Active Directory описание
Active Directory - это хранилище данных об объектах сети, имеющее иерархическую структуру. AD содержит централизованный список всех пользователей и групп в сети, называемый domain. Это значительно облегчает работу администратором, так как при регистрации учетной записи нового пользователя эти данные передаются сразу всем серверам, находящимся в домене. Каждый домен имеет уникальное DNS-имя, а их совокупность называют лесом. Узнать подробнее о возможностях AD можно по ссылке.
Отдельное внимание обратим на схемы Active Directory. В них хранятся определения для каждого класса объектов и атрибуты. То есть конфигурационная информация, которая управляет структурой и содержимым каталога. В роли хозяина схемы выступает контроллер домена. Из всего леса выбирается только один domain controller, который будет обладать полномочиями, позволяющими изменять схемы (например, добавлять атрибуты, свойства).
Он должен быть хорошо защищен, так как если к нему получит доступ посторонний, то под угрозой будет не только оборудование компании и учетные записи пользователей, но и инсайдерская информация. В случае выхода его из строя AD продолжит нормально функционировать, однако изменять схемы вы не сможете, поэтому рекомендуется разворачивать дополнительно один и более контроллеров домена.
Несмотря на то, что в этом документе обсуждаются наиболее распространенные атаки на Active Directory и контрмеры для уменьшения уязвимой зоны, она также содержит рекомендации по восстановлению в случае полной компрометации. Единственный способ восстановления в случае полной компрометации Active Directory — подготовиться к компрометации, прежде чем произойдет.
Основные разделы этого документа:
Способы решения проблем
Снижение уязвимостей Active Directory
Мониторинг Active Directory для обнаружения признаков компрометации
Планирование при компрометации
Способы решения проблем
В этом разделе содержатся сведения о некоторых наиболее распространенных уязвимостях, используемых злоумышленниками для нарушения инфраструктуры клиентов. Он содержит общие категории уязвимостей и их использование для первоначального проникнуть инфраструктур клиентов, распространения компромисса между дополнительными системами и, наконец, назначения Active Directory и контроллеров домена для получения полного контроля над лесами организации. Он не предоставляет подробные рекомендации относительно адресации каждого типа уязвимости, особенно в тех областях, в которых уязвимости не используются для непосредственного назначения Active Directory. Однако для каждого типа уязвимости мы предоставили ссылки на дополнительные сведения, которые будут использоваться для разработки контрмер и снижения уязвимой зоны организации.
Do'stlaringiz bilan baham: |