خدمات اکتیو شبکه

Active Directory قلب تپنده هر زیرساخت شبکه‌ای مبتنی بر ویندوز است. اگر امنیت اکتیو دایرکتوری  به خطر بیفتد، کل ساختار شبکه، اطلاعات کاربران و سرویس‌های حیاتی آسیب‌پذیر خواهند بود. بنابراین اتخاذ تدابیر چندلایه امنیتی برای محافظت از آن ضروری است.

در این مستند، راهکارها و سیاست‌های امنیتی در چهار سطح بررسی می‌شوند:

1. امنیت در طراحی ساختار Active Directory

الف) استفاده از مدل سه‌لایه مدیریتی (Tiered Admin Model)

Tier 0: شامل Domain Controller، حساب‌های Domain Admin، و سایر سرویس‌های بحرانی مثل PKI.

Tier 1: شامل سرورها و سرویس‌هایی که به منابع AD وابسته‌اند (مثلاً Exchange، فایل‌سرورها).

Tier 2: کلاینت‌ها و حساب‌های کاربران عادی.

> مزیت: کاهش سطح دسترسی متقاطع و جلوگیری از Escalation در حملات.

ب) تفکیک منطقی OU‌ها

تفکیک کاربران، سرورها، و کامپیوترهای کلاینت در Organizational Unit‌های جداگانه و اعمال GPOهای اختصاصی بر هر بخش.

۲. سخت‌سازی حساب‌های کاربری و مدیریتی

الف) اصل Least Privilege

هیچ کاربری نباید بیشتر از میزان لازم دسترسی داشته باشد.

استفاده از حساب‌های مجزا برای دسترسی مدیریتی و کاربری عادی.

ب) فعال‌سازی MFA (Multi-Factor Authentication)

برای کلیه حساب‌های مدیریتی و حساب‌های حساس (مثل Domain Admins).

ج) حذف یا غیرفعالسازی حساب‌های پیش‌فرض و بلااستفاده

تغییر نام حساب Administrator یا غیرفعال‌سازی آن در صورت عدم نیاز.

قفل کردن حساب‌هایی که برای مدت طولانی استفاده نشده‌اند.

3. ایمن‌سازی سرویس‌ها و ساختار AD

الف) استفاده از LDAPS (LDAP over SSL)

رمزنگاری ارتباط بین کلاینت‌ها و DCها برای جلوگیری از شنود اطلاعات ورود.

ب) غیرفعالسازی NTLM

حذف یا محدودسازی استفاده از پروتکل NTLM و جایگزینی با Kerberos برای جلوگیری از حملات Pass-the-Hash.

ج) فعال‌سازی Auditing پیشرفته

فعال‌سازی و مانیتورینگ لاگ‌های زیر:

ورود و خروج کاربران

تغییرات در عضویت گروه‌ها

تغییرات در GPOها

تغییرات در ساختار OU

قفل شدن حساب‌ها (Account Lockout)

د) استفاده از Group Policy برای اعمال سیاست‌های امنیتی

سیاست‌های قوی برای رمز عبور

محدودیت در اجرای نرم‌افزارها (Software Restriction Policies)

کنترل Deviceها (USB، بلوتوث و...)

۴. محافظت از Domain Controller

الف) مکان‌یابی فیزیکی امن

قرارگیری فیزیکی DC در اتاق سرور با کنترل دسترسی سخت‌افزاری.

ب) عدم اجرای نرم‌افزار غیرضروری بر روی DC

نصب فقط نقش‌های موردنیاز (AD DS، DNS و...)

ج) بکاپ‌گیری منظم از AD

استفاده از ابزارهایی مثل Windows Server Backup یا Veeam برای بکاپ‌گیری منظم از System State و Active Directory.

د) محدودسازی RDP به DCها

استفاده از Bastion Host برای دسترسی به DCها و بستن پورت RDP برای همه‌ی کاربران.

۵. اقدامات پیشگیرانه و مانیتورینگ

الف) راه‌اندازی SIEM برای مانیتورینگ لاگ‌ها

ابزارهایی مانند Microsoft Sentinel، Splunk یا ManageEngine برای تحلیل رفتار کاربران و شناسایی حملات احتمالی.

ب) شناسایی حساب‌های با دسترسی بالا

مرتب بررسی عضویت در گروه‌های حساس مانند:

Domain Admins

Enterprise Admins

Schema Admins

ج) تست‌های دوره‌ای امنیتی

انجام Penetration Testing یا استفاده از ابزارهایی مثل BloodHound برای شناسایی مسیرهای حمله در AD.

۶. آموزش و فرآیندهای سازمانی

آموزش مداوم ادمین‌ها در مورد حملات جدید (مثل Kerberoasting، Golden Ticket و...)

پیاده‌سازی فرآیند مدیریت تغییر (Change Management) برای همه تغییرات AD