امنيتشبكه

Active Directory Tiering Model

مدل مدیریتی Tier در Active Directory

توسط جواد شریفی
0 72

Active Directory Tiering Model

بسیاری از سازمان‌ها بدون آگاهی با یک مشکل مهم در زمینه امنیت Credential‌ها دست و پنجه نرم می‌کنند که آن‌ها را آسیب‌پذیر می‌کند. این امر باعث می‌شود مهاجمان به راحتی به Domain مسلط گردند. استفاده مداوم از حساب‌های با امتیازات بالا مانند Domain Admins (DA) و Enterprise Admins (EA) در سیستم‌های مختلف این آسیب‌پذیری را تشدید می‌کند.
معمولاً مدیران فناوری اطلاعات که دارای امتیاز DA/EA هستند، Credential‌های خود را در سراسر Domain استفاده می‌کنند تا وظایف مدیریتی را در Workstation ها و Server ها انجام دهند. درک این مشکل برای فهم دقیق جزئیات فنی ضروری است.

لینک اصلی مقاله

طراحی SSO در Active Directory

Active Directory (AD)، که معمولاً توسط سازمان‌ها برای مدیریت پایگاه‌های کاربری وسیع استفاده می‌شود، از Kerberos برای احراز هویت استفاده کرده و به طور ذاتی از Single-Sign-On (SSO) پشتیبانی می‌کند. SSO دسترسی را ساده می‌کند زیرا به کاربران این امکان را می‌دهد که یک بار احراز هویت شوند و به منابع متعدد دسترسی پیدا کنند. اما این راحتی هزینه‌ای هم دارد.
برای اینکه SSO کار کند، ویندوز Credential‌ها را به صورت محلی Cache می‌کند. این امر فرصتی برای مهاجمان فراهم می‌آورد. به محض اینکه امتیازات مدیریتی بر روی یک سیستم به خطر بیفتد، مهاجم می‌تواند Credential‌ های Cache شده را استخراج کند، از جمله:

– ورودی‌های پایگاه داده Local SAM
– Hashهای NT(LM)
– Ticketهای Kerberos

اگر یک Domain Admin به تازگی وارد سیستم آسیب‌دیده شده باشد، هر حساب کاربری Local Administrator می‌تواند از Credential‌های او برای حرکت جانبی در شبکه استفاده کند. این مشکل نقصی در SSO نیست، بلکه یک محصول جانبی از طراحی آن است که به حملاتی مانند Pass-the-Hash و Pass-the-Ticket اجازه می‌دهد تا از Credential‌های ذخیره‌شده سوءاستفاده کنند.

Workstation با دسترسی سطح بالا (A Privileged Access Workstation یا PAW)

یک Workstation با دسترسی سطح بالا یک دستگاه فیزیکی تخصصی و بسیار ایمن است که برای انجام وظایف مدیریتی طراحی شده و از طریق حساب کاربری جداگانه‌ای برای مدیر IT مدیریت می‌شود.

 

ویژگی‌های کلیدی این دستگاه عبارتند از:

– محدودیت نصب نرم‌افزار: فاقد دسترسی به اینترنت (به‌جز URLهای ضروری)، Outlook ندارد و درایوهای USB مسدود شده‌اند.
– تنظیمات فایروال: ارتباطات ورودی شبکه مسدود شده‌اند تا آسیب‌پذیری‌ها کاهش یابند.
– استفاده از PAW مجزا: هر مدیر IT مسئول PAW خود است که موجب افزایش پاسخگویی می‌شود.
– گروپ پالیسی: پیکربندی و تقویت امنیت دستگاه از طریق Group Policy انجام می‌شود.

این جداسازی اطمینان می‌دهد که نفوذ به یک سطح به راحتی منجر به نفوذ به سطح دیگری نمی‌شود و به طور قابل توجهی توانایی مهاجم برای حرکت جانبی در شبکه را محدود می‌کند.

این یک رویکرد استراتژیک است که اگرچه شکستن آن را غیرممکن نمی‌کند، اما چالش‌های زیادی برای مهاجمان ایجاد می‌کند.

 

مدل مدیریتی Tier در Active Directory

مدل Tier مدیریتی یک استراتژی مؤثر در برابر حرکت جانبی است. این مدل یک پروتکل سختگیرانه اعمال می‌کند که بر اساس آن حساب‌های سطح بالاتر نمی‌توانند به سیستم‌های سطح پایین‌تر وارد شوند و بالعکس، به‌ طور مؤثری از در معرض قرار گرفتن اطلاعات حساس جلوگیری می‌کند، به‌ویژه در سیستم‌های کم امنیت تر مانند سرورهای کاربردی (SQL) یا Workstation های عمومی. این کنترل دسترسی سلسله ‌مراتبی به‌ منظور محافظت از منابع حیاتی طراحی شده است تا آن‌ ها را در نواحی امنیتی مجزا ایزوله کرده و در نتیجه وضعیت کلی امنیت را تقویت کند.

این مدل بر اساس سلسله‌مراتب زیر طراحی شده است:

+ Tier 0: مدیران Forest / مدیران Domain
– مدیریت دارایی‌های حیاتی‌ترین سیستم‌ها: Domain Controllers, Azure AD Connect, AD Federation Services (ADFS), Public Key Infrastructure (PKI), Backup Servers, Cloud Services و غیره.

+ Tier 1: مدیران سرور / مالکان برنامه‌ها
– مدیریت سرورهای مهم اما غیر حیاتی: SQL Servers, Print Servers, File Servers. و غیره.

+ Tier 2: مدیران Workstationها (Helpdesk) / پشتیبانی فنی
– مسئولیت مدیریت Workstation های کاربران نهایی، به‌ویژه در نقش‌های پشتیبانی IT.

این ساختار بخشی از مدل Tiering در Active Directory است که وظایف و دسترسی‌ها را تفکیک می‌کند تا از وقوع نقض‌های امنیتی و دسترسی غیرمجاز در سطوح مختلف زیرساخت IT جلوگیری کند.

پیاده‌سازی تقسیم‌بندی شبکه برای مدل Tiering

همانطور که می‌دانیم، گاهی اوقات بر اساس معیارهای دیگر طراحی Active Directory، ممکن است نتوانیم مدل Tiering یکسانی را در سازمان خود ایجاد کنیم. با این حال، ممکن است نیاز باشد که از اصولی برای تأمین امنیت این محیط با کمک تقسیم‌بندی شبکه پیروی کنیم. تقسیم‌بندی شبکه نقش کلیدی در تقویت وضعیت امنیتی زیرساخت IT سازمان ایفا می‌کند.

در حالی که طراحی Organization Units (OU) در Active Directory یک جنبه اساسی در حفاظت از محیط است، این تفکیک باید به سطح شبکه نیز گسترش یابد.

منطقه-A یا Tier 0

این منطقه مربوط به بالاترین سطح امنیت در مدل Tiering است. سیستم‌های حیاتی‌تر مانند Domain Controllers و Authentication Servers در این منطقه قرار دارند. دسترسی به این شبکه باید به شدت محدود شود، به طوری که دسترسی به اینترنت فقط برای خدمات ضروری و فرآیندهای احراز هویت کنترل شده و محدود باشد.

 

منطقه-B یا Tier 1

Tier 1 شامل سیستم‌های مهم اما غیر حیاتی است، مانند Application Servers و Print Servers. تقسیم‌بندی شبکه برای Tier 1 نیز باید شدید باشد تا از دسترسی غیرمجاز جلوگیری کرده و نفوذهای احتمالی در این منطقه را مهار کند تا از گسترش آن‌ها به Tier 0 جلوگیری شود.

 

منطقه-C یا Tier 2

این Tier شامل Workstation های کاربران نهایی و سیستم‌های پشتیبانی است که معمولاً توسط تیم‌های پشتیبانی IT و Helpdesk مدیریت می‌شود. اگرچه این Tier پائین ترین سطح حساسیت است، اما باید اقدامات امنیتی مناسب برای محافظت در برابر تهدیداتی که ممکن است از Workstation ها به عنوان راهی برای دسترسی به سطوح بالاتر سوءاستفاده کنند، انجام شود.

تقسیم‌بندی شبکه به معنای تقسیم شبکه به بلوک‌های مجزا برای مهار نقض‌های امنیتی و کنترل نحوه جریان ترافیک بین بخش‌های مختلف شبکه است.

این رویکرد لایه‌بندی شده در طراحی شبکه به هدف کاهش ریسک حرکت جانبی مهاجمان است، زیرا هر بخش یا منطقه مجموعه‌ای از کنترل‌ها و نظارت‌های خاص خود را دارد.

این روش سطح حمله را کاهش داده و دسترسی مهاجمان به مناطق ایمن را به طور قابل توجهی دشوارتر می‌کند، به این ترتیب داده‌های حساس و زیرساخت‌های حیاتی محافظت می‌شوند.

 

اجرای محدودیت‌های ورود از طریق Group Policy

پیشنهاد می‌شود که هر گونه کاربر و گروه غیرضروری از گروه Local Administrators در سیستم های کلاینت ها حذف شوند.

اصل کمترین امتیاز ایجاب می‌کند که کاربران تنها دسترسی‌های لازم برای انجام وظایف خود را داشته باشند. برای رعایت این اصل، محدودیت‌های ورود از طریق Group Policy نقش حیاتی در استراتژی امنیتی یک سازمان دارند.

عضویت در گروه Administrators محلی:

  • مدیران Tier 0: باید تنها در سرورهای Tier 0 عضو گروه Local Administrators باشند و دارایی‌های حیاتی مانند Domain Controllers را مدیریت کنند.
  • مدیران Tier 1: باید در گروه Local Administrators در سرورهای Tier 1 گنجانده شوند و سرورهای مهم اما غیر حیاتی مانند Application Servers و Print Servers را نظارت کنند.
  • مدیران Tier 2: باید فقط در سرورهای Tier 2 دارای حقوق مدیریت Local باشند که معمولاً با مدیریت Workstation های کاربران نهایی سروکار دارند.

 

ایجاد Group Policy

برای اجرای این محدودیت‌ها، باید Group Policy‌های مجزایی برای هر Tier ایجاد شود – Tier 1، Tier 0 و Tier 2. به‌عنوان مثال، یک Group Policy با نام “Tier1-DenyLogonRights” می‌تواند برای اعمال محدودیت‌ها استفاده شود.

تنظیمات درون Group Policy
تنظیمات خاص درون هر Group Policy باید با محدودیت‌های مورد نظر هماهنگ باشد. برای مثال، Group Policy “Tier1-DenyLogonRights” باید حقوق ورود به سرورهای Tier 1 را از مدیران Tier 0 سلب کند.

این اقدام به جلوگیری از ارتقاء امتیازات و محدود کردن دسترسی بر اساس مدل Tiering کمک می‌کند و تضمین می‌کند که حقوق مدیریتی به‌طور منظم و مطابق با ساختار Tier تفکیک شده است.

اجرای چنین Group Policy‌هایی به کاهش ریسک‌های امنیتی کمک می‌کند و با ایجاد مرزهای واضح بین سطوح مختلف، امنیت محیط را در برابر نقض‌های احتمالی و دسترسی‌های غیرمجاز افزایش می‌دهد.

اگر Group Policy شما به درستی پیکربندی شده باشد و شما عضو گروه Domain Admins باشید، زمانی که تلاش کنید وارد یک سرور Tier 1 شوید، باید خطای زیر را دریافت کنید.

 

البته در برخی سازمان‌ها ممکن است شما نیاز داشته باشید نقش‌های مختلفی ایفا کنید، به ویژه زمانی که Domain Admins از تیم‌های دیگری مانند تیم ویندوز یا تیم هاستینگ نیز پشتیبانی می‌کنند.

در این صورت، نباید به حساب‌های Domain Admins دسترسی به سرورهای Tier 1 داده شود. به جای آن، باید حسابی مجزا برای دسترسی به سرورهای Tier 1 ایجاد کنید و این حساب باید در OU حساب‌های Tier 1 یعنی (Tier 1 Account OU) ساخته شود.

در پایان می توان گفت: مدل Tiering مدیریتی مایکروسافت به عنوان یک دفاع مؤثر در برابر حملات سرقت اعتبارنامه‌ها عمل می‌کند. این رویکرد لایه‌بندی شده، امنیت زیرساخت IT را به طور قابل توجهی افزایش داده و از حرکت جانبی مهاجمان جلوگیری می‌کند. با پیاده‌سازی این مدل، می‌توان از داده‌های حساس و زیرساخت‌های حیاتی به بهترین شکل محافظت کرد.

حالا این سوال پیش می‌آید: آیا شما در سازمان خود از مدل Tiering استفاده می‌کنید یا هنوز در حال جستجوی راه‌حل‌های مؤثرتر و جامع‌تر برای تقویت امنیت زیرساخت‌های دیجیتال خود هستید؟

تجربه شما در این زمینه چه بوده است؟ نظرات و راه‌حل‌های خود را به اشتراک بگذارید.

موفق باشید.

جواد شریفی
ممکن است شما دوست داشته باشید بیشتر از نویسنده

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.