generate Reports For All GPOs  کلیک کنید

2. Control Your Administration

کنترل کردن Administration در یک Forest شاید کمتر دیده شود بر روی شبکه ها منظور از این بخش استفاده نکردن از یک Admin برای کل Forest می باشد .

بدلیل اینکه کار یک Admin برای یک Forest بسیار سخت می باشد به همین دلیل باید تعداد Admin ها را اگر امکان هست زیاد شود و محدود شود به هر بخش یا OU .

خوب استفاده کردن از Delegation می توان بسار کمک کند برای هر قسمت تا تعداد کاربران که مدیریت می کنند یک Site را بیشتر از یک نفر شود .

مدیریت OU را می توان از طریق Delegation  به Supervisor آن OU داد تا مسولیت تغییرات و Configuration آن بر عهده وی باشد زمانی که تعداد OU شما بیش از 10 شود

یک  Admin نمی تواند آنها را درست مدیریت کند در طول مدت کاری .

Figure 1: Delegation on GPMC

برای استفاده درست همانند شکل 1 شما می توانید برای مثال بر روی New - Software...Installation GPO در این بخش یعنی Delegation برای گروه خاصی

که قرار است مدیریت یک یا چند OU  و Policy های آنها را برعهده گیرند Permission مانند Edit Setting ,Delete, Modify Security را بدهید . سپس آن افراد که ممکن است

یک User معمولی باشد امکان این را دارد که Policy مدنظر را Edit کند و مدیریت آن را بر عهده گیرد .

3. Limit the Number of Administrators

در داخل یک Forest شما نیاز به این دارید که همه چیز دارای حداقل Administrator Account باشد

وجود یک NT 4 بر روی سرور های که دارای Active Directory هستند مانند Windows 2000,2003 یک مشکل و نقطه ضعف می باشد .

زمانی که کلیه DC  بر روی شبکه وجود داشته باشد استفاده از کل Forest توسط Admin یکسان می باشد که این با وجود یک سیستم NT 4 ممکن نمی باشد .

4. Test Group Policy Settings

برای اجرا نهایی یک یا چند Policy بر روی شبکه واقعی بهتر می باشد که در محیط آزمایشگاهی اول درستی Policy ها را Test کرده سپس بر روی Network واقعی اعمال کنید

استفاده از سیستم های مجازی مانند Microsoft Virtual Server 2006 و ...

5. Use Separate Administrative Accounts

استفاده از گروه های از Users ها که دارای قدرتی بیشتر از یک User معمولی می باشند و یا یک Admin واقعی می باشد برای هر OU می تواند کمک کند

به هر حال کمتر بودن تعداد Admin برای شبکه مهم می باشد اما به هر حال هر بخش نیاز به افرادی دارد که یک سری کارهای مدیریتی بر روی دیگر User ها انجام می دهند

پس این افراد داری توانایی بیشتر از یک User معمولی می باشند .برای هر OU می توان این افراد را مشخص کرد و در یک گروه قرار داد

و گروه آنها را نیز  باید جزو Account Operator Built-In Group قرار داد .

6. Restrict Elevated Built-in Groups

استفاده از این Policy بسیار مفید می باشد در امنیت Group ها و Active Directory . این Policy هر 5 دقیقه گروه معرفی شده را چک می کند تا Member های آن تغییر نکند

این موجب می شود اگر فردی یک Account را به هر دلیلی توانسته باشد عضو یک گروه کند که البته بدون اطلاع Admin می باشد بعد 5 دقیقه User اضافه شده شناسایی شده

و از آن گروه پاک شود .

Figure 2: Restricted Groups Policy on Domain Controller

همانند شکل Figure 2 در Policy مشخص شده بر روی Domain چه Account هایی عضو گروه Administrators می باشند که مانند شکل دو Account زیر می باشد:

1. Enterprise\Secure%root

2. Enterprise\ROOTUS

اگر به هر دلیلی یک User جدید به این گروه اضافه شود بعد از 5 دقیقه پاک می شود اگر بخواهید همان لحظه این Policy رخ دهد باید دستور GPUpdate /Force را اجرا کرد بر روی DC.

درشکل بالا مشاهده می کنید که دو گروه SCHEMA Admins و ENTERPRISE Admins نمی توانند هیچ عضوی دارا باشند .

7. Use a Dedicated Terminal Server for Administrators

استفاده از Terminal Server برای دسترسی Admin ها به سرور های DC یک روش مفید و دارای امنیت بیشتر می باشد استفاده از Policy های مربوطه نیز می تواند کمک کند

برای مثال چند نفر در یک لحظه به سرور Connect باشند و چه توانایی دارند نیز می تواند کمک زیادی کند به Secure کردن DC  ها و نیز موجب می شود که نرم افزار های Malware

بر روی سرور به راحتی نصب نشوند کم شدن درصد RISK دسترسی های غیره قانونی بر روی سرور را نیز موجب می شود چون سرور در جای امن بدور از دسترس قرار می گیرد و

توسط Terminal Service کنترل می شود استفاده از روشهای دیگر مانند Screen Saver + PWD می تواند کمک کند به این امنیت .استفاده از Policy: Log on Locally نیز موجب بالا

رفتن امنیت سرور می شود در زمان استفاده از Terminal Server و در آخر استفاده از LDAP Traffic با کمک Encryption میان Admin Client با Server می تواند کمک بسیار زیادی کند .

8. Disable Guest and Rename Administrator Account

این بخش بصورت کامل در صفحه دیگر شرح داده شده برای دیدن آن بر روی Securing Active Directory Administrative Groups and Accounts کلیک کنید .

9. Limit Access to the Administrator Account

محدود کردن دسترسی به سرور با قدرت یک Administrator می تواند نقش مهمی برای امنیت سرور ایفا کند .Microsoft استفاده از حداکثر دو Admin برای یک Domain را مناسب

می داند و نیز استفاده از PWD با قدرت Strong یا قوی که دارای بیش از 8 کارکتر باشد .

روشی وجود داردی برای دادن یک PWD برای Administrator Account و آن هم به این صورت می باشد که یک DC دارای دو Administrator باشد و هر یک دارای یک

Password باشند که حداقل  8 کارکتر باشد و PWD هر یک با نفر دوم متفاوت باشد .  در زمان Logon باید هر دو Administrator باشند و هر یک Pass خود را وارد کند.

در نتیجه Administrator Account دارای 16 کارکتر PWD می باشد .

For a good password generator, take a look at www.winguides.com/security/password.php.

10. Watch the DSRM Password

از DSRM PWD  در زمان DSRM Mode برای گرفتن یک Backup , Copy از Active Directory Database استفاده می شود .این PWD بر روی هر DC متفاوت می باشد .

 DSRM : Directory Service Restore Mode

این PWD نباید Blank باشد چون با داشتن آن می تواند NTDS.DIT که همان ADS Database می باشد را کپی کرد .Update کردن منظم PWD آن در زمان های منظم می تواند کمک کند

به امنیت شبکه و DC . در Windows 2000 Server این کار با داشتن SP2 توسط دستور Setpwd  انجام می شد بصورت Locally , Remote در Win 2003 Server این کار توسط

دستور NTDSUTIL انجام می شود .

 

Windows 2000 Service Pack 2 introduced the SETPWD command (see the Knowledge Base article "Configure Your Server Wizard sets a blank recovery mode password") to remotely update the DSRM password. The NTDSUTIL command in Windows 2003 has the ability to change it remotely (see "How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server 2003"). Create a script to run this operation against your DCs, and run it regularly.

11. Enforce Strong Password Rules

استفاده از یک Password با بیش از 6 کارکتر برای مثال (8 کارکتر) و استفاده از کارکتر های مانند %$#@&^)(*!× و اعداد می تواند یک Strong PWD ایجاد کند .

 

By now, you all know the benefits of strong passwords, but it’s probably too much to expect your users to use them willingly. To help them along, you really should enforce strong password rules in your domain (see "Enabling Strong Password Functionality in Windows 2000"). You can help your users by suggesting strategies such as the use of passphrases instead of confusing word/number/character combinations.

12. Protect the Service Account's Password

هر سروری که بر روی خود سرویس دهی می کند از طریق Application های متفاوت یک Application Server می باشد نرم افزارهایی که بر روی سرور

عملیتهایی مانند Backup گیری را انجام می دهند را می توان مثال زد .این Application ها برای کار بر روی DC نیاز به یک یا چند Account دارند تا از طریق آنها به منابع شبکه

دسترسی داشته باشند در اصطلاح Account هایی که برای این منظور ایجاد می شوند را Service Account می نامند .SQL نیز از این Account ها استفاده می کند .

Password هایی که برای Account های این Application ها استفاده می شود معمولا ثابت می باشد و نکته مهم و خطر ناک آنها این می باشد که در ADS معمولا این

Account ها دارای Property : Password Never Expire می باشند . کلا داشتن این Property بر روی ADS حتی برای یک Account هم خطرناک می باشد و Risk حمله به آن

Account بالا می باشد. در شکل زیر توسط ابزار MBSA شما می توانید موارد امنیتی Windows را چک کنید که یکی آز آنها PWD Expire می باشد .

 

Figure 3: Microsoft Baseline Security Analyzer (MBSA 2) and (Policy : Log on as a Service)

استفاده از Policy مانند Deny Log on locally برای Service Account و نیز معرفی آنها در Policy : Log on as a Service می تواند کمک زیادی به Security سرور کند .

13. Make Sure That Each DC Secure Physically

در یک Forest هر Domain دارای یکسری DC می باشد که هر DC  یک Copy  از NTDS.DIT را بر روی خود دارد یعنی یک کپی از ADS Database را بر روی خود دارد .

Directory Information Tree  یا همان DIT Files کلیه اطلاعات Users and Password های آنها را در خود دارد .اگر یک DC از نظر امنیتی در جای مناسب قرار نگیرد و از

طریق یک سارق این قایل Copy شود و در واقع دزدیده شود و سپس توسط برنامه های Hack این فایل مورد حمله قرار گیرد Hacker می تواند بعد از مدتی کلیه User/PWD های

شبکه را پیدا کند و .... در Windows "Longhorn" Server این مورد در نظر گرفته شده و از  RODC استفاده می شود .

RODC : Read Only DC

در این نوع DC فایل DIT وجود دارد مانند DC های قدیمی اما اطلاعات PWD را ندارد در خود  به همین دلیل RISK دزیده شدن این فایل وجود ندارد عمل Authenticate توسط یک Full DC

دیگر انجام می شود و RODC فقط یک Password Caching می باشد نه بیشتر و Client ها از طریق Full DC شناسایی می شوند ولی از طریق RODC سرویس دهی می شوند .

14. Minimize Unnecessary Services and Open Ports

در SP1 + Windows 2003 Server شما  می توانید توسط SCW Security Configuration Wizards سیستم سرور Secure کنید به سادگی .

DoS Denial of Service یک روش حمله بسیار خطرناک برای از کارانداختن Service های سرور می باشد وبرای ADS دو DoS وجود دارد :

1.flood Active Directory with objects

2.flooding the SYSVOL folder with files

flood Active Directory with objects

برای Crash کردن یک ADS Database می توان با بزرگ کردن حجم فایل NTDS.DIT این حمله را انجام داد.زمانی که حجم فایل بزرگتر از حجم Partition خود شود این DoS رخ می دهد .

برای جلوگیری از این حمله می توان از DSMOD Partition , DSMOD Quota استفاده کرد .

flooding the SYSVOL folder with files

روش دوم برای حمله به DC می تواند حمله به SYSVOL Folder باشد .با لبریز شدن فایلها از Boot Partition یک Attacker می تواند DC  را Crash کند با Full شدن Partition.

در اینجا نمی تواند از QUOTA استفاده کرد .

روشی وجود دارد برای ایجاد یک فایل خالی بنام Reverse File .شما باساختن این فایل فضایی که مد نظر دارید برای خود بر روی Disk را اشغال می کنید زمانی که Attack

رخ داد و فضای DISK شما Full شد با پاک کردن این فایل آن فضا به Disk شما اضافه می شود . برای این کار می توانید همانند Figure 4 از دستور زیر استفاده کنید :

 Syntax: FSUTIL FILE CREATENEW

Figure 4: FSUTIL Command (Reverse File)

15. Make the DC Time Source Secure

چون Active Directory از Kerberos استفاده می کند و به آن وابسته می باشد  تفاوت زمان یا Time بین DC ها بسیار مهم و حساس می باشد.

یک DC در یک Forest در آمریکا نباید Time آن با یک DC دیگر در همان Forest اما در اروپا یکی باشد .

By default, the PDC operations master in the root domain is the reference to which all other DCs in the forest look for accurate time. What time source does this DC look to for accurate time? Is it secure?

16. Audit Important Events

موردی که شاید بیشتر Admin ها آن را نادیده می گیرند آن هم توجه کردن به Event Viewer و استفاده از Auditing  می باشد .

در Auditing مواردی همچون Logon Failed  که مشخص کننده نفوظ نا موفق به Domain می باشد و یا  Object Access , Policy Change , Account Management : Succ/Fail

می تواند کمک بسیاری به Admin بکند درشناسایی  Attack ها و...

17. Use IPSec

این مورد واقعا نیازی به شرح ندارد چون همه به قدرت IPSEC و توانایی های آن آشنا می باشند .

Many organizations have dragged their feet on the implementation of IPsec because of the complex rules you must build, but it’s relatively easy to implement for inter-DC communication only. For communications from DCs to clients, there are a number of options to consider. Windows Server 2003 DCs by default have SMB signing enabled, which means they sign all their communications to the client to prevent spoofing. Its policy is listed as "Microsoft network server: Digitally sign communications (always)". Be aware of this change when you upgrade, and don’t disable it if you don’t have to.

18. Do Not Store LAN Manager Hash Values (POLICY)

استفاده از این Policy می تواند کمک بسیاری در امنیت Client ها و در نهایت Network داشته باشد در یک Domain.

LAN Manager Hash به سادگی توسط ابزارهای Hack پیشترفته Crack می شوند البته برخی مواقع زمان بر می باشد اما شدنی است .

با این کار Risk را به صفر می رسانیم برای این مورد از حمله .

Send NTLM v2 response only, refuse LM and NTLM استفاده از این Policy نیز کمک می کند به Secure شدن Client ها.

 

You should try to rid yourself of LM (Lan Manager) password hashes if possible; many password crackers attack the weak LM hash and then deduce the stronger NTLM hash. The policy you need is "Do Not Store LAN Manager Hash Value on Next Password Change". Also consider enabling "Send NTLM v2 response only, refuse LM and NTLM". Most down-level clients can be configured to use NTLMv2. This may not be possible for Active Directory installations in factory environments or other installations where embedded Windows is used. Test these settings carefully because they can break down-level clients. It’s important to remember that these clients not only include Windows NT 4.0 and Windows Me, but also other Server Message Block (SMB)-enabled network clients like network attached storage (NAS) devices, UNIX clients running Samba, or embedded Windows devices like factory station controllers. The Knowledge Base article "Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments" lists recommendations for most DC security settings and user rights.

19. Do Not Forget Your Business Practice

Handle emergencies and document procedures for facing situations like compromised passwords, general Active Directory attacks, and Active Directory disaster recovery. Microsoft has done much of this work for you in "Best Practice Guide for Securing Active Directory Installations", and "Best Practices: Active Directory Forest Recovery".

در زیر مشخصات نویسنده این مقاله را مشاهده می کنید .

19 Smart Tips for Securing Active Directory

Sean Deuby is a design engineer with Intel Corporation, where he is the senior member of the identity and directory services team. The author of many articles and presentations on Active Directory and Windows Server, this is his third year as a Directory Services MVP with Microsoft.
 

Last Updated: October 01, 2006

Winteacher.com
19 Smart Tips for Securing Active Directory

 © 2003-2006 Winteacher.com . All rights reserved