[vc_row][vc_column][vc_column_text]

Bevezetés

Miért fontos a Microsoft Active Directory biztonsága, azon belül pedig a nem egyes személyekhez kötött azonosítók karbantartása, felülvizsgálata, és milyen jó gyakorlatok léteznek ezzel kapcsolatban?

A kérdés megválaszolásához először a definíciókat tisztázzuk.

Mi az az Active Directory?

Az Active Directory, röviden AD, a Microsoft hálózati szolgáltatásainak gyűjtőneve. Az Active Directory címtár az adatbázisból és az azt futtató Active Directory szolgáltatásból áll. Fő célja a Windowst futtató számítógépek részére autentikációs és autorizációs szolgáltatások biztosítása, lehetővé téve a hálózat minden publikált erőforrásának (fájlok, megosztások, perifériák, kapcsolatok, adatbázisok, felhasználók, csoportok stb.) központosított adminisztrálását – vagy éppen a rendszergazdai jogosultságok delegálásával az erőforrások decentralizált felügyeletét.

A legtöbb hazai vállalatnál a Microsoft termékein alapul a helyi hálózat, ezért van Active Directory is, amelynek különösen fontos a biztonsága. Cikkünkben a számos Active Directory-val kapcsolatos biztonsági kérdés közül a nem személyhez kötött felhasználói azonosítókra fókuszálunk.

Milyen nem személyhez kötött felhasználók léteznek?

Az Active Directory-ban különböző fióktípusokat hozhatunk létre azok funkcionalitása és felhasználása alapján, ezek közül kettőt emelnénk ki:

A Generic Account (GA) egy általános megnevezéssel rendelkező fióktípus, amelyhez több felhasználó is hozzáférhet. Például: Auditor@cegnev.hu, vagy keddi_foci@cegnev.hu. Rövidtávon előnyösnek tűnik egy olyan fiók létrehozása, amelyet többen is használhatnak különösen akkor, ha a részfeladatokat több felhasználó között osztották el. Hosszútávon azonban egy ilyen fiók elszámoltathatóságának hiánya óriási veszélyforrást jelenthet.

A Service Account (SA) egy szolgáltatáshoz társított fióktípus. Ezek a lehető legkevesebb privilégiumot kapják feladataik végrehajtására. Például: a nyomtatok@cegnev.hu a nyomtatók kezelésére létrehozott szolgáltatói fiók, amit úgy kell beállítani, hogy csak és kizárólag a nyomtatók kezelésére legyen alkalmas. Ennek a beállításnak az egyik legfontosabb előnye, hogy ha egy illetéktelen felhasználó lépne be a nyomtatók kezelésére létrehozott fiókba, akkor az általa okozott károk hatása minimális legyen, ne terjedjen ki a cég teljes eszköztárára.

Mi lehet a probléma?

Mint minden rendszerező megoldás, így az AD is megfelelő karbantartást igényel. Az alapos és ütemezett fiókfelülvizsgálatok elmaradása miatt előfordulhat, hogy egy fióknak túl gyenge marad a jelszava, amit illetéktelenek könnyen kihasználhatnak. Az is előfordulhat, hogy egy GA-t akár többen is használnak, ez megnehezíti a felelős felhasználó beazonosítását. Továbbá, a távozó vagy szerepkört váltó munkavállalók esetén a jelszócsere vagy az account zárolásának elmaradása is magas kockázatot jelent.

Összefoglalva, az Active Directory legtöbb problémájának általános gyökere az, hogy ha nincs megfelelő minőségű és időben végrehajtott felülvizsgálati folyamat, akkor a nem kezelt account-ok túlburjánozhatnak. Továbbá, a rendszeres felülvizsgálat elmaradásával, elveszik a szervezeti tudás arról, hogy ki az account tulajdonosa és mire használja azt.

Ezáltal nincs megfelelő kontroll a nem személyhez kötött azonosítókon, és a rosszindulatú külső vagy belső támadók különösebb technikai felkészültség nélkül viszonylag könnyen átvehetik az uralmat felettük, és rajtuk keresztül hozzáférhetnek értékes vállalati erőforrásokhoz, adatokhoz.

Mit tehetünk?

Jogosan merül fel a kérdés, hogy mit tehetünk az Active Directory biztonságának növelése érdekében ezen a területen. Az első lépés ebben az esetben is:

A kockázatok feltérképezése és a jó gyakorlatok bevezetése

A kockázatok feltérképezése és a jó gyakorlatok bevezetése kéz a kézben járnak, hiszen, ha már van a fiókok létrehozására és kezelésére egy jól kialakított gyakorlatunk, akkor az megkönnyíti kockázataink felmérését, valamint a fiókok rendszeres felülvizsgálatát is.

A fiókok létrehozásakor jó gyakorlatként fontos dokumentálnunk, pl.: a létrehozás fizikai helyszínét és időpontját, az első tulajdonos nevét. Továbbá érdemes a tulajdonos felettesének a nevét is már az account létrehozásakor rögzíteni. Erre természetesen alkalmas lehet egy megfelelően kialakított, a létrehozást kezdeményező igénylési űrlap is.

A fiókok működésének előzetes feltérképezése

A felülvizsgálat és kezelés végrehajtásában a szervezet számára elengedhetetlen, hogy legyen megfelelő szakértője, aki képes az AD felhasználók és tevékenységük adatainak kinyerésére. A riport elkészítése után meg kell vizsgálnunk, hogy ismerjük-e a nem személyhez kötött azonosítókat, azt, hogy mit csinálnak, és ki a „tulajdonosuk”, ki felelős értük?

Emellett a jelszavak erősségét egy jelszótörő szoftver segítségével kategorizálhatjuk. A nem megfelelő jelszóerőséggel rendelkező fiókok tulajdonosaival történő direkt kommunikációt érdemes a folyamat során kitüntetett figyelemmel, prioritással kezelnünk.

A nehezebben beazonosítható fiókoknál érdemes az operációs rendszerekben és a szoftverekben bekövetkező eseményeket és változásokat rögzítő naplófájlok, (log-ok) elemzéséből kiindulnunk.

A fiókaktivitások megértéséhez szükséges naplózás beállításakor érdemes végig gondolnunk:

• Tudjuk-e, hogy mit csinál az account?
• Van-e technikai megoldásunk a be és ki jelentkezéseken túl a részletesebb tevékenységek rögzítésére és megismerésére, – ami a felhasználó tevékenységére utal?
• Előfordulhat-e, hogy az account felhasználója régen lépett be, ám a fiók mégis aktív? (Pl.: a mérőeszközök megfigyelésére szolgáló account utolsó bejelentkezése lehet, hogy régebben történt, ám azóta a felhasználói tevékenység folyamatosan zajlik.)

A kockázatok kezelése

A felülvizsgálat átláthatóságának érdekében a kockázatok kezelését két részre osztjuk:

• Az általános célok a fiókok mitigáció utáni sorsát határozzák meg, vagyis azt, hogy mi legyen velük?
• A felülvizsgálati folyamat alatt pedig a mitigációs folyamat lépéseit részletezzük.

A célok kijelölése a folyamat egyéb lépéseitől időben nem szükségszerűen válik el. A gyakorlat azt mutatja, hogy a folyamat előrehaladtával a célok listája a fiókokról beszerzett tudással párhuzamosan bővülhet. Ne lepődjünk meg, a gyakorlat nézőpontjából a két folyamat ismétlődő, iteratív természetű is lehet.

A kockázatok kezelésének általános céljai

• Minden account típusra igaz, hogy: fontos megtalálni a fióktulajdonost.
• Az account-ok jelszavai, és a jelszavak cseréjének kikényszerítése az aktuális IBSZ-nek megfelelő legyen.
• Továbbá pótoljuk az account-ok információit a fent említett jó gyakorlatok mentén.
• A fölösleges, nem használt account-okat pedig szüntessük meg.

Generic Account

A Generic Accountok (GA) létrehozását érdemes mellőznünk. A korábban már létrehozott GA-k céljait érdemes megértenünk. Például: előfordulhat, hogy a könyvelők GA-ra gyűjtenek be bizonyos számlákat. Megtörténhetett, hogy a céghez kiszálló auditorok korábban egy GA-n keresztül kapták meg a bekért anyagokat. De az is lehet, hogy a 10 évvel ezelőtt alapított céges szabadidősklub tagjai még mindig egy GA-n keresztül kommunikálnak egymással.

Szerencsére a fenti példák kapcsán már léteznek hatékonyabb és biztonságosabb kommunikációs csatornák. A könyvelők és a szabadidősklubok fiókjait átállíthatjuk Shared Mailbox-okká. Az auditorokkal pedig érdemes más, biztonságosabb platformokon megosztani a bekért anyagokat.

Hüvelykujj-szabályként megállapíthatjuk: a legszerencsésebb, ha a GA-k használatát mellőzzük.

Service Account

Néhány hasznos tanács a SA-k kezeléséhez:

• Jelszó paramétereket az IBSZ-nek megfelelően állítsuk be minden felhasználói csoportra.
• A nem emberi felhasználóknál a gyakori jelszócsere nem mindig megoldható, ilyen esetekben javasolt a jóval erősebb jelszókövetelmények beállítása.
• Érdemes lehet letiltani a service accountokhoz való külsős, – nem belső hálózati hozzáférést, hacsak az nem feltétlenül szükséges.
• Érdemes átgondolnunk a képernyőn keresztüli bejelentkezés (Interactive Logon) lehetőségének letiltását távoli és akár lokális felhasználók esetén is.
• Érdemes megfontolnunk a részletesebb logolás és a folyamatos nyomon követés bevezetését. Különösen akkor, ha az account-ot másra használják, mint amire be lett vezetve. Ilyenkor a rendszer küldjön logot a biztonsági műveletekért felelős csapatnak (ha van, akkor a SOC Team-nek) is, akik bevonásával érdemes döntést hozni a log-review időzítéséről és felelőseiről.

Opcionális javaslatok egyéb alkalmazások bevezetésére

Az AD biztonságát egyéb szoftverek bevezetésével és használatával is lehet növelni, például:

• MFA: Noha a gyakorlatban ritkábban kivitelezhető, a Service Accountokra ajánlott egy Multi-Factor Authentication (MFA) alkalmazás bevezetése. Az MFA-k több tényezővel, jellemzően egy jelszóval és egy további a mobiltelefonokra érkező kóddal segítik elő a felhasználók biztonságosabb azonosítását. Ezáltal az eszköz, a céges adatok és a hálózat védelme biztosított.
• Minden olyan szervezetnek, amelyet szigorúbb törvényi előírások köteleznek, egy identitás és hozzáféréskezelő szoftver bevezetését is megfontolásra javasoljuk.

A felülvizsgálati folyamat döntő mozzanatai

A fiókok beazonosítása és tulajdonosokhoz rendelése a folyamat alapvető lépése. Következő lépésként a már beazonosított fióktulajdonosokkal érdemes folytatni a kommunikációt, hiszen ők tudják a legrészletesebben elmondani, hogy mire használják az account-ot. Az így begyűjtött információk alapján már meg lehet határozni a fiókok sorsát.

Az előzetes információk begyűjtése után is előfordulhat, hogy egy tulajdonos a saját accountjának nem minden funkciójára emlékszik, ezért a felülvizsgálat eredményeképp eszközlendő módosításokat érdemes célonként csoportosítani és az éles módosítást úgy időzíteni, hogy az esetlegesen felmerülő problémák esetén időben lehessen reagálni az incidensekre.

A folyamat hatékonyságának egyik kulcskérdése a fióktulajdonosok mellett az illetékes vezetők rendszeres tájékoztatása. Az érdekelt feleket olyan módon tájékoztassuk, hogy minél jobban megértsék a folyamat hozzáadott értékét. Ezáltal biztosíthatjuk, hogy a vezetőség tagjai a teljes folyamatot szervezeti tudásukkal tudják támogatni. A teljes folyamattal párhuzamosan érdemes állandó kapcsolatban maradni az aktuális lépésben érintett érdekelt felekkel.

Tipp: Javasoljuk, hogy a vállalatnak legyen terve a kilépő dolgozók accountjainak tovább-örökítésére.

Amennyiben az Ön figyelmét felkeltette az Active Directory biztonságával kapcsolatos szolgáltatásunk, keressenek minket bizalommal![/vc_column_text][/vc_column][/vc_row]