Зображення згенероване за допомогою DALL-E

Безпека Active Directory (AD) є критично важливою, оскільки вона відповідає за керування ідентифікаціями користувачів, надання важливих послуг та багато іншого. Забезпечення безпеки цього ключового елемента інфраструктури є надзвичайно важливим. Цей посібник описує основні концепції та спрощені принципи зміцнення безпеки Windows і Active Directory, зокрема механізм групових політик і їх моніторинг.

Коротко про AD

Active Directory складається з різних об'єктів, таких як комп'ютери, користувачі, групи, принтери та інші служби (наприклад, програми, спільні папки). Коли говоримо про комп'ютери в AD, це включає сервери, які можуть бути Контролерами домену (DC) або Членами сервера (MS).

• Контролер домену (DC): Сервер, який виконує роль Служб домену Active Directory (AD DS), відповідальний за керування автентифікацією, ідентифікацією та доступом у межах домену. Іноді DC розглядаються як окремий тип об'єкта через їх критичну роль в інфраструктурі.
• Член сервера (MS): Сервер, підключений до домену Active Directory, який виконує роль додатків або служб (наприклад, файлові сервери, веб-сервери, SQL-сервери). Члени сервера використовують DC для автентифікації та авторизації.

Всі ці об'єкти організовані в Організаційні одиниці (OUs) — логічні групи для об'єктів, таких як облікові записи користувачів, облікові записи служб або облікові записи комп'ютерів. OUs можуть бути структуровані на основі підрозділів (наприклад, HR, IT, Бухгалтерія), ресурсів (наприклад, сервери, принтери, DC) або вимог безпеки (наприклад, Обмежений доступ, Стандартний доступ).

Для налаштування об'єктів в AD на більш детальному рівні використовуються Групові політики.

• Об'єкт групової політики (GPO), або просто Політика: Набір правил та вимог, застосовуваних до цільових об'єктів, наприклад, для забезпечення складності паролів або обмеження певних дій на комп'ютерах. GPO застосовує налаштування до користувачів та комп'ютерів.
• Шаблони об'єктів групової політики: Шаблони, з яких походять визначення GPO, що вказують, які налаштування можуть бути застосовані.

Зазвичай GPO прив'язуються до Організаційних одиниць або навіть до Кореня домену (що поширюється на всі об'єкти в домені). Однак Локальні групові політики також можуть бути налаштовані на окремих комп'ютерах, незалежно від AD. Окремою особливістю групових політик є те, що один GPO може бути створений та прив'язаний до кількох OUs одночасно, що дозволяє ефективно керувати доменом.

Налаштування

Це налаштування базується на Windows Server 2022 (en-US); однак логіка застосовується до всіх версій Windows Server, новіших за Windows Server 2000.

Віртуальні машини

Спочатку завантажте ISO-образ Windows Server 2022. Для наших цілей ліцензія не потрібна, оскільки 90-денний тестовий період більш ніж достатній.

Створимо дві віртуальні машини, використовуючи VirtualBox як гіпервізор у цьому прикладі.

• Windows DC: Цей сервер буде виконувати роль майбутнього Контролера домену (DC) нашого Active Directory.
• Windows Client: Цей сервер буде виконувати роль майбутнього Члена сервера в нашому Active Directory.

Віртуальна мережа

Налаштування мережі є важливим етапом, оскільки всі інстанції повинні взаємодіяти одна з одною. Для встановлення з'єднання створюється мережевий інтерфейс з DHCP-сервером у VirtualBox. Я назвав його vboxnet0. Цей крок необхідний для створення віртуальної мережі в поточному контексті віртуалізації.

Мережа налаштовується як 192.168.56.1/24.
Кожну віртуальну машину потрібно налаштувати на використання Host-Only адаптера для підключення.

Нарешті:

• IP-адреса контролера домену: 192.168.56.5
• IP-адреса члена сервера: 192.168.56.6

Якщо потрібен доступ до Інтернету, можна додати додатковий NAT або Bridged адаптер. Єдине, що потрібно — це наявність доступу до Інтернету на хостовій машині.

Контролер домену

Один із екземплярів буде налаштований як Контролер домену. Для цього потрібно запустити Диспетчер серверів і відкрити Мастер додавання ролей та функцій. Виберіть опцію Інсталяція на основі ролей або функцій для продовження.

Вибирається роль Служби домену Active Directory (AD DS), а також необхідні інструменти, такі як Управління груповою політикою та Інструменти AD DS.

Після встановлення ролі AD DS, сервер підвищується до статусу Контролера домену. Цей процес передбачає створення або приєднання до домену, налаштування DNS і встановлення пароля Режиму відновлення служб каталогу (DSRM). Для цього налаштування було обрано домен ad.roman.az.

Підвищення встановлює сервер як центральну систему для автентифікації та керування каталогом у межах домену. Це дозволяє серверу керувати користувачами, комп'ютерами та груповими політиками, забезпечуючи централізоване управління доменною середовищем.

Член сервера

Перш ніж продовжити, потрібно вирішити проблему з дозволом домену. Проблема полягає в тому, що ad.roman.az наразі відомий лише контролеру домену (DC). Для правильної роботи Active Directory, контролер домену повинен брати участь у дозволі доменних імен. Найпростіший спосіб — встановити адресу Сервера доменних імен (DNS) на IP-адресу DC в налаштуваннях мережевого адаптера.

Після завершення налаштування мережі, ми можемо підключити "Windows Client" до домену, перейшовши в Властивості системи > Назва комп'ютера > Змінити та вибрати Домен. У відповідному полі введіть ім'я домену Active Directory (AD).

Після перезавантаження знову відкриваємо Властивості системи, щоб перевірити зміни.

Двійність облікових записів

Від цього моменту існують два типи облікових записів:

1. Облікові записи домену: Облікові записи, створені та керовані Active Directory (AD).
2. Локальні облікові записи: Облікові записи, створені безпосередньо на машині, наприклад, обліковий запис Адміністратора, налаштований під час інсталяції операційної системи.

Рекомендації CIS Benchmark

Як стандарт безпеки, використовуються рекомендації Центру безпеки Інтернету (CIS) для Windows Server 2022 Benchmark v2.0. Ці рекомендації доступні у вигляді PDF-документа або онлайн, але для доступу необхідний обліковий запис CIS Workbench. Матеріали є досить деталізованими, надаючи опис усіх вимог.

Перевага цих рекомендацій полягає в тому, що більшість із них можна реалізувати через механізм Групових політик (Group Policy) AD.
Це забезпечує те, що коли машина приєднується до домену, вона автоматично отримує необхідні конфігурації безпеки, що накладаються політиками.

Деякі політики є досить суворими і можуть бути не застосовні скрізь.

Рекомендації поділяються на три рівні:

• L1: Загальні рекомендації, застосовні до всіх серверів, зосереджені на практичних і обґрунтованих заходах безпеки.
• L2: Розроблені для середовищ, де безпека має критичне значення.
• NG (Next Generation Security): Розширені функції безпеки Windows, які мають конкретні вимоги до конфігурації і можуть бути несумісні з усіма системами.

Крім того, рекомендації класифікуються як Тільки для DC або Тільки для MS, що вказує, чи вони призначені для Контролерів домену або Членів серверів відповідно.

Важливо зазначити, що жодна система не є на 100% безпечною. Безпека часто вимагає компромісів у функціональності, і іноді необхідно йти на компроміси, щоб зберегти операційну рівновагу.

Шаблони групових політик

Шаблони GPO

За замовчуванням, Windows Server надає широкий спектр шаблонів політик "з коробки". Однак ці шаблони не покривають усі можливі налаштування, тому можуть знадобитися додаткові шаблони.

Наприклад, є додаткові Адміністративні шаблони Microsoft для MS Office, або Адміністративні шаблони Google Chrome для групових політик. Шаблони, необхідні для відповідності стандартам CIS

Щоб забезпечити відповідність стандартам CIS, необхідні наступні шаблони:

• Стандартні адміністраторські шаблони для Windows Server 2022: Включені за замовчуванням.
• Адміністративні шаблони для Windows 11 (Оновлення вересня 2022 року): Для керування політиками на системах з Windows 11.
• Шаблон політики PerfTrack: Використовується для налаштувань відстеження продуктивності.
• Шаблони MSS для старих версій: Для керування налаштуваннями безпеки старих версій.

Для спрощення процесу, я зібрав усі необхідні шаблони в одному репозиторії на GitHub: Awesome-GPO-Templates-Windows-Server-2022.

Кожен шаблон складається з двох файлів:

• ADMX (або ADM для старіших версій): Сам шаблон.
• ADML: Надає інформацію про локалізацію, наприклад, відображає налаштування політик на відповідній мові.

Інсталяція

Зазвичай, ми повинні помістити всі файли ADMX в каталог C:\Windows\PolicyDefinitions, а файли ADML — у відповідну мовну папку цього каталогу (en-US у нашому випадку). Проте цей каталог використовується для локального редактора групових політик. Якщо ми хочемо використовувати наші політики через Контролер домену, це не найкращий вибір. Тому ми повинні розглянути два шляхи:

• \ad.roman.az\SYSVOL\ad.roman.az\Policies\PolicyDefinitions — спільний каталог домену, який виступає в ролі Центрального сховища. За замовчуванням, в цьому каталозі немає папки PolicyDefinitions, тому її потрібно створити заздалегідь. Потім просто помістіть усі файли ADMX/ADML сюди, як у випадку з локальними груповими політиками.
• C:\Windows\SYSVOL\sysvol\ad.roman.az\Policies — реплікація Центрального сховища на Контролері домену. DC просто копіює цей каталог, а потім використовує його.
  Отже, немає необхідності копіювати файли ADML/ADMX на різні Контролери домену (DC), якщо їх більше одного.

Нарешті, ми повинні побачити повідомлення в редакторі групових політик, що всі адміністративні шаблони були отримані з Центрального сховища.

Цікаво, що немає необхідності копіювати або реплікувати шаблони на Членів серверів та інші комп'ютери/об'єкти, оскільки вони отримають актуальні конфігурації/налаштування реєстру, а не файли ADMX/ADML.

Написання політик

Перше, що спадає на думку — це написати одну політику для кожної рекомендації CIS.

… а потім прив'язати її до Кореня домену, щоб усі об'єкти в AD отримали ці політики та стали "безпечними".

Однак поточний підхід є не зовсім практичним через наступні труднощі:

1. Вхід на контролер: Замість того, щоб надіслати один "великий набір налаштувань", Контролер домену (DC) має передавати численні менші налаштування, які комп'ютер-ціль застосовує по черзі. Це може викликати затримки під час процесу входу та перевантажити DC.
2. Гетерогенні об'єкти: Не всі комп'ютери та сервери повинні отримувати однакові політики. Наприклад, політики Тільки для MS не застосовні до Контролерів домену. Щоб забезпечити деталізацію, політики повинні бути призначені до Організаційних одиниць (OU), що відповідають їх призначенню та необхідному рівню безпеки.

Щоб вирішити ці проблеми, краще створити OU та організувати рекомендації CIS в кілька політик на основі їх специфіки та застосовності.

Корисні команди

• gpupdate: Оновлює локальні дані політик, застосовуючи нові політики або оновлюючи існуючі.
• gpupdate /force: Примусово повторно застосовує всі політики, перезаписуючи локальні дані.
• gpresult /r: Виводить підсумкову інформацію про застосовані та відхилені політики.
• gpresult /h GPReport.html: Генерує детальний HTML-звіт про застосовані політики та їх налаштування.

**Інсталяція готовad.roman.az\SYSVOL\ad.roman.az\Policies_, то здається технічно можливим просто скопіювати всі папки з політиками (які названі за їх GUID) і помістити їх сюди.

Для спрощення роботи можна використовувати Microsoft Security Compliance Toolkit з безпековою базою Windows Server 2022. Щоб встановити його, потрібно завантажити архів з політиками та виконати скрипт Baseline-ADImport.ps1 для імпорту політик до AD. На жаль, ці політики не покривають усі вимоги CIS, і все одно потрібно вручну налаштовувати або використовувати кращі "дампи" політик.

Моніторинг

Моніторинг можна реалізувати за допомогою Wazuh — безкоштовної системи SIEM та XDR. Для спрощення я просто завантажив і розгорнув VM Box Wazuh з офіційного вебсайту.

Звичайно, Wazuh має бути в тій самій мережі, що й інші машини, тому ми налаштовуємо його на використання того ж Host-Only адаптера. Після налаштування доступ до панелі Wazuh можна отримати за адресою: https://192.168.56.7/app/wz-home. Стандартні облікові дані: admin:admin.

Кожен цільовий комп'ютер повинен завантажити агент Wazuh.
Для цього перейдіть за шляхом: Управління сервером > Підсумок кінцевих точок > Розгортання агента в панелі Wazuh.

Запустіть наданий PowerShell скрипт від імені адміністратора на цільовій машині. Зверніть увагу, що для цього потрібні права адміністратора та доступ до інтернету. Після виконання скрипта, запустіть службу агента Wazuh.

Окрім звичайного моніторингу, ви можете оцінити рівень відповідності за допомогою Модулю оцінки конфігурації безпеки (Security Configuration Assessment, SCA). Для цього перейдіть до Підсумок кінцевих точок, виберіть Оцінка конфігурації та виберіть цільовий агент.

На відміну від цього, ось та сама машина після приєднання до Active Directory (AD) і застосування всіх політик.

Значно краще. Цікавий факт: якщо машина залишає домен, більшість політик втрачають свою дію, і їх залишиться менше ніж 40.

Висновок

Active Directory (AD) — це потужний інструмент для централізованого управління, що дозволяє ефективно контролювати користувачів, комп'ютери та політики безпеки. Правильна конфігурація OU, застосування стандартів CIS та використання групових політик дозволяють адміністраторам покращити безпеку та забезпечити відповідність. Однак підтримка AD потребує ретельного планування, оскільки зміни, як-от приєднання або вихід з домену, значно впливають на виконання політик. За допомогою таких інструментів, як Wazuh для моніторингу та оцінки відповідності, організації можуть зміцнити свою безпеку та підтримувати операційну ефективність.

Відмова від відповідальності

Конфігурації та рекомендації, наведені в цьому посібнику, призначені в першу чергу для лабораторних середовищ та тестування. Хоча вони можуть бути основою для впровадження в реальних умовах, їх необхідно ретельно оцінити та адаптувати відповідно до специфічних потреб і вимог безпеки вашого робочого середовища. Автори не несуть відповідальності за будь-які проблеми або збитки, що виникли внаслідок застосування цієї інформації. Завжди консультуйтеся з кваліфікованими IT-фахівцями та звертайтеся до офіційної документації при впровадженні заходів безпеки чи конфігурації Active Directory.

Перекладено з: Windows Active Directory Hardening in Action