چک‌لیست طلایی امن‌سازی اکتیو دایرکتوری (10 راهکار حیاتی و فوری)

در دنیای فناوری اطلاعات امروز، زیرساخت شبکه هر سازمان مانند یک شهر هوشمند است که برای مدیریت شهروندان، دسترسی‌ها و منابع خود به یک هسته مرکزی و قابل اعتماد نیاز دارد.

در دنیای مایکروسافت، این هسته مرکزی اکتیو دایرکتوری (Active Directory) نام دارد. اما این تمرکز قدرت و اطلاعات، اکتیو دایرکتوری را به جذاب‌ترین و اولین هدف برای مهاجمان سایبری تبدیل کرده است؛ چرا که نفوذ به آن، به معنای به دست گرفتن کلید کل سازمان خواهد بود. بنابراین، امن‌سازی Active Directory یک ضرورت انکارناپذیر برای بقای هر کسب‌وکار است.

در این مقاله از تتیس‌نت، قصد داریم به بررسی جامع راهکارهای امن‌سازی اکتیو دایرکتوری بپردازیم و نقشه راهی گام‌به‌گام برای مدیران فناوری اطلاعات ترسیم کنیم. اما پیش از ورود به راهکارهای امنیتی، اجازه دهید مرور کوتاهی بر ماهیت این سرویس و وظایف حیاتی آن داشته باشیم.

اکتیو دایرکتوری به زبان ساده

اکتیو دایرکتوری (Active Directory) یکی از کلیدی‌ترین سرویس‌های شرکت مایکروسافت است که وظیفه پیاده‌سازی خدمات دایرکتوری (Directory Service) را در سازمان‌ها بر عهده دارد.

این سرویس تمام منابع موجود در شبکه را بر اساس استاندارد بین‌المللی X.500 و به صورت ساختاریافته و سلسله‌مراتبی طبقه‌بندی و مدیریت می‌کند.

به طور خلاصه، هسته اصلی وظایف اکتیودایرکتوری شامل موارد زیر است:

• احراز هویت یکپارچه: تایید هویت دقیق کاربران، دستگاه‌ها و سرویس‌های مختلف شبکه.
• مدیریت سطح دسترسی: کنترل، تعیین و اعمال مجوزهای دسترسی به منابع گوناگون شبکه.
• سازماندهی ساختار یافته: دسته‌بندی و چیدمان منابع شبکه کاملا منطبق بر چارت سازمانی.
• پیاده‌سازی سیاست‌های امنیتی: تعریف و اعمال یکپارچه قوانین امنیتی (Group Policies) در سراسر شبکه.
• مدیریت متمرکز و قابلیت SSO: یکپارچه‌سازی فرایند مدیریت منابع و فراهم کردن امکان «تک‌بار ورود» (Single Sign-On) برای راحتی و امنیت کاربران.
• پشتیبانی از پروتکل LDAP: ایجاد هماهنگی و تعامل بی‌نقص با سایر سرویس‌ها و نرم‌افزارهای مبتنی بر پروتکل LDAP (مخفف Lightweight Directory Access Protocol).

راهکارهای امن‌سازی اکتیو دایرکتوری (Active Directory)

اکتیو دایرکتوری (AD) به عنوان ابزار مرکزی مایکروسافت برای احراز هویت (Authentication) و تعیین سطوح دسترسی (Authorization) کاربران و سیستم‌ها عمل می‌کند.

پایگاه داده حیاتی AD که شامل تمامی حساب‌های کاربری، اکانت‌های مدیریتی، ایستگاه‌های کاری، سرورها و سایر اشیاء (Objects) شبکه است، روی سرورهای حساس و کلیدی به نام کنترل‌کننده دامنه (Domain Controller یا همان DC) ذخیره می‌شود.

دقیقاً به دلیل همین تمرکز قدرت و اطلاعات است که کنترل‌کننده دامنه (DC)، اولین و مهم‌ترین تارگت (Target) برای هر هکر یا مهاجم سایبری به شمار می‌رود.

مهاجمان به خوبی می‌دانند که با نفوذ به این سرویس حیاتی، به تمامی اپلیکیشن‌های متصل و کل منابع شبکه دسترسی پیدا خواهند کرد. به بیانی ساده‌تر، برای مقابله با این تهدیدات جدی، مدیران شبکه نمی‌توانند به صورت سلیقه‌ای یا پراکنده عمل کنند.

راهکارهای امن‌سازی اکتیو دایرکتوری به شما کمک می‌کند تا یک لایه دفاعی چندبعدی و نفوذناپذیر در برابر پیشرفته‌ترین حملات سایبری ایجاد کنید:

ابتدا وضعیت فعلی Active Directory را بررسی کنید

قبل از هر تغییری، می‌بایست ابتدا وضعیت فعلی AD بررسی شود. بسیاری از سازمان‌ها بدون شناخت دقیق از ساختار دسترسی‌ها و حساب‌های حساس، شروع به تغییرات امنیتی می‌کنند و همین موضوع ممکن است باعث اختلال در سرویس‌ها شود.

در مرحله ارزیابی وضعیت اکتیودایرکتوری، این موارد را بررسی کنید:

• چه کسانی عضو گروه‌های حساس مثل Domain Admins و Enterprise Admins هستند؟
• چند حساب کاربری غیرفعال یا قدیمی در AD وجود دارد؟
• کدام حساب‌ها پسوردشان منقضی نمی‌شود؟
• آیا حساب‌های سرویس با دسترسی بیش از حد وجود دارند؟
• چه GPOهایی روی کاربران و سرورها اعمال شده‌اند؟
• آیا لاگ‌های امنیتی Domain Controllerها مانیتور می‌شوند؟
• آیا بکاپ قابل بازیابی از AD وجود دارد؟

تعداد کاربران دارای امتیاز را به حداقل برسانید (دسترسی کمتر، امنیت بیشتر)

یکی از مهم‌ترین اصول در امن‌سازی Active Directory، اجرای مدل Least Privilege است؛ یعنی هر کاربر یا ادمین فقط به همان سطح دسترسی نیاز داشته باشد که برای انجام کارش لازم است.

اشتباه رایج در بسیاری از سازمان‌ها این است که برای راحتی کار، دسترسی‌های بالاتر از نیاز واقعی به کاربران یا ادمین‌ها داده می‌شود. این موضوع در کوتاه‌مدت شاید ساده‌تر به نظر برسد، اما در بلندمدت ریسک امنیتی بسیار بزرگی برای سازمان شما ایجاد می‌کند.

• عضویت در گروه Domain Admins تا حد ممکن محدود شود.
• برای کارهای روزمره از حساب ادمین سطح بالا استفاده نشود.
• حساب کاربری عادی و حساب مدیریتی از هم جدا باشند.
• دسترسی‌ها به‌صورت دوره‌ای بازبینی شوند.
• حساب‌های اضافی از گروه‌های حساس حذف شوند.
• برای کارهای مشخص، نقش‌های محدود و تفویض‌شده تعریف شود.

سطح دسترسی‌ها را جداسازی کنید

• تخصیص مجوزها صرفاً به گروه‌ها: برای حفظ نظم و امنیت، از اعطای مستقیم دسترسی (Permissions) به حساب‌های کاربری فردی خودداری کنید.
• دسته‌بندی نقش‌محور (RBAC): کاربران را بر اساس نقش شغلی یا واحد سازمانی در گروه‌های مشخص دسته‌بندی کرده و مجوزها را به این گروه‌ها اختصاص دهید.
• یکپارچه‌سازی مدیریت دسترسی: این روش علاوه بر ایجاد کنترل دسترسی یکپارچه و ساختاریافته، نیازمند هماهنگی مستمر میان تیم مدیریت اکتیو دایرکتوری (AD) و بخش‌های مختلف سازمان برای تعریف دقیق نقش‌هاست.

روی پسوردها و احراز هویت، سخت‌گیری داشته باشید

پسورد ضعیف هنوز یکی از رایج‌ترین دلایل نفوذ به حساب‌های کاربری‌ست. در Active Directory باید سیاست‌های مربوط به پسورد، قفل شدن حساب و احراز هویت با دقت تنظیم شوند. برای امن‌سازی پسوردها، نکات زیر را در نظر داشته باشید:

• استفاده از پسوردهای طولانی و غیر قابل حدس
• جلوگیری از استفاده مجدد از پسوردهای قبلی
• فعال‌سازی Account Lockout برای کاهش حملات Brute Force
• بررسی حساب‌هایی که گزینه Password Never Expires دارند
• حذف یا غیرفعال‌سازی حساب‌های قدیمی
• فعال‌سازی MFA برای حساب‌های مدیریتی در سناریوهای ممکن
• استفاده از Protected Users برای حساب‌های حساس
• جدا کردن حساب سرویس از حساب انسانی

نکته مهم این است که سخت‌گیری بیش از حد در پسورد، بدون آموزش کاربر و بدون راهکار مدیریتی درست، ممکن است نتیجه معکوس داشته باشد. سیاست امنیتی می‌بایست هم امن و هم قابل اجرا باشد.

Domain Controllerها را امن‌سازی کنید

Domain Controller یکی از حساس‌ترین اجزای شبکه است. هرگونه ضعف امنیتی روی DC می‌تواند کل ساختار هویتی سازمان را تهدید کند. برای محافظت از Domain Controllerها بایستی اقدامات زیر انجام شود:

• نصب منظم آپدیت‌های امنیتی
• محدود کردن دسترسی RDP به DC
• جلوگیری از نصب نرم‌افزارهای غیر ضروری روی DC
• قرار دادن DCها در شبکه یا VLAN محافظت‌شده
• مانیتورینگ دقیق لاگ‌های امنیتی
• محدود کردن لاگین ادمین‌ها فقط از مسیرهای امن
• جلوگیری از استفاده DC برای نقش‌های غیرمرتبط
• بررسی سلامت Replication بین DCها
• گرفتن بکاپ منظم و تست بازیابی

سرویس Print Spooler در کنترلرهای دامنه (DC) را فوری غیرفعال کنید

فعال بودن سرویس Print Spooler روی سرورهای کنترل‌کننده دامنه (Domain Controllers)، یکی از آشناترین روزنه‌های نفوذ برای مهاجمان است که به آن‌ها اجازه می‌دهد با تکنیک‌های جعل هویت، دسترسی کاملی به اعتبارنامه‌های سطح بالا پیدا کنند.

به عنوان یک توصیه فوری و حیاتی، سرویس Print Spooler را روی تمامی DCهای سازمان به طور کامل غیرفعال (Disable) کنید. سرورهای مدیریت هویت، نیازی به خدمات چاپگر ندارند.

Group Policy را کنترل و از تنظیمات خطرناک جلوگیری کنید

Group Policy یکی از ابزارهای قدرتمند مدیریت در Active Directory است؛ اما اگر اشتباه تنظیم شود، می‌تواند به یک نقطه ضعف جدی تبدیل شود. موارد مهم در کنترل GPO عبارتند از:

• بررسی اینکه چه کسانی اجازه ویرایش GPO دارند.
• حذف GPOهای قدیمی و بدون استفاده
• مستندسازی تغییرات مهم
• تست GPO قبل از اعمال روی کل سازمان
• جلوگیری از دادن دسترسی بیش از حد از طریق GPO
• کنترل تنظیمات مربوط به Local Admin
• بررسی Logon Scriptها و Startup Scriptها
• محدود کردن اجرای PowerShell و اسکریپت‌های ناشناس

هر تغییر در GPO می‌تواند روی تعداد زیادی کاربر و سیستم اثر بگذارد. بنابراین مدیریت GPO باید کنترل‌شده، مستند و قابل بازگشت باشد.

SMBv1 را غیرفعال و NTLM را محدود کنید

پروتکل قدیمی SMBv1 دارای آسیب‌پذیری‌های بحرانی و معروفی (مانند EternalBlue) است. این پروتکل را باید به طور کامل روی تمامی کنترل‌کننده‌های دامنه (DCs) و کلاینت‌ها غیرفعال کنید.

احراز هویت با NTLM (مخصوصاً نسخه NTLMv1) به شدت در برابر حملات شنود و تکثیر (Relay Attacks) آسیب‌پذیر است. استفاده از آن را در سطح شبکه محدود یا مسدود کرده و پروتکل امن Kerberos را جایگزین آن کنید.

اجرای هم‌زمان این دو اقدام، جلوی بیش از نیمی از حملات حرکت عرضی (Lateral Movement) هکرها در شبکه را می‌گیرد.

لاگ‌های امنیتی Active Directory را مانیتورینگ کنید

امن‌سازی AD بدون مانیتورینگ کامل نیست. حتی اگر بهترین تنظیمات امنیتی را اعمال کنید، باز هم باید رفتارهای مشکوک را ببینید، تحلیل کنید و به‌موقع واکنش نشان دهید.

لاگ‌هایی که باید جدی گرفته شوند عبارتند از:

• تلاش‌های ناموفق ورود
• ورود موفق به حساب‌های حساس
• تغییر عضویت در گروه‌های مدیریتی
• ایجاد یا حذف حساب کاربری
• تغییر پسورد حساب‌های مهم
• تغییر در Group Policy
• لاگین ادمین‌ها از سیستم‌های غیرمنتظره
• فعالیت‌های مشکوک روی Domain Controller
• تغییرات در سرویس‌ها و Scheduled Taskها

بکاپ‌گیری و برنامه بازیابی Active Directory را فراموش نکنید

امنیت فقط جلوگیری از حمله نیست؛ آمادگی برای بازیابی هم بخشی از امنیت است. اگر Active Directory دچار خرابی، حذف اشتباه، رمزگذاری باج‌افزار یا نفوذ جدی شود، داشتن بکاپ سالم و تست‌شده حیاتی است.

در بکاپ‌گیری AD به نکات زیر توجه داشته باشید:

• گرفتن System State Backup از Domain Controller
• نگهداری نسخه بکاپ در محل امن
• تست دوره‌ای فرایند Restore
• مستندسازی مراحل بازیابی
• محدود کردن دسترسی به فایل‌های بکاپ
• داشتن سناریو برای بازیابی در شرایط بحرانی
• بررسی Tombstone Lifetime و Replication قبل از بازیابی

چرا هک می‌شویم؟ بررسی اشتباهات رایج در AD

در جدول زیر، برخی از اشتباهات رایج در اکتیو دایرکتوری به همراه راهکار پیشنهادی برای جلوگیری از بروز این اشتباه ارائه شده است:

اشتباهات رایج در اکتیو دایرکتوری

جمع‌بندی

Active Directory یکی از مهم‌ترین بخش‌های زیرساخت سازمان است و امنیت آن مستقیماً روی امنیت کل شبکه تأثیر می‌گذارد.

برای امن‌سازی AD باید نگاه مرحله‌ای و عملی داشت؛ ابتدا وضعیت فعلی بررسی شود، سپس سطح دسترسی‌ها کاهش پیدا کند، حساب‌های حساس جدا شوند، Domain Controllerها محافظت شوند و در نهایت مانیتورینگ و بکاپ‌گیری به‌صورت مداوم انجام شود.

راهکارهایی مثل Least Privilege، مدل Tiering، استفاده از PAW، Windows LAPS، کنترل GPO، مانیتورینگ لاگ‌ها و مدیریت حساب‌های سرویس، پایه‌های اصلی Active Directory Hardening هستند.

اگر Active Directory به‌درستی امن‌سازی شود، ریسک نفوذ، سرقت Credential، حرکت جانبی مهاجم و اختلال در سرویس‌های حیاتی سازمان تا حد زیادی کاهش پیدا می‌کند.

سوالات متداول امن‌سازی Active Directory