اکتیو دایرکتوری Active Directory

شروع مشاوره
تماس با ما

Active Directory Domain Services (AD DS) قلب تپنده هویت و دسترسی در اکثر سازمان‌های مبتنی بر Windows است و به عنوان سرویس مدیریت هویت و احراز هویت متمرکز، کنترل دسترسی به تمام منابع شبکه را بر عهده دارد. AD شامل اطلاعات حیاتی کاربران، گروه‌ها، کامپیوترها، سرویس‌ها و سیاست‌های امنیتی است و به همین دلیل هدف اصلی مهاجمان برای دستیابی به کنترل کامل شبکه محسوب می‌شود. حملاتی مانند Pass-the-Hash، Pass-the-Ticket، Golden Ticket، Silver Ticket، DCSync، Kerberoasting و DCShadow نشان می‌دهند که نفوذ به AD معادل نفوذ به کل زیرساخت سازمان است. معماری AD شامل Domain Controller‌ها (DC) که نسخه‌های قابل نوشتن دایرکتوری را نگهداری می‌کنند، Global Catalog Server‌ها برای جستجوی سراسری، و نقش‌های FSMO (Flexible Single Master Operations) شامل Schema Master، Domain Naming Master، RID Master، PDC Emulator و Infrastructure Master است. امن‌سازی AD نیازمند رویکردی جامع است که از سطح فیزیکی Domain Controller‌ها تا سطح سیاست‌های Group Policy و مدیریت حساب‌های کاربری را پوشش دهد.

پیاده‌سازی امن Active Directory شامل چندین لایه است: معماری صحیح با حداقل دو Domain Controller برای Redundancy، جداسازی فیزیکی و منطقی DC‌ها، و استفاده از Read-Only Domain Controller (RODC) در شعب با امنیت پایین. سخت‌سازی Domain Controller‌ها با حذف نرم‌افزارهای غیرضروری، غیرفعال‌سازی سرویس‌های اضافی، و محدود کردن دسترسی فیزیکی و شبکه‌ای ضروری است. مدیریت حساب‌های Privileged با جداسازی حساب‌های Admin از حساب‌های روزمره، استفاده از Privileged Access Workstation (PAW)، پیاده‌سازی Just-In-Time (JIT) Administration، و محدود کردن عضویت در گروه‌های Domain Admins، Enterprise Admins و Schema Admins اهمیت بالایی دارد. پیکربندی Group Policy Object (GPO) برای اعمال Password Policy قوی، Account Lockout Policy، Audit Policy جامع، و محدودیت‌های امنیتی بر روی کاربران و کامپیوترها از اقدامات کلیدی است. محافظت در برابر حملات Credential Theft با غیرفعال‌سازی NTLM در صورت امکان، فعال‌سازی Credential Guard، استفاده از Protected Users Security Group، و پیاده‌سازی LAPS (Local Administrator Password Solution) برای مدیریت رمزهای Local Admin ضروری است.

اقدامات مهم در امن‌سازی Active Directory:

  • نصب آخرین Security Update و Patch برای Windows Server و Domain Controller‌ها
  • پیاده‌سازی معماری Redundant با حداقل دو DC در هر Domain
  • استفاده از Read-Only Domain Controller (RODC) در شعب و محیط‌های کم‌امنیت
  • جداسازی فیزیکی DC‌ها در Data Center امن با دسترسی محدود
  • Hardening سیستم‌عامل DC‌ها و حذف نرم‌افزارهای غیرضروری
  • غیرفعال‌سازی سرویس‌های غیرضروری (Print Spooler، LLMNR، NetBIOS)
  • محدود کردن دسترسی شبکه‌ای به DC‌ها از طریق Firewall و ACL
  • پیاده‌سازی Network Segmentation و قرار دادن DC‌ها در VLAN جداگانه
  • استفاده از IPsec برای رمزنگاری ترافیک بین DC‌ها
  • فعال‌سازی SMB Signing و LDAP Signing برای جلوگیری از Man-in-the-Middle
  • پیکربندی LDAPS (LDAP over SSL/TLS) با گواهی معتبر
  • غیرفعال‌سازی LDAP بدون SSL در صورت امکان
  • جداسازی حساب‌های Privileged از حساب‌های روزمره کاربران
  • محدود کردن عضویت در گروه‌های Domain Admins، Enterprise Admins و Schema Admins
  • استفاده از Tier Model برای جداسازی دسترسی‌های اداری (Tier 0، 1، 2)
  • پیاده‌سازی Privileged Access Workstation (PAW) برای مدیریت DC
  • استفاده از Just-In-Time (JIT) Administration و Privileged Identity Management (PIM)
  • فعال‌سازی Protected Users Security Group برای حساب‌های حساس
  • پیاده‌سازی LAPS (Local Administrator Password Solution) برای مدیریت رمز Local Admin
  • غیرفعال‌سازی حساب‌های Built-in Administrator یا تغییر نام و محدود کردن آن‌ها
  • پیکربندی Password Policy قوی (حداقل ۱۴ کاراکتر، پیچیدگی، تاریخ انقضا)
  • استفاده از Fine-Grained Password Policy برای حساب‌های مختلف
  • پیاده‌سازی Account Lockout Policy برای جلوگیری از Brute Force
  • فعال‌سازی Smart Card Authentication برای حساب‌های Privileged
  • پیاده‌سازی Multi-Factor Authentication (MFA) برای دسترسی‌های حساس
  • غیرفعال‌سازی NTLM Authentication و استفاده از Kerberos
  • فعال‌سازی Kerberos Armoring (FAST) برای محافظت در برابر حملات Kerberos
  • پیکربندی Service Principal Name (SPN) به صورت صحیح برای جلوگیری از Kerberoasting
  • استفاده از Managed Service Account (MSA) و Group Managed Service Account (gMSA)
  • فعال‌سازی Credential Guard در Windows 10/11 و Server 2016+
  • پیاده‌سازی Remote Credential Guard برای اتصالات RDP
  • غیرفعال‌سازی WDigest Authentication برای جلوگیری از ذخیره رمز در حافظه
  • محدود کردن Delegation و استفاده از Constrained Delegation
  • جلوگیری از Unconstrained Delegation برای حساب‌های کاربری و کامپیوتری
  • پیکربندی AdminSDHolder و SDProp به صورت صحیح
  • نظارت بر تغییرات در گروه‌های Privileged و حساب‌های حساس
  • فعال‌سازی Advanced Audit Policy برای ثبت رویدادهای امنیتی
  • نظارت بر Event ID‌های حساس (4624، 4625، 4672، 4768، 4769، 4776)
  • پیاده‌سازی SIEM برای جمع‌آوری و تحلیل Log‌های AD
  • استفاده از Microsoft Defender for Identity (سابق Azure ATP) برای تشخیص تهدید
  • پیاده‌سازی Honeypot Account برای شناسایی حملات
  • نظارت بر DCSync Attack با شناسایی Replication Request‌های غیرمجاز
  • محدود کردن دسترسی به SYSVOL و NETLOGON Share‌ها
  • پیکربندی GPO برای اعمال Security Baseline بر روی کاربران و کامپیوترها
  • استفاده از Security Filtering و WMI Filtering در GPO‌ها
  • پیاده‌سازی AppLocker یا Windows Defender Application Control از طریق GPO
  • فعال‌سازی Windows Firewall با پیکربندی مناسب از طریق GPO
  • غیرفعال‌سازی PowerShell v2 و محدود کردن PowerShell Remoting
  • فعال‌سازی PowerShell Logging (Script Block Logging، Transcription)
  • پیکربندی User Rights Assignment به صورت محدود
  • محدود کردن Log on Locally و Log on as a Service
  • غیرفعال‌سازی Anonymous Enumeration و Null Session
  • پیکربندی DNS Secure Dynamic Update برای جلوگیری از DNS Poisoning
  • استفاده از DNSSEC برای امنیت DNS Query‌ها
  • محدود کردن Zone Transfer در DNS به DC‌های مجاز
  • پیاده‌سازی Time Synchronization امن (NTP با Authentication)
  • محافظت از FSMO Role‌ها و مستندسازی آن‌ها
  • پیاده‌سازی Backup منظم از System State و AD Database
  • تست Restore از Backup به صورت دوره‌ای
  • استفاده از Active Directory Recycle Bin برای بازیابی اشیاء حذف‌شده
  • پیاده‌سازی Active Directory Snapshot برای بررسی تغییرات
  • محدود کردن Schema Modification و نظارت بر تغییرات Schema
  • استفاده از AdminSDHolder Protection برای حساب‌های Privileged
  • پیاده‌سازی Red Forest (ESAE) برای محیط‌های بسیار حساس
  • جداسازی Forest‌ها برای محیط‌های مختلف (Production، Development)
  • پیکربندی Trust Relationship به صورت محدود و نظارت بر آن‌ها
  • استفاده از Selective Authentication در Trust‌های External
  • غیرفعال‌سازی SID History در صورت عدم نیاز
  • پیاده‌سازی Certificate Services Integration برای PKI
  • استفاده از BitLocker برای رمزنگاری دیسک DC‌ها
  • پیاده‌سازی Deception Technology (Honeypot DC، Fake Admin Account)
  • انجام Active Directory Security Assessment با ابزارهایی مانند BloodHound، PingCastle
  • پیاده‌سازی Least Privilege Principle در تمام سطوح
  • آموزش مداوم تیم IT در مورد تهدیدات AD و بهترین شیوه‌های امنیتی
  • پیاده‌سازی Change Management Process برای تغییرات AD
  • مستندسازی کامل معماری، پیکربندی و رویه‌های بازیابی
  • انجام Penetration Testing و Red Team Exercise دوره‌ای
  • بررسی منظم Security Baseline و تطبیق با استانداردهای CIS و Microsoft