A biztonsági csoportok vagy megteremtik, vagy megbontják az informatikai biztonságot. A csoporttagság határozza meg a hálózati erőforrásokhoz én a domain-en belüli adatokhoz való hozzáférést. Gondolkozott már azon, hogy a csoporttagság egyszerű téves konfigurálása milyen biztonsági problémákat okozhat? Ez a blog bemutatja a leggyakoribb téves konfigurációkat és biztonsági kiskapukat, amelyek veszélyeztethetik a hálózat érzékeny adatait.
A csoportok és tagságok anatómiája
A csoporttagságok, mind az Active Directoryban, mind az Azure AD-ben rendkívül alulértékeltek, amikor a biztonságról van szó. A tagságot gyakran rendszergazdák, ügyfélszolgálatok és osztályvezetők módosítják.
Az itt található példák bemutatják a csoporttagságok rossz konfigurálását az AD-ban vagy az Azure-ban.
Egy csoport, tagként történő hozzáadását egy másik csoporthoz „nesting”-nek nevezzük. Például egy vagy több biztonsági csoport hozzáadható az Adminisztrációs csoporthoz. Annak ellenére, hogy ennek a rendszergazdai csoportnak a változásait folyamatosan figyeljük, ez mégis biztonsági kiskaput okozhat, ha a Beágyazott csoport változásait nem figyeljük meg.
A rosszindulatú bennfentesek vagy a külső támadók könnyen hozzáadhatják a tagokat a beágyazott vagy közvetett csoporthoz, és hozzáférést kaphatnak a bizalmas adatokhoz, mivel a Beágyazott csoport az Adminisztrációs csoport része. Ennek a kihívásnak a leküzdéséhez a vállalkozásoknak Zero Trust politikát kell elfogadniuk, hogy csak a szükséges szintű hozzáférést biztosítsák a felhasználóknak.
Mielőtt megvizsgálnánk a csoportok rossz konfigurálhatóságának különböző módjait, vessünk egy pillantást arra, hogyan lehet auditálni a csoporttagság változását az AD-ben.
Miután engedélyezte a szükséges ellenőrzési házirendeket az AD-ben a csoporttagságok ellenőrzéséhez, az AD-tartomány bármely típusú csoportjának minden tagsági változását naplózza és rögzíti a tartományvezérlők (DC) Windows eseménynézőjének biztonsági fülén.
A csoportok változásainak figyelése azonban nem ilyen egyszerű, mert az AD tartomány minden más biztonsági változása, például az engedélyek, a fájlok és a mappák változásai, valamint a bejelentkezési és kijelentkezési tevékenységek ugyanarra a helyre kerülnek (azaz az Eseménynapló biztonsági lapjára ). Mindezeket a biztonsági eseményeket át kell tekintenünk a megfelelő eseményazonosítókkal, amelyek a csoport módosításának változását jelzik.
A csoportokra vonatkozó események, műveletek, engedélyek, tagsági változások rögzítése rendkívül unalmas és időigényessé teszi a csoportos változtatások kezelését.
2. A csoportok nem csupán biztonsági csoportok
A biztonsági csoportok az egyetlen csoport típus, melyek meghatározhatják az erőforrásokhoz való hozzáférést, de az AD-ben és az Azure-ban számos más típusú csoport is létezik, amelyek hozzáférést biztosítanak más hálózati erőforrásokhoz.
• Biztonsági csoportok DC-k és univerzális csoportok között: Ha multi-DC környezetet üzemeltet, akkor lehet, hogy már ismeri ezeket a csoportokat. Vannak olyan alapértelmezett rendszergazdai csoportok, mint a DNS-rendszergazdák, a tartományi rendszergazdák és a vállalati rendszergazdák, amelyek lehetővé teszik a felhasználók számára az AD-tartomány különböző összetevőinek kezelését. Az univerzális csoportok lehetővé teszik szerepkörök definiálását vagy több tartományon átívelő erőforrások kezelését.
• Egyéb platformcsoportok: Bármely harmadik fél által létrehozott csoport meghatározhatja a hozzáférést a szolgáltatáshoz, például:
– Az On-premis AD-csoportokat használják az Azure-erőforrások eléréséhez.
– Exchange Server csoport: Alapértelmezés szerint ennek a csoportnak joga van törölni a tartomány biztonsági naplóját. Bármely rosszindulatú felhasználó, aki ebbe a csoportba tartozik, könnyen törölheti a tartomány biztonsági naplóját, megszüntetve ezzel a rosszindulatú tevékenységek minden nyomát.
– Exchange Windows Engedélyek csoport: jogosultak a DACL irányításra DNS node-on keresztül. A domain DNS-node feletti jogosultsággal rendelkező bármely felhasználó módosíthatja és átveheti a tartomány minden objektumának irányítását.
További információ arról, hogy miként lehet kihasználni a tartományi DNS engedélyeit az AD-ben itt.
Az Azure AD biztonsági csoportok és a Microsoft 365 csoportok: Az Azure AD és a Microsoft 365 csoportok kulcsfontosságúak az erőforrások kezelésében az Azure AD-ben.
• A biztonsági csoportokat a tagok és a számítógépek hozzáférésének kezeléséhez használják az Azure-felhasználók egy csoportjának megosztott erőforrásaihoz.
• A Microsoft 365 csoportok együttműködést biztosítanak azzal, hogy a tagoknak hozzáférést biztosítanak megosztott postafiókhoz, naptárhoz, fájlokhoz, SharePoint-webhelyekhez és egyebekhez. Vessünk egy pillantást a csoporttagsági naplózásra az Azure AD-ben. Az Azure AD Audit naplók
Az Azure AD Audit naplók
Csakúgy, mint a Windows Event Viewer az on-premis Active Directory-ban, az Azure AD-ben is van egy központi hely, ahol az ellenőrzési naplók tárolódnak. Ezek az ellenőrzési naplók könyvtáralapú változásokat rögzítenek, például a felhasználók, csoportok és alkalmazások változásait.
Szerencsére az Azure AD több rendezési és szűrési lehetőséget kínál az on-premis AD-hez képest. Például szűrheti a biztonsági eseményeket idő, működés és egyebek alapján.
Az ellenőrzési naplók azonban nem biztosítanak teljes áttekintést a biztonsági változásokra. Tegyük fel például, hogy meg szeretné találni az Azure AD-ben módosított biztonsági csoportok listáját. Meg kell nyitnia és ellenőriznie kell minden egyes naplót, hogy megállapítsa, melyik csoport módosult, ami nem gyors és nem egyszerű. Vizsgáljuk meg az Azure AD biztonsági eseményeinek auditálásának más lehetséges módjait.
Microsoft 365 egységes ellenőrzési naplók
A Microsoft megoldást nyújtott a fent említett problémára a Biztonsági és Megfelelőségi Központjában található egységes ellenőrzési naplón keresztül. Ez a megoldás azonban nem hatékony.
Amint a fenti képen látható, a Biztonsági és Megfelelőségi Központ rendelkezik naplózási keresési funkcióval, amely lehetővé teszi az ellenőrzési naplók keresését és szűrését. Remekül hangzik, igaz? Nem pontosan! Ha tovább szeretné elemezni az eseményt, a részletek JSON formátumban lesznek, amikor megnyitja. Az adatok elemzésének egyetlen módja a JSON naplóadatok exportálása és szűrése a Microsoft Excel segítségével
Ahogy láthatja, bár a szűrési lehetőségek lényegesen jobbak, a naplózási és elemzési kihívások, amelyekkel egy tipikus on-premis AD-infrastruktúrában szembesül, az Azure-ban is léteznek! Ráadásul mind az Azure AD, mind a Microsoft 365 csak rövid, 30, illetve 90 napos időszakonként tárolja a naplókat, ami megnehezíti az elemzést.
A biztonsági csoport tagságának változásainak időben történő rögzítése és elemzése időszerű igény. Bár a natív opciók időben rögzítik a fontos esenényeket, a korlátozott rendezési és keresési képességek kihívást jelentenek az események elemzésekor. Néha a tagság megváltozásának észlelése nem elég. Szervezetének valós idejű riasztási mechanizmussal és mérséklési művelettel kell rendelkeznie az esetleges jogosulatlan csoport tagság változások kivédésére.
Javítani szeretné a biztonsági tervét?