• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    • Dynatrace e NVIDIA a supporto delle implementazioni di AI Factory
    • Sicurezza: AI sempre più sfidante
    • Oracle EU Sovereign Cloud conquista le organizzazioni tedesche
    • Progettare il futuro con Red Hat Enterprise Linux 10
    • AI e Partnership pilastri della strategia di SAP
    • Elisabetta Franchi: A Convention of Fashion and Imagination in Mold
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»News»Active Directory sicura in 11 mosse

    Active Directory sicura in 11 mosse

    By Redazione LineaEDP25/01/20229 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Sean Deuby (in foto), Director of Services di Semperis, propone una vera e propria check list per analizzare la salute dell’Active Directory

    L’Active Directory (AD) è spesso il primo punto di arrivo nei cyberattacchi. Il team di esperti Mandiant stima che circa il 90% degli attacchi coinvolge in qualche modo l’AD, sia che si tratti di vettore di attacco iniziale o che sia mirato a ottenere privilegi o persistenza. Poiché questo è il metodo principale per l’autenticazione e l’autorizzazione che riguarda il 90% delle imprese del mondo, l’AD contiene una miriade di preziosi dati aziendali tra cui i dati dei dipendenti. Prendere di mira l’Active Directory fornisce agli aggressori la ricchezza di informazioni necessaria per accedere ai dati sensibili, distribuire ransomware e tutta una serie di altre attività nefaste.

    Nonostante l’altissima percentuale di attacchi, l’AD funziona ancora brillantemente per le aziende di tutto il mondo (che comprende la maggior parte inserite nel Fortune 1000) che utilizzano la tecnologia per gestire i permessi e l’accesso alla rete. E, con il crescente numero di utenti che lavora da casa su più dispositivi e app basate sul cloud, l’Active Directory è diventato fondamentale per le architetture di identità ibride esistenti a livello aziendale, rendendo l’AD un asset ancora più importante.

    Poiché quasi tutti gli attacchi coinvolgono l’Active Directory, una migliore sicurezza AD è essenziale per tutte le aziende. Fortunatamente, esistono alcune best practice con cui le organizzazioni possono combattere i possibili attacchi.

    In questo articolo si vuole dare una panoramica delle azioni principali che ogni organizzazione può intraprendere per proteggere l’AD dagli attacchi. Ecco da Semperis 11 consigli:

    1. Implementare buoni processi di identità. Dalle piccole organizzazioni alle grandi multinazionali, il provisioning degli utenti, il processo di creazione di account utente e di aggiunta a gruppi, è semplice. Tuttavia, quando si tratta di rimuovere gli utenti inattivi che non sono più necessari, il discorso cambia. Più del 10% degli account utente in Active Directory sono stati rilevati come inattivi, rappresentando così un rischio significativo per la sicurezza, in quanto le minacce esterne potrebbero utilizzare questi account per infiltrarsi in un’organizzazione. Con utility come PowerShell, le aziende possono facilmente identificare e rimuovere utenti e computer inattivi. Rivedere con cadenza regolare l’accesso sensibile, o i gruppi privilegiati, aiuterà anche a gestire l’accesso amministrativo. Con l’escalation di Kerberoasting, aggiornare regolarmente gli account di servizio con password solide e casuali ridurrà anche la minaccia di attori che violano gli ambienti AD.
    1. Configurare i trust di forest sicuri. Un trust di forest collega due domini AD distinti (o forest) per consentire agli utenti di un certo dominio di autenticarsi con risorse nell’altro, fornendo un’esperienza di autenticazione e autorizzazione senza interruzioni. All’interno di un forest AD, le relazioni di fiducia tra i domini sono normalmente bidirezionali e transitive per impostazione predefinita. Assicurarsi che il filtraggio SID sia attivo in tutti i trust tra i forest AD, impedisce che i gruppi privilegiati possano venire impersonati. L’abilitazione dell’autenticazione selettiva fornisce un livello di sicurezza differente permettendo solo agli utenti all’interno di un certo dipartimento o gruppo di utilizzare le risorse attraverso il trust.
    2. Eseguire il backup di ogni domain controller per ogni dominio, specialmente per quello principale. Sebbene le organizzazioni eseguano il backup di tutti i domain controller e dei loro domini, spesso dimenticano di fare il backup del dominio root, non essendo così più in grado di recuperare i loro forest. Inoltre, eseguire il backup di due o più domain controller per ogni dominio, garantirà più di una possibilità che un’organizzazione possa utilizzare per ripristinare l’intero dominio nel caso in cui un domain controller non sia disponibile. Quando si eseguono i backup, è importante utilizzare metodi di backup supportati e che assicurino che non contengano malware. Infine, non va mai dimenticato di conservare copie offline dei backup.
    3. Testare regolarmente i backup. I backup non servono a nulla se un’organizzazione non riesce (o non sa come) recuperarli. Secondo un recente studio di Semperis, oltre il 50% delle organizzazioni non ha un piano di disaster recovery AD o nel caso ne abbia uno non ha lo ha mai testato. Senza una valutazione regolare, i processi di recovery potrebbero contenere informazioni non aggiornate sulla topologia AD, il che può ostacolare i tempi di recupero nel caso di un attacco.
    4. Resettare le password degli account KRBTGT. Ogni forest Active Directory ha un account KRBTGT associato per criptare e firmare tutti i ticket Kerberos emessi nel dominio. Quando un utente si autentica in un dominio, gli viene fornito un Ticket Granting Ticket (TGT) che gli garantisce la possibilità di richiedere un service ticket dal Kerberos Key Distribution Center per accedere a un servizio (per esempio, un file server). Il TGT agisce come una prova di identità quando un utente si registra e fornisce dettagli sulla propria identità e in quali gruppi è presente, permettendogli di ottenere l’accesso ad altri servizi sulla rete. Sebbene i TGT sono validi solo per un certo periodo di tempo, nel caso che un aggressore ottenga il controllo dell’account KRBTGT, può creare TGT fraudolenti per accedere a qualsiasi risorsa egli desideri. Un modo per prevenire questo tipo di attacchi Golden Ticket è quello di reimpostare la password dell’account KRBTGT in ogni dominio con la frequenza di 6-12 mesi. Il Microsoft MVP Jorge de Almeida Pinto ha costruito uno script di reset della password KRBTGT disponibile su GitHub che viene continuamente aggiornato, permettendo alle organizzazioni di resettare la password e le relative chiavi dell’account KRBTGT, riducendo al minimo la probabilità che l’operazione provochi problemi di autenticazione Kerberos.
    5. Impedire il movimento laterale. Una delle caratteristiche dei cyberattacchi di oggi è il movimento trasversale. Dopo aver ottenuto l’accesso iniziale nel dominio di un’organizzazione, un attaccante si muove trasversalmente attraverso la rete alla ricerca di dati sensibili e altre risorse di alto valore. L’implementazione della Local Administrator Password Solution (LAPS) di Microsoft, scoraggia il salto da una workstation all’altra con la stessa password di amministratore, generando password uniche e randomizzate per ogni account di amministratore locale proteggendole in modo che solo gli utenti idonei possano leggerle o richiederne la reimpostazione.
    1. Ridurre al minimo l’appartenenza a gruppi privilegiati. I gruppi privilegiati sono quelli a cui sono concesse facoltà più ampie, privilegi e permessi che permettono loro di eseguire quasi tutte le azioni nell’Active Directory di un’organizzazione. All’interno di qualsiasi organizzazione, dovrebbe esistere solo una manciata di amministratori di dominio che siano responsabili dell’esecuzione del servizio di AD. Implementando il principio del minimo privilegio, i diritti di accesso degli utenti sono limitati solo a quelli strettamente necessari per eseguire le loro funzioni lavorative. Poiché la maggior parte degli attacchi avanzati si basano sullo sfruttamento delle credenziali privilegiate, fornire agli utenti i livelli minimi di accesso possibili, diminuisce drasticamente la superficie di cyberattacco.
    1. Proteggere l’accesso ai privilegi. Una volta che il security team ha scremato il numero di account amministrativi, una best practice è quella di utilizzare account amministrativi che abbiano nomi separati. Questo assicura che tutto ciò che appare nel registro di controllo sia inviato ad un particolare utente invece di un account che potrebbe includere più utenti. L’implementazione di un modello amministrativo su più livelli è un altro modo per prevenire l’escalation dei privilegi, limitando ciò che gli amministratori possono controllare e dove possono accedere. Ciò è necessario per prevenire, ad esempio, l’utilizzo di un account di amministratore di dominio di livello 0 per accedere alla workstation di un utente di livello 0, come è successo durante il catastrofico attacco informatico a Maersk.
    1. Limitare i privilegi di amministrazione dell’hypervisor. Con l’aumento della popolarità delle applicazioni cloud, è importante capire l’infrastruttura sottostante che supporta un ambiente AD. Si può dire che la maggior parte delle organizzazioni operano nel cloud e, quindi, eseguono il loro Active Directory su almeno alcuni controller di dominio virtuali. Gli amministratori dell’hypervisor hanno la possibilità di chiudere, cancellare, alterare o interferire con quei controller di dominio, il che significa che le organizzazioni devono prestare attenzione a chi ha i diritti di amministrazione.
    2. Rinforzare i domain controller. Le impostazioni predefinite dei domain controller non sono protette, il che significa che ci sono diversi percorsi di escalation dei privilegi per l’amministratore di dominio. Con queste impostazioni predefinite, i domain controller possono eseguire altri servizi che danno loro il controllo dell’AD. Per esempio, il servizio Print Spooler sui domain controller permette a qualsiasi utente autenticato di connettersi in remoto al servizio spooler di stampa di un domain controller e richiedere un aggiornamento sui nuovi lavori di stampa. Gli utenti possono anche chiedere al domain controller l’invio della notifica al sistema con una delega non vincolata, che rende esposte le credenziali dell’account del computer del domain controller. Disabilitando il servizio Print Spooler su tutti i domain controller e rimuovendo i ruoli server e gli agent non necessari, si limita la possibilità di essere esposti.
    3. Monitorare l’attività insolita. Poiché le minacce state-sponsored continuano ad aumentare, il monitoraggio continuo dell’AD per attività sospette è una componente chiave per prevenire, rilevare e bloccare le attività dannose. L’implementazione di una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM) attraverso l’analisi del comportamento degli utenti e delle entità, permette alle organizzazioni di aggregare e analizzare l’attività in tutta la loro infrastruttura IT, compresi eventuali cambiamenti di appartenenza degli account e ai gruppi privilegiati.

    Mantenere l’Active Directory sicuro e ben mantenuto è fondamentale per bloccare la messa in atto di tutte le tattiche che hanno dato luogo ad alcuni dei più devastanti cyberattacchi nella storia recente. Eppure, la gestione e la sicurezza di AD è qualcosa con cui molte organizzazioni continuano a scontrarsi. Le best practice menzionate in questo articolo, possono aiutare le organizzazioni a eliminare alcune delle più comuni vulnerabilità dell’AD, ostacolare i tentativi degli attaccanti volti ad aumentare i privilegi, e permettere alle organizzazioni un recovery rapido, completo e pulito nell’eventualità di un attacco.

    Active Directory Sean Deuby Semperis
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi

    21/05/2025

    Dynatrace e NVIDIA a supporto delle implementazioni di AI Factory

    21/05/2025

    AI e Partnership pilastri della strategia di SAP

    21/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025

    TA406: cybercrime contro le entità governative ucraine

    19/05/2025
    Report

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025

    IBM X-Force Threat Index 2025: vecchi e nuovi trend delle minacce cyber

    18/04/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.