Bevezetés
Miért fontos a Microsoft Active Directory biztonsága, azon belül pedig a nem egyes személyekhez kötött azonosítók karbantartása, felülvizsgálata, és milyen jó gyakorlatok léteznek ezzel kapcsolatban?
A kérdés megválaszolásához először a definíciókat tisztázzuk.
Mi az az Active Directory?
Az Active Directory, röviden AD, a Microsoft hálózati szolgáltatásainak gyűjtőneve. Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások biztosítása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával az erőforrások decentralizált felügyeletét.
A legtöbb hazai vállalatnál a Microsoft termékein alapul a helyi hálózat, ezért van Active Directory is, amelynek különösen fontos a biztonsága. Cikkünkben a számos Active Directory-val kapcsolatos biztonsági kérdés közül a nem személyhez kötött felhasználói azonosítókra fókuszálunk.
Milyen nem személyhez kötött felhasználók léteznek?
Az Active Directory-ban különböző fióktípusokat hozhatunk létre azok funkcionalitása és felhasználása alapján, ezek közül kettőt emelnénk ki:
A Generic Account (GA) egy általános megnevezéssel rendelkező fióktípus, amelyhez több felhasználó is hozzáférhet. Például: [email protected], vagy [email protected]. Rövidtávon előnyösnek tűnik egy olyan fiók létrehozása, amelyet többen is használhatnak különösen akkor, ha a részfeladatokat több felhasználó között osztották el. Hosszútávon azonban egy ilyen fiók elszámoltathatóságának hiánya óriási veszélyforrást jelenthet.
A Service Account (SA) egy szolgáltatáshoz társított fióktípus. Ezek a lehető legkevesebb privilégiumot kapják feladataik végrehajtására. Például: a [email protected] a nyomtatók kezelésére létrehozott szolgáltatói fiók, amit úgy kell beállítani, hogy csak és kizárólag a nyomtatók kezelésére legyen alkalmas. Ennek a beállításnak az egyik legfontosabb előnye, hogy ha egy illetéktelen felhasználó lépne be a nyomtatók kezelésére létrehozott fiókba, akkor az általa okozott károk hatása minimális legyen, ne terjedjen ki a cég teljes eszköztárára.
Mi lehet a probléma?
Mint minden rendszerező megoldás, így az AD is megfelelő karbantartást igényel. Az alapos és ütemezett fiókfelülvizsgálatok elmaradása miatt előfordulhat, hogy egy fióknak túl gyenge marad a jelszava, amit illetéktelenek könnyen kihasználhatnak. Az is előfordulhat, hogy egy GA-t akár többen is használnak, ez megnehezíti a felelős felhasználó beazonosítását. Továbbá, a távozó vagy szerepkört váltó munkavállalók esetén a jelszócsere vagy az account zárolásának elmaradása is magas kockázatot jelent.
Összefoglalva, az Active Directory legtöbb problémájának általános gyökere az, hogy ha nincs megfelelő minőségű és időben végrehajtott felülvizsgálati folyamat, akkor a nem kezelt account-ok túlburjánozhatnak. Továbbá, a rendszeres felülvizsgálat elmaradásával, elveszik a szervezeti tudás arról, hogy ki az account tulajdonosa és mire használja azt.
Ezáltal nincs megfelelő kontroll a nem személyhez kötött azonosítókon, és a rosszindulatú külső vagy belső támadók különösebb technikai felkészültség nélkül viszonylag könnyen átvehetik az uralmat felettük, és rajtuk keresztül hozzáférhetnek értékes vállalati erőforrásokhoz, adatokhoz.
Mit tehetünk?
Jogosan merül fel a kérdés, hogy mit tehetünk az Active Directory biztonságának növelése érdekében ezen a területen. Az első lépés ebben az esetben is:
A kockázatok feltérképezése és a jó gyakorlatok bevezetése
A kockázatok feltérképezése és a jó gyakorlatok bevezetése kéz a kézben járnak, hiszen, ha már van a fiókok létrehozására és kezelésére egy jól kialakított gyakorlatunk, akkor az megkönnyíti kockázataink felmérését, valamint a fiókok rendszeres felülvizsgálatát is.
A fiókok létrehozásakor jó gyakorlatként fontos dokumentálnunk, pl.: a létrehozás fizikai helyszínét és időpontját, az első tulajdonos nevét. Továbbá érdemes a tulajdonos felettesének a nevét is már az account létrehozásakor rögzíteni. Erre természetesen alkalmas lehet egy megfelelően kialakított, a létrehozást kezdeményező igénylési űrlap is.
A fiókok működésének előzetes feltérképezése
A felülvizsgálat és kezelés végrehajtásában a szervezet számára elengedhetetlen, hogy legyen megfelelő szakértője, aki képes az AD felhasználók és tevékenységük adatainak kinyerésére. A riport elkészítése után meg kell vizsgálnunk, hogy ismerjük-e a nem személyhez kötött azonosítókat, azt, hogy mit csinálnak, és ki a „tulajdonosuk”, ki felelős értük?
Emellett a jelszavak erősségét egy jelszótörő szoftver segítségével kategorizálhatjuk. A nem megfelelő jelszóerőséggel rendelkező fiókok tulajdonosaival történő direkt kommunikációt érdemes a folyamat során kitüntetett figyelemmel, prioritással kezelnünk.
A nehezebben beazonosítható fiókoknál érdemes az operációs rendszerekben és a szoftverekben bekövetkező eseményeket és változásokat rögzítő naplófájlok, (log-ok) elemzéséből kiindulnunk.
A fiókaktivitások megértéséhez szükséges naplózás beállításakor érdemes végig gondolnunk:
- Tudjuk-e, hogy mit csinál az account?
- Van-e technikai megoldásunk a be és ki jelentkezéseken túl a részletesebb tevékenységek rögzítésére és megismerésére, - ami a felhasználó tevékenységére utal?
- Előfordulhat-e, hogy az account felhasználója régen lépett be, ám a fiók mégis aktív? (Pl.: a mérőeszközök megfigyelésére szolgáló account utolsó bejelentkezése lehet, hogy régebben történt, ám azóta a felhasználói tevékenység folyamatosan zajlik.)
A kockázatok kezelése
A felülvizsgálat átláthatóságának érdekében a kockázatok kezelését két részre osztjuk:
- Az általános célok a fiókok mitigáció utáni sorsát határozzák meg, vagyis azt, hogy mi legyen velük?
- A felülvizsgálati folyamat alatt pedig a mitigációs folyamat lépéseit részletezzük.
A célok kijelölése a folyamat egyéb lépéseitől időben nem szükségszerűen válik el. A gyakorlat azt mutatja, hogy a folyamat előrehaladtával a célok listája a fiókokról beszerzett tudással párhuzamosan bővülhet. Ne lepődjünk meg, a gyakorlat nézőpontjából a két folyamat ismétlődő, iteratív természetű is lehet.
A kockázatok kezelésének általános céljai
- Minden account típusra igaz, hogy: fontos megtalálni a fióktulajdonost.
- Az account-ok jelszavai, és a jelszavak cseréjének kikényszerítése az aktuális IBSZ-nek megfelelő legyen.
- Továbbá pótoljuk az account-ok információit a fent említett jó gyakorlatok mentén.
- A fölösleges, nem használt account-okat pedig szüntessük meg.
Generic Account
A Generic Accountok (GA) létrehozását érdemes mellőznünk. A korábban már létrehozott GA-k céljait érdemes megértenünk. Például: előfordulhat, hogy a könyvelők GA-ra gyűjtenek be bizonyos számlákat. Megtörténhetett, hogy a céghez kiszálló auditorok korábban egy GA-n keresztül kapták meg a bekért anyagokat. De az is lehet, hogy a 10 évvel ezelőtt alapított céges szabadidősklub tagjai még mindig egy GA-n keresztül kommunikálnak egymással.
Szerencsére a fenti példák kapcsán már léteznek hatékonyabb és biztonságosabb kommunikációs csatornák. A könyvelők és a szabadidősklubok fiókjait átállíthatjuk Shared Mailbox-okká. Az auditorokkal pedig érdemes más, biztonságosabb platformokon megosztani a bekért anyagokat.
Hüvelykujj-szabályként megállapíthatjuk: a legszerencsésebb, ha a GA-k használatát mellőzzük.
Service Account
Néhány hasznos tanács a SA-k kezeléséhez:
- Jelszó paramétereket az IBSZ-nek megfelelően állítsuk be minden felhasználói csoportra.
- A nem emberi felhasználóknál a gyakori jelszócsere nem mindig megoldható, ilyen esetekben javasolt a jóval erősebb jelszókövetelmények beállítása.
- Érdemes lehet letiltani a service accountokhoz való külsős, - nem belső hálózati hozzáférést, hacsak az nem feltétlenül szükséges.
- Érdemes átgondolnunk a képernyőn keresztüli bejelentkezés (Interactive Logon) lehetőségének letiltását távoli és akár lokális felhasználók esetén is.
- Érdemes megfontolnunk a részletesebb logolás és a folyamatos nyomon követés bevezetését. Különösen akkor, ha az account-ot másra használják, mint amire be lett vezetve. Ilyenkor a rendszer küldjön logot a biztonsági műveletekért felelős csapatnak (ha van, akkor a SOC Team-nek) is, akik bevonásával érdemes döntést hozni a log-review időzítéséről és felelőseiről.
Opcionális javaslatok egyéb alkalmazások bevezetésére
Az AD biztonságát egyéb szoftverek bevezetésével és használatával is lehet növelni, például:
- MFA: Noha a gyakorlatban ritkábban kivitelezhető, a Service Accountokra ajánlott egy Multi-Factor Authentication (MFA) alkalmazás bevezetése. Az MFA-k több tényezővel, jellemzően egy jelszóval és egy további a mobiltelefonokra érkező kóddal segítik elő a felhasználók biztonságosabb azonosítását. Ezáltal az eszköz, a céges adatok és a hálózat védelme biztosított.
- Minden olyan szervezetnek, amelyet szigorúbb törvényi előírások köteleznek, egy identitás és hozzáféréskezelő szoftver bevezetését is megfontolásra javasoljuk.
A felülvizsgálati folyamat döntő mozzanatai
A fiókok beazonosítása és tulajdonosokhoz rendelése a folyamat alapvető lépése. Következő lépésként a már beazonosított fióktulajdonosokkal érdemes folytatni a kommunikációt, hiszen ők tudják a legrészletesebben elmondani, hogy mire használják az account-ot. Az így begyűjtött információk alapján már meg lehet határozni a fiókok sorsát.
Az előzetes információk begyűjtése után is előfordulhat, hogy egy tulajdonos a saját accountjának nem minden funkciójára emlékszik, ezért a felülvizsgálat eredményeképp eszközlendő módosításokat érdemes célonként csoportosítani és az éles módosítást úgy időzíteni, hogy az esetlegesen felmerülő problémák esetén időben lehessen reagálni az incidensekre.
A folyamat hatékonyságának egyik kulcskérdése a fióktulajdonosok mellett az illetékes vezetők rendszeres tájékoztatása. Az érdekelt feleket olyan módon tájékoztassuk, hogy minél jobban megértsék a folyamat hozzáadott értékét. Ezáltal biztosíthatjuk, hogy a vezetőség tagjai a teljes folyamatot szervezeti tudásukkal tudják támogatni. A teljes folyamattal párhuzamosan érdemes állandó kapcsolatban maradni az aktuális lépésben érintett érdekelt felekkel.
Tipp: Javasoljuk, hogy a vállalatnak legyen terve a kilépő dolgozók accountjainak tovább-örökítésére.
Amennyiben az Ön figyelmét felkeltette az Active Directory biztonságával kapcsolatos szolgáltatásunk, keressenek minket bizalommal!