Metti in sicurezza il tuo Dominio Active Directory e la tua Azienda.
Vai al video tutorial
Mi capita spesso di testare la sicurezza di un Dominio Active Directory di aziende, molto spesso anche in realtà importanti e con un numero di utenti considerevole. Come prassi effettuo sempre alcuni controlli di base e devo dire che molti domini falliscono alle verifiche, anche trattandosi di settings alla portata di tutti.
La motivazione principale di questi fallimenti sta nella trascuratezza di alcuni setting di default di Active Directory e quindi della sicurezza in un Dominio Active Directory in senso più generale.
Alcuni consigli per mettere in Sicurezza in un Dominio Active Directory:
- Verifica sempre che nel tuo dominio, solamente gli amministratori di dominio ed eventualmente utenti, appositamente delegati, possano aggiungere un PC a dominio.
Ebbene si, qualsiasi “Authenticated User” quindi ogni utente dotato di username e password ha di default il permesso di aggiungere un PC a dominio, per un massimo di 10 volte. Non è necessario essere amministratori.
Per modificare questo parametro abbiamo due strade possibili:
- Modificare la “Default Domain Controller Policy”, rimuovendo il gruppo “Authenticated User” nell’azione chiamata “Add Workstation to Domain” e lasciare solamente il gruppo “Domain Admins” o Eventuali altri gruppi creati appositamente per delegare utenti con tali permessi abilitiati.
- Modificare, all’interno della console ADSI EDIT, il parametro che contiene il contatore dei 10 tentativi menzionati sopra, portandoli a 0.
- Modificare la “Default Domain Controller Policy”, rimuovendo il gruppo “Authenticated User” nell’azione chiamata “Add Workstation to Domain” e lasciare solamente il gruppo “Domain Admins” o Eventuali altri gruppi creati appositamente per delegare utenti con tali permessi abilitiati.
- Abilità i criteri di validazione per i requisiti di complessità delle password: dalle GPO abilitate i criteri di complessità delle password e gestite le opzioni sulla scadenza e obbligo di rinnovo. Questo vale sia per utenti che hanno permessi elevati che non. Anche il blocco degli utenti al raggiungimento di un numero X ti tentativi errati, sarà utile al controllo della vostra infrastruttura.
- Abilitare la gestione delle fine-grained password ed uso dei password settings objects (PSO). A partire da Windows Server 2008 è possibile abilitare questi oggetti che possono aiutarci a gestire il livello di security delle password all’interno del nostro dominio, separandolo per utenti o per gruppi di utenti. prima della versione 2008 infatti se avessimo voluto avere per un gruppo di utenti una password policy diversa (più strong o più blanda) rispetto alla password policy di deafult, avremmo addirittura dovuto creare domini separati e metterli in comunicazione tra loro (Follia). Oggi invece possiamo attivare i PSO e appunto assegnare password policy dedicate per utente o gruppi di utenti. (Esempio: utenti chiave del nostro dominio avranno una password policy che richieda una stringa di almeno 12 caratteri, con criteri di complessità, scadenza ogni 15 giorni, ecc. Mentre per utenti con una permission molto ristretta consentire password più blande senza complessità, lunghezza 4 caratteri e scadenza più a lungo termine).
- Gestite in modo strutturato le deleghe per tutte le funzioni del dipartimenti IT. Evitate di utilizzare il domain admin per gestire qualsiasi attività. Sarete costretti a divulgare le stesse credenziali a più referenti tecnici. Attraverso le deleghe dei permessi invece possiamo creare permessi efficaci evitando di assegnare un livello di permessi non appropriato ai gestori delle varie attività.
Con questi semplici accorgimenti potrai mettere in Sicurezza in un Dominio Active Directory da quelle che sono le impostazioni di default le quali possono nascondere alcune insidie.
Video: Sicurezza in un Dominio Active Directory
