Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op computerworld.nl. Dit vinden wij jammer, want computerworld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor computerworld.nl door deze te whitelisten?
!
Welkom op computerworld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
0 Reacties Bewaren
Active Directory beveiliging

Checklist voor een sterk beveiligde Active Directory

Slechteriken zitten al in je netwerk en met AD-toegang is het game over.

Heel vaak, veel te vaak, lezen we over kwaadwillende hackers die netwerken zijn binnengekomen vrijelijk kunnen bewegen tussen endpoints, servers en databases omdat ze Active Directory-rechten op een simpele manier konden verkregen. Daarom enkele basistips om de AD te beveiligen.

Een recent rapport van Microsoft stelt dat de antivirus-utility die in Windows 10 is toegevoegd een toename van 400 procent opmerkte in het aantal keer dat ransomware werd gedetecteerd (PDF). Via kwetsbaarheden die daarvoor worden gebruikt, proberen aanvallers ook binnen te komen bij de belangrijkste applicaties. Als snoodaards bij de Active Directory komen, kan de schade enorm zijn.

Active Directory beheert bijna elk deeltje van de IT-infrastructuur, van gebruikerstoegang en applicaties tot aan computers en netwerken. Aanvallers kunnen gestolen admin-toegang wekenlang gebruiken zonder dat het wordt opgemerkt, wat een miljoenenschade kan opleveren. Daarom is het van levensbelang om credentials van accounts met hoge admin-rechten goed te beveiligen.

Zo min mogelijk rechten

Volgens onderzoek bevat in de gemiddelde organisatie twee tot zeven procent van de werkstations malware op een moment in zijn looptijd. Je dient er vanuit te gaan dat aanvallers binnen zijn en de AD direct kunnen aanvallen, zonder door je perimiterbeveiliging te moeten. Ga dus uit van een least privilege systeem, het liefst met helemaal geen permanente admin-accounts.

Lees ook: 5 tips om admiaccounts te beveiligen

Active Directory is een van de belangrijkste toepassingen in een organisatie, dus zo min mogelijk mensen moeten de rechten hebben om wijzigingen op domeinniveau te maken. Hoe minder permanente accounts je hebt, hoe minder gebruikers je hoeft te monitoren en gebruik/aanmaak van credentials in de gaten moet houden.

Scheiden en whitelisten

Systeembeheerders zouden een account en systeem moeten hebben voor hun dagelijkse taken en een apart account met hogere rechten, bij voorkeur via een aparte pc, voor werk als AD-wijzigingen. Daarmee beperk je het risico dat je via een onbeveiligd werkstation aanvallers toegang krijgen tot een account met hogere rechten.

Niet iedere host binnen je omgeving mag de toegang hebben om AD-wijzigingen te maken. Maak een whitelist van specifieke werkstations die deze toegang überhaupt hebben en sta alleen verbindingen toe naar de domeincontroller via aparte poorten en protocollen die de admins gebruiken.

Alleen geverifieerde toegang

Wachtwoorden zijn te snel gekraakt, zwerven te veel rond en zijn simpelweg te onveilig om nog als authenticatiemiddel te gebruiken. Aanvallers zijn geavanceerd en zelfs met schijnbaar stevige wachtwoordbeveiliging, kost het maar één kaping om op afstand toegang te krijgen tot het systeem. Op z'n minst moeten de admin-accounts zijn beveiligd met 2FA, als al niet alle werknemers secundaire tokens nodig hebben om in te loggen.

Lees ook: 5 dingen die je moet weten over two-factor authentication

Active Directory is maar zo sterk beveiligd als zijn beheeromgeving. Organisaties moeten dus zorgen voor beveiligde werkstations voor systeembeheerders, het liefst op gescheiden (virtuele) netwerken om malware en misbruik te voorkomen. Admins van AD dienen gebruik te maken van beveiligde systemen, (virtuele) Priviliged Administrative Workstations (PAW), om toegang te krijgen. Strakke isolatie is het devies.

Beveilig tegen AD-aanvallen

Werkstations van systeembeheerders moeten kunnen communiceren met vertrouwde sites binnen en buiten het eigen netwerk. Daar komt whitelisting van pas, zoals we net al zeiden, maar voor domeincontrollers is nog striktere scheiding nodig. Deze mogen helemaal niet communiceren met het internet en die toegang moet geblokkeerd zijn.

Lees ook: 5 gevaarlijke nieuwe aanvalstechnieken

Daarnaast zijn er veel tools tegenwoordig die specifiek zijn ontworpen om Active Directory te veroveren. Veel doen zich voor als legitieme tools die door beheerders worden gebruikt, zoals PowerShell. Diverse tools zijn te vinden op GitHub. Gebruik ze zelf en zorg ervoor dat je bekend bent met de mogelijkheden hiervan, zodat je ertegen kunt beveiligen.

Herstellen na incident

Als er sprake is geweest van een indringer binnen AD, moet je domeincontrollers kunnen herstarten en een eerdere versie herstellen. Hier moet je dus voor plannen en recovery moet zijn getest om zeker te weten dat het werkt als dit moment zich aandient. Systemen in afgelegen locaties die geen sterke fysieke beveiliging hebben, moet je ook kunnen verifiëren dat er niet met de hardware is gerommeld.

Relevante profielen

Bekijk alle CIO-profielen »
Bekijk alle CXO-profielen »

Oudste boven ▾ Reacties

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Er zijn nog geen reacties.

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview