Active Directory (AD) ma kluczowe znaczenie dla zarządzania użytkownikami i zasobami, ale błędy mogą prowadzić do zagrożeń bezpieczeństwa i nieefektywności. Od nieaktualnych kont po błędnie skonfigurowane uprawnienia, typowe nieprawidłowe ustawienia mogą zakłócać działanie i zgodność. W tym wpisie postaram się omówić najczęstsze błędy w AD, których należy unikać.
Dodawanie zbyt wielu użytkowników do grup uprzywilejowanych (Administratorów Domeny)
Nadużywanie grup uprzywilejowanych, takich jak Administratorzy Domeny, ma miejsce, gdy do tych grup dodaje się zbyt wielu użytkowników. Grupa Administratorzy Domeny ma pełną kontrolę nad usługą Active Directory, umożliwiając swoim członkom wykonywanie czynności takich jak dostęp do danych, usuwanie kont, resetowanie haseł i modyfikowanie uprawnień. Konta w tych grupach są głównym celem ataków, ponieważ zapewniają łatwy dostęp do poufnych danych firmy. Minimalizacja użycia grupy Administratorzy Domeny zmniejsza ryzyko, przestrzega zasady minimalnych uprawnień i pomaga zapobiec całkowitemu przejęciu domeny w przypadku naruszenia bezpieczeństwa konta.
Kilka innych wbudowanych grup uprzywilejowanych w usłudze Active Directory powinno stosować się do tych samych wytycznych co grupa Administratorzy Domeny.
Rozwiązanie
- Przejrzyj listę członków grupy Administratora Domeny i innych grup uprzywilejowanych.
- Ogranicz liczbę członków tych grup wyłącznie do personelu administracyjnego. Zwykli użytkownicy nie powinni być członkami tych grup.
- Przestrzegaj zasady najmniejszych uprawnień – Administratorzy powinni mieć oddzielne konta do codziennych zadań i operacji uprzywilejowanych.
Korzystanie z kont uprzywilejowanych do codziennych zadań
Nie loguj się do komputera na koncie uprzywilejowanym i nie wykonuj codziennych czynności, takich jak sprawdzanie poczty e-mail, przeglądanie Internetu, uzyskiwanie dostępu do poufnych danych, korzystanie z aplikacji itd.
Rozwiązanie
- Powinieneś mieć osobne konto z uprawnieniami wystarczającymi do codziennych zadań.
- Używaj swojego konta z uprawnieniami tylko do zadań administracyjnych, takich jak tworzenie użytkowników, aktualizowanie członkostwa w grupie, zarządzanie polityką grupy itp.
Konfigurowanie wielu zasad dotyczących haseł
Można mieć wiele zasad dotyczących haseł, ale istnieją prawidłowe i nieprawidłowe sposoby ich konfiguracji. Często widzę organizacje, które konfigurują je nieprawidłowo, a potem pytają, dlaczego nie działają.
W przypadku zasad grupy może istnieć tylko jedna zasada dotycząca haseł dla użytkowników domeny. Zazwyczaj jest ona skonfigurowana w domyślnym obiekcie zasad domeny.
Zła droga
Tworzenie wielu obiektów zasad grupy ze zdefiniowanymi ustawieniami zasad dotyczących haseł i łączenie ich z jednostką organizacyjną lub domeną główną.
Rozwiązanie
Jeśli potrzebujesz wielu zasad haseł, właściwym sposobem jest użycie szczegółowych zasad haseł. Pamiętaj, że może istnieć tylko jedna zasada grupy ze skonfigurowanymi zasadami haseł, a pozostałe zostaną zignorowane. Zalecam ustawienie zasad haseł dla zasad grupy w domyślnym obiekcie zasad domeny.
Brak konwencji nazewnictwa dla wszystkich obiektów AD
Ujednolicona konwencja nazewnictwa obiektów Active Directory (takich jak użytkownicy, komputery i grupy) jest niezbędna i upraszcza zarządzanie. Bez jasnej konwencji nazewnictwa obiekty Active Directory mogą być mylące, co prowadzi do marnowania czasu na identyfikację ich przeznaczenia. Może to również prowadzić do nieprawidłowych uprawnień, duplikacji kont i luk w zabezpieczeniach. Jako administrator Active Directory uważam, że szybkie identyfikowanie przeznaczenia konta po jego nazwie jest cenne. Spójna konwencja nazewnictwa zapewnia jednolite tworzenie obiektów, co zwiększa wydajność i bezpieczeństwo zarządzania usługą Active Directory.
Rozwiązanie
Wprowadź konwencję nazewnictwa dla obiektów Active Directory (użytkowników, komputerów, grup, jednostek organizacyjnych, zasad grupy i kont usług). Bądź jak najbardziej opisowy – warto spojrzeć na obiekt i szybko zorientować się, do czego i gdzie jest używany.
Przykład
To tylko przykłady, możesz wymyślić własną konwencję nazewnictwa.
- Nazwa użytkownika: Imię.Nazwisko (michal.marczak)
- Konta usług: Użyj prefiksu, takiego jak SVC (SVC_services)
- Grupy
- Prefiks, dział lub lokalizacja, cel, zakres
- Przykład: SG-SA-FolderAccess-D
- Komputery
- Typ, dział/lokalizacja, identyfikator
- Przykład: W-IT-001
- Zasady grupy
- Przykład: Komputer-LAPS-ForAll
Nieużywanie pola opisu
Pole opisu jest dostępne dla użytkowników, grup, komputerów i jednostek organizacyjnych w usłudze Active Directory.
Ale… często nie jest używane.
Nawet jeśli masz dobrą konwencję nazewnictwa, warto dodać opis do konkretnych obiektów. Prawdopodobnie nie potrzebujesz opisu na zwykłych kontach, ale gorąco polecam to rozwiązanie w przypadku kont specjalnych, kont usługowych i grup.
Rozwiązanie
Dodaj opis do kont specjalnych, kont usługowych i grup (każdej grupy). Nadaj obiektowi prosty opis, aby każdy mógł zrozumieć, do czego służy.
Komputery z opisem
Nadaj obiektowi prosty opis, aby każdy mógł zrozumieć, do czego służy.
Grupy i konta z opisem
Opis dla GPO
Czy wiesz, że obiekty zasad grupy (GPO) mają pole komentarza? Niestety, aby je wyświetlić, musisz otworzyć i edytować obiekt GPO. Może się to jednak przydać Administratorom zarządzającym obiektami GPO.
W tym celu kliknij prawym na nazwę zasady (Confirm_deletion), w nowym okinie przejdź na zakładkę Comment.
Projektowanie struktury OU w AD
Płaska struktura jednostek organizacyjnych (OU) w usłudze Active Directory polega na umieszczeniu obiektów (użytkowników, komputerów, grup) w jednej jednostce organizacyjnej z niewielką lub zerową hierarchią.
Na przykład, masz 200 użytkowników i 300 komputerów, a wszystkie one są umieszczone w jednej jednostce organizacyjnej. Płaska struktura jednostek organizacyjnych utrudnia stosowanie obiektów zasad grupy (GPO), delegowanie szczegółowych uprawnień i może prowadzić do bałaganu.
Rozwiązanie
Wdrożenie hierarchicznego projektu jednostki organizacyjnej (OU).
Hierarchiczny projekt jednostki organizacyjnej wykorzystuje zagnieżdżone jednostki organizacyjne (OU) do odzwierciedlenia struktury organizacyjnej (np. według działu, lokalizacji lub funkcji), umożliwiając szczegółowe stosowanie i delegowanie obiektów zasad grupy (GPO). Na przykład:
- OU: Beitadminpl_Users
- OU: Accounting
- OU: Legal
- OU: Management
- OU: Beitadminpl_Groups
- OU: Accounting
- OU: Legal
- OU: Management
- OU: Beitadminpl_Computers
- OU: Accounting
- OU: Legal
- OU: Management
Włączono nieograniczoną delegację
Włączona nieograniczona delegacja ma miejsce, gdy obiekt komputera ma włączoną opcję „Ufaj temu komputerowi w delegowaniu do dowolnej usługi (tylko Kerberos)”.
Nieograniczone delegowanie uprawnień stanowi poważne zagrożenie bezpieczeństwa, ponieważ może umożliwić zainfekowanemu komputerowi uzyskanie dostępu do całej domeny. Odbywa się to poprzez podszywanie się pod dowolnego użytkownika uwierzytelnionego na serwerze, co może obejmować konta uprzywilejowane, takie jak administratorzy domeny.
Rozwiązanie
Przejrzyj konta komputerów, dla których włączono opcję „Ufaj temu komputerowi w delegowaniu do dowolnej usługi (tylko Kerberos)”.
PowerShell
|
1 |
Get-ADComputer -Filter {TrustedForDelegation -eq $true} |
Wyłączenie wstępnego uwierzytelniania Kerberos
Wyłączenie wstępnego uwierzytelniania Kerberos występuje, gdy konto użytkownika usługi Active Directory ma włączoną opcję „Nie wymagaj wstępnego uwierzytelniania Kerberos” (Do not require Kerberos preauthentication).
To ustawienie osłabia bezpieczeństwo kont, ponieważ umożliwia łamanie haseł bez konieczności wcześniejszego uwierzytelnienia.
Czym jest wstępne uwierzytelnianie Kerberos?
Po włączeniu wstępnego uwierzytelniania Kerberos, użytkownik wysyła żądanie serwera uwierzytelniania (AS-REQ) ze znacznikiem czasu zaszyfrowanym za pomocą skrótu hasła do kontrolera domeny (DC). Kontroler domeny odszyfrowuje znacznik czasu w celu weryfikacji hasła i, jeśli odpowiedź jest prawidłowa, odpowiada odpowiedzią serwera uwierzytelniania (AS-REP) zawierającą bilet przyznania biletu (TGT). Część AS-REP jest podpisana skrótem hasła użytkownika dla bezpieczeństwa.
Co oznacza wyłączenie wstępnego uwierzytelniania Kerberos?
Po wyłączeniu wstępnego uwierzytelniania (poprzez włączenie opcji „Nie wymagaj wstępnego uwierzytelniania Kerberos” na koncie użytkownika ((Do not require Kerberos preauthentication)), Centrum Dystrybucji Kluczy Kerberos (KDC) odpowie na żądanie uwierzytelnienia zaszyfrowanym TGT, nawet jeśli hasło jest nieprawidłowe. To osłabia konto i czyni je podatnym na ataki siłowe w celu złamania hasła.
Rozwiązanie
Opcja ta powinna być wyłączona, aby konta były uwierzytelnienie Kerberos a tym samym były odporniejsze na łamanie haseł.
Brak czyszczenia starych kont
Nieaktualne konta w usłudze Active Directory to konta użytkowników lub komputerów, które były nieaktywne przez okres, na przykład 90 dni. Konta te mogą być już niepotrzebne i należy je sprawdzić oraz wyłączyć. Nieaktualne konta stanowią zagrożenie bezpieczeństwa i mogą być wykorzystywane do uzyskiwania dostępu do sieci i danych. Oprócz zagrożenia bezpieczeństwa, nieaktualne konta mogą zaśmiecać usługę Active Directory i utrudniać zarządzanie, raportowanie i audyt środowiska.
Rozwiązanie
- Regularnie (co 30 dni) sprawdzaj środowisko Active Directory pod kątem nieaktualnych kont. Nieaktualne konta możesz zidentyfikować, sprawdzając atrybut lastLogonTimestamp.
- Tymczasowo wyłącz nieaktualne konta na 90 dni przed ich usunięciem.
Przykładowe polecenie programu PowerShell umożliwiające znalezienie nieaktualnych kont użytkowników
|
1 |
Get-ADUser -Filter {Enabled -eq $true} -Properties lastLogonTimestamp | Where-Object { $_.lastLogonTimestamp -lt (Get-Date).AddDays(-90) } |
Nieprawidłowa konfiguracja DNS
Środowisko Active Directory w dużym stopniu opiera się na DNS, aby działać prawidłowo. Jedno nieprawidłowe ustawienie może spowodować błędy uwierzytelniania, problemy z replikacją, problemy z rozpoznawaniem klienta i zakłócenia w sieci.
Oto kilka błędów DNS, których należy unikać.
Kolejność kontrolera domeny DNS
Konfigurowanie kontrolerów domeny do korzystania z zewnętrznych serwerów DNS i używanie adresu pętli zwrotnej jako adresu preferowanego może powodować problemy.
Rozwiązanie
Firma Microsoft zaleca wskazanie preferowanego serwera DNS na inny serwer DNS, a alternatywnego na adres pętli zwrotnej. Weźmy na przykład dwa kontrolery domeny.
- DC1
- IP: 192.168.100.10
- Preferowany serwer DNS: 192.168.100.11
- Alternatywny serwer DNS: 127.0.0.1
- DC2
- IP: 192.168.100.11
- Preferowany serwer DNS: 192.168.100.10
- Alternatywny serwer DNS: 127.0.0.1
Kierowanie klientów lub serwerów do zewnętrznych serwerów DNS
Jeśli wskażesz swoim klientom lub serwerom zewnętrzny serwer DNS, np. 8.8.8.8, może to spowodować błędy uwierzytelniania, powolne logowanie lub problemy z rozpoznawaniem nazw.
Rozwiązanie
Skieruj systemy przyłączone do domeny do swoich wewnętrznych serwerów DNS. Twoje wewnętrzne serwery DNS będą obsługiwać wyszukiwania zewnętrzne za pośrednictwem serwerów przekierowujących lub serwerów wskazówek głównych.
Przeszukiwanie DNS nie jest włączone
Starzenie się i oczyszczanie DNS umożliwiają automatyczne usuwanie starych, nieużywanych rekordów DNS. Nieaktualne rekordy DNS mogą powodować błędy rozpoznawania nazw, co z kolei prowadzi do problemów z połączeniem i uwierzytelnianiem.
Rozwiązanie
- Otwórz DNS Manager (
dnsmgmt.msc). - Kliknij prawym przyciskiem myszy na nazwę serwera DNS i wybierz Właściwości (Properties).
- Przejdź do zakładki Advanced (Zaawansowane).
- Upewnij się, że opcja „Enable automatic scavenging of stale records” jest zaznaczona.
- Ustaw odpowiedni interwał (np. 7 dni).
- Kliknij OK.
Nieprawidłowe przekierowania lub wskazówki dotyczące rootów
Błędna konfiguracja przekierowań DNS lub root hints spowoduje problemy z rozpoznawaniem nazw w zasobach zewnętrznych. Spowoduje to spowolnienie ładowania się zasobów zewnętrznych lub ich całkowitą awarię.
Rozwiązanie
Nie ma nic złego w pozostawieniu domyślnego ustawienia serwerów wskazówek głównych. Jeśli zdecydujesz się na korzystanie z przekierowań, wybierz niezawodny serwer DNS, taki jak serwery DNS Twojego dostawcy usług internetowych lub 8.8.8.8.
Brak kopii zapasowej stanu systemu
Kopie zapasowe Active Directory od dostawców zewnętrznych mogą nie być obsługiwane przez firmę Microsoft, chyba że są to kopie zapasowe stanu systemu (zgodne z usługą AD).
Kopia zapasowa stanu systemu zawiera kluczowe komponenty niezbędne do przywrócenia Active Directory po całkowitej awarii. Obejmuje to takie komponenty, jak:
- Active Directory database (NTDS.DIT)
- SYSVOL folder
- Registry
- System files
- Boot files
- Certificate database
Rozwiązanie
Regularnie twórz kopię zapasową stanu systemu na kontrolerze domeny. Jeśli masz wiele lokalizacji, rozważ utworzenie kopii zapasowej na co najmniej jednym kontrolerze domeny w każdej lokalizacji.
Jak utworzyć kopię zapasową stanu systemu:
- Zainstaluj funkcję Kopia zapasowa systemu Windows Server za pomocą Menedżera serwera.
- Utwórz harmonogram tworzenia kopii zapasowych
- Wybierz pełną kopię zapasową VSS
- Wybierz harmonogram
- Wybierz miejsce docelowe
Domyślna polityka domeny – nadmierne użycie
Domyślna polityka domeny powinna być używana wyłącznie do ustawień polityki konta, polityki haseł, polityki blokady konta i polityki Kerberos. Pozostałe ustawienia polityki należy umieścić w innych obiektach zasad grupy (GPO).
Kluczowe problemy związane z nadmiernym stosowaniem domyślnej polityki domeny:
- Tworzy bałagan
- Trudne do rozwiązania
- Stosuje ustawienia dla wszystkich użytkowników i komputerów
- Może wpływać na wydajność
- Brak szczegółowej kontroli
- Błędy w konfiguracji
- Zamieszanie
Rozwiązanie
Twórz osobne obiekty zasad grupy (GPO) dla ustawień zasad lub grupuj je. Tworzenie wielu obiektów zasad grupy jest dozwolone, nie wpływa to na wydajność. Na przykład, możesz utworzyć osobne obiekty zasad grupy dla ustawień przeglądarki, zasilania, mapowania dysków, ustawień pakietu Office itd. Korzyścią jest szczegółowa kontrola, elastyczność i znacznie łatwiejsze rozwiązywanie problemów.
Audyt nie jest włączony
Po włączeniu audytu Active Directory, w przypadku wprowadzenia zmian w usłudze Active Directory, tworzony jest dziennik zdarzeń. Na przykład, gdy użytkownik zostanie dodany do grupy „Administratorzy domeny”, dziennik zdarzeń będzie rejestrował datę i godzinę zdarzenia, osobę dokonującą zmiany oraz osobę dodaną do grupy.
Audyt ma kluczowe znaczenie dla zgodności, rozwiązywania problemów, zarządzania zmianami i monitorowania incydentów bezpieczeństwa.
Rozwiązanie
Po włączeniu audytu Active Directory, w przypadku wprowadzenia zmian w usłudze Active Directory, tworzony jest dziennik zdarzeń. Na przykład, gdy użytkownik zostanie dodany do grupy „Administratorzy domeny”, dziennik zdarzeń będzie rejestrował datę i godzinę zdarzenia, osobę dokonującą zmiany oraz osobę dodaną do grupy.
Audyt ma kluczowe znaczenie dla zgodności, rozwiązywania problemów, zarządzania zmianami i monitorowania incydentów bezpieczeństwa.
Podsumowanie
Active Directory odgrywa kluczową rolę w zarządzaniu użytkownikami i zasobami, ale błędy konfiguracyjne mogą prowadzić do problemów z bezpieczeństwem i wydajnością. Najczęstsze to m.in. nadużywanie uprawnień administracyjnych, brak konwencji nazewnictwa, nieaktualne konta oraz niewłaściwa konfiguracja DNS i zasad haseł. Często pomijany jest także audyt zmian oraz kopie zapasowe stanu systemu. Unikanie tych błędów znacząco poprawia bezpieczeństwo i ułatwia zarządzanie środowiskiem AD. Warto regularnie przeglądać konfigurację i stosować zasadę minimalnych uprawnień.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
