Kiểm tra an toàn không gian mạng: 11 bước tăng cường bảo vệ dịch vụ thư mục Active Directory

09:04 | 12/09/2022

Active Directory – AD được biết đến là một dịch vụ thư mục của Windows cho phép các cán bộ, quản trị viên công nghệ thông tin (CNTT) có thể quản lý quyền truy cập người dùng, ứng dụng, dữ liệu và nhiều khía cạnh khác trong mạng của các tổ chức/doanh nghiệp (TC/DN). Tuy nhiên, bởi AD chứa rất nhiều dữ liệu quan trọng nên đây chính là đối tượng thường được các tin tặc khai thác để thực hiện các cuộc tấn công chiếm quyền điều khiển và các hành vi độc hại khác. Bài báo này sẽ gửi tới quý độc giả 11 bước tăng cường bảo vệ dịch vụ AD trong môi trường mạng doanh nghiệp.

TẦM QUAN TRỌNG PHẢI BẢO VỆ ACTIVE DIRECTORY

Ngày nay, AD vẫn được nhiều TC/DN sử dụng để quản lý quyền và truy cập mạng. Vì AD là trung tâm để cấp quyền cho người dùng, quyền truy cập và ứng dụng trong toàn tổ chức nên cũng chính là mục tiêu của các tin tặc. Theo các chuyên gia bảo mật tới từ công ty an ninh mạng Mandiant (Hoa Kỳ) ước tính rằng, trong khoảng 90% cuộc tấn công mạng mà họ phân tích thì đều có sự ảnh hưởng của AD.

Nếu tin tặc có thể dành quyền truy cập vào hệ thống AD, chúng có thể truy cập vào tất cả các tài khoản người dùng được kết nối, cơ sở dữ liệu, ứng dụng và tất cả kiểu dữ liệu thông tin, có thể gây nguy hiểm an ninh cho cả một rừng (forest) AD. Do đó, một thỏa hiệp bảo mật, đặc biệt là những lỗi không được phát hiện sớm, có thể dẫn đến nguy cơ rò rỉ dữ liệu và những mối đe dọa khác.

Có thể nhận thấy, việc bảo vệ AD là nhiệm vụ hết sức quan trọng mà các TC/DN cần phải lưu ý. Vì vậy, danh sách các hành động sau đây sẽ giúp các TC/DN có thể áp dụng để bảo vệ AD trước các cuộc tấn công mạng tiềm ẩn.

11 BƯỚC BẢO VỆ DỊCH VỤ ACTIVE DIRECTORY

Xây dựng một quy trình nhận dạng tốt

Đối với các TC/DN, dù lớn hay nhỏ thì việc thực hiện tạo, cấp quyền sử dụng tài khoản người dùng và thêm họ vào các nhóm công việc đều rất dễ thực hiện. Tuy nhiên về vấn đề xóa những tài khoản không sử dụng đến nữa thì lại là một câu chuyện khác. Các TC/ DN cần có một quy trình để phát hiện người dùng và tài khoản máy tính không hoạt động trong AD.

Theo đánh giá của Trung tâm An ninh Internet - CIS (Center for Internet Security), có nhiều cách để có được quyền truy cập vào tài khoản người dùng, bao gồm: mật khẩu yếu, tài khoản vẫn còn hiệu lực sau khi người dùng rời khỏi doanh nghiệp, tài khoản thử nghiệm không hoạt động hoặc tồn tại.

Với các tiện ích như PowerShell, các TC/DN có thể dễ dàng nhận dạng, xóa bỏ các tài khoản và thông tin không còn sử dụng. Việc thường xuyên kiểm tra những nhóm tài khoản có quyền ưu tiên sẽ rất hữu ích cho việc quản lý quyền truy cập quản trị được chặt chẽ và đảm bảo an toàn hơn. Với sự xuất hiện của hình thức tấn công Kerberoasting, việc thường xuyên cập nhật tài khoản dịch vụ bằng mật khẩu ngẫu nhiên đủ mạnh cũng sẽ giúp giảm thiểu nguy cơ tin tặc tiếp cận đến môi trường AD.

Cấu hình Forest Trust an toàn

Forest Trust AD áp dụng cho các tên miền trong toàn bộ khu rừng và có thể là một chiều, hai chiều hoặc bắc cầu. Một Forest Trust kết nối hai miền AD để cho phép người dùng của miền này xác thực các tài nguyên của miền khác, cung cấp một quá trình ủy thác và xác thực thống nhất, liền mạch. Việc đảm bảo màng lọc SID (Security Identifier) luôn hoạt động trong mọi mối liên hệ giữa các miền AD sẽ ngăn cho nhóm đặc quyền không bị mạo danh. Với lọc SID, Domain Controller (DC) trong miền tin cậy (domain trust) sẽ xóa tất cả các SID không phải là thành viên của những miền này. Có nghĩa rằng, nếu người dùng trong miền tin cậy là thành viên của các nhóm miền khác trong rừng, miền tin cậy sẽ xóa SID của các nhóm đó khỏi mã thông báo truy cập của người dùng.

Việc bật xác thực có chọn lọc sẽ cung cấp một lớp bảo mật khác, bằng cách chỉ cho phép người dùng trong một bộ phận hay một nhóm nhất định được sử dụng tài nguyên trên toàn bộ thông tin mà tổ chức tin tưởng.

Sao lưu dữ liệu Domain Controller (DC) trên mỗi miền, đặc biệt là thư mục gốc

Ngay cả khi các TC/DN sao lưu lại tất cả dữ liệu các máy chủ DC và miền của họ nhưng khi không sao lưu miền gốc, nếu gặp sự cố thì vẫn sẽ không thể khôi phục lại dữ liệu được. Hơn nữa, việc sao lưu hai hay nhiều DC trên mỗi miền sẽ đảm bảo rằng, luôn có nhiều hơn một phiên bản mà TC/DN có thể dùng để khôi phục toàn bộ miền trong trường hợp DC gặp sự cố và không khả dụng. Khi tiến hành sao lưu, điều quan trọng nên sử dụng các phương pháp sao lưu có hỗ trợ và đảm bảo các bản sao lưu không có mã độc hại. Điều cuối cùng nên làm đó là giữ các bản sao lưu ngoại tuyến.

Kiểm tra bản sao lưu thường xuyên

Sao lưu sẽ không hiệu quả nếu như TC/DN không thể (hoặc không biết cách) khôi phục chúng. Theo một nghiên cứu gần đây của công ty cung cấp giải pháp bảo mật Semperis (Hoa Kỳ), hơn 50% các TC/DN không có kế hoạch khôi phục sau thảm họa AD hoặc chưa từng thử nghiệm kế hoạch này. Nếu không có đánh giá thường xuyên, các quy trình khôi phục có thể có thông tin chưa được cập nhật về cấu trúc liên kết AD, điều này có thể gây khó khăn và cản trở thời gian khôi phục trong trường hợp gặp sự cố.

Thiết lập lại mật khẩu tài khoản KRBTGT

Mỗi khu rừng AD đều có một tài khoản KRBTGT (hoạt động như một tài khoản dịch vụ cho Trung tâm phân phối khóa - KDC) được liên kết để mã hóa và cho phép tất cả các vé Kerberos phân phối trong miền.

Khi người dùng xác thực với một miền, họ sẽ được cấp một “vé chấp thuận” - Ticket Granting Ticket (TGT) cho phép yêu cầu một vé dịch vụ từ KDC để truy cập vào dịch vụ (ví dụ như máy chủ tập tin). TGT hoạt động như bằng chứng nhận dạng khi một người dùng đăng nhập, nó sẽ cung cấp thông tin về người đó và nhóm của họ, cho phép người dùng lấy quyền truy cập vào các dịch vụ khác trong mạng. Mặc dù các TGT chỉ có hiệu lực trong một khoảng thời gian nhất định, nhưng nếu như tin tặc lấy được quyền kiểm soát tài khoản KRBTGT, chúng có thể tạo các vé TGT giả mạo để có thể truy cập vào mọi tài nguyên chúng mong muốn, còn được biết đến là tấn công Golden Ticket. Để ngăn chặn tấn công này, nên thiết lập lại mật khẩu của tài khoản KRBTGT của mỗi miền trong vòng từ 6 đến 12 tháng.

Chuyên gia trong lĩnh vực quản lý định danh và truy cập của Microsoft - Jorge de Almeida Pinto đã tạo ra một tập lệnh cài lại mật khẩu KRBTGT được công khai trên GitHub và liên tục được cập nhật sẽ giúp cho các TC/DN thiết lập lại mật khẩu tài khoản KRBTGT và các khóa liên quan, đồng thời giảm thiểu khả năng xảy ra sự cố xác thực Kerberos do hoạt động này gây ra.

Ngăn chặn di chuyển ngang trong miền AD

Một trong những dấu hiệu nổi bật của các cuộc tấn công mạng ngày nay là sự di chuyển ngang trong mạng. Các tin tặc chỉ cần xâm nhập một hệ thống và lúc này sẽ có quyền quản trị cục bộ trên mọi máy tính tham gia miền. Sau đó, họ có thể sử dụng tài khoản này để chuyển sang một hệ thống khác với mục tiêu tìm kiếm những thông tin có giá trị.

Việc triển khai giải pháp mật khẩu quản trị cục bộ (Local Administrator Password Solution - LAPS) của Microsoft với mục đích ngăn chặn việc truy cập từ máy trạm này sang máy trạm khác với cùng một mật khẩu quản trị viên, bằng cách tạo một mật khẩu duy nhất, được tạo ngẫu nhiên cho mỗi tài khoản quản trị viên cục bộ trên từng máy trạm, ngăn chặn dùng chung một mật khẩu (Hình 1).

Hình 1. Cách thức LAPS hoạt động với AD

Các tính năng của LAPS được dựa trên Group Policy Client Side Extension (CSE) và một mô-đun nhỏ cài trên máy trạm. Mật khẩu ngẫu nhiên sẽ thay đổi tự động thường xuyên trong khoảng thời gian nhất định (mặc định 30 ngày sẽ thay đổi), được lưu trữ trong AD và giới hạn truy cập chỉ dành cho những người dùng có đặc quyền qua cơ chế kiểm soát ACL (Access Control List).

Đồng thời, vì LAPS được xây dựng dựa trên cơ sở hạ tầng AD nên không cần cài đặt thêm máy chủ, giải pháp thực hiện tất cả các tác vụ quản lý bằng cách sử dụng CSE. Đây là một công cụ hiệu quả mà các TC/DN có thể lưu ý để áp dụng.

Hạn chế thành viên trong các nhóm đặc quyền

Các thành viên trong các nhóm đặc quyền sẽ có rất nhiều thao tác trong miền AD. Họ có thể có quyền truy cập toàn bộ miền, hệ thống, tất cả dữ liệu… và gần như được phép thực hiện bất kỳ hành động nào trong AD. Trong TC/DN, cũng chỉ nên có một số ít quản trị viên miền chịu trách nhiệm cho việc quản lý dịch vụ của AD.

Hiện nay, việc bẻ khóa thông tin đăng nhập của người dùng đã trở nên dễ dàng hơn với tin tặc, các nhóm đặc quyền cũng vì thế là những gì tin tặc thường cố gắng tìm kiếm. Vì vậy, cần chú ý cẩn thận và giảm thiểu những thành viên, tài khoản người dùng thông thường trong các nhóm đặc quyền, ví dụ như nhóm Domain Admins (Hình 2).

Hình 2. Chỉ nên để tài khoản quản trị viên theo mặc định trong nhóm DA

Các tổ chức cần xem xét quyền truy cập đặc quyền với nhóm quản trị CNTT, thực hiện nguyên tắc đặc quyền tối thiểu và đưa ra danh sách chọn lọc những người dùng với các trường hợp sử dụng nên ở trong nhóm này. Bởi vì hầu hết các cuộc tấn công nâng cao dựa vào việc khai thác thông tin xác thực đặc quyền, việc cung cấp cho người dùng mức độ truy cập tối thiểu có thể làm giảm đáng kể bề mặt tấn công mạng.

Quản lý đặc quyền truy cập

Một khi đã giảm thiểu số tài khoản quản trị, điều cần làm tiếp theo là sử dụng các tài khoản quản trị được đặt tên riêng biệt. Điều này giúp đảm bảo mọi thứ hiển thị trong nhật ký kiểm tra sẽ được gửi đến một người dùng cụ thể, thay vì một tài khoản có thể bao gồm nhiều người dùng. Triển khai mô hình quản trị phân tầng là một cách khác để ngăn chặn sự lạm dụng đặc quyền bằng việc hạn chế những gì quản trị viên có thể kiểm soát và nơi họ có thể đăng nhập, ví dụ quản trị miền cấp 0 sẽ chỉ có quyền đăng nhập vào máy trạm cấp 0.

Giới hạn đặc quyền quản trị Hypervisor

Với sự phổ biến gia tăng của các ứng dụng đám mây, điều quan trọng là phải hiểu rõ cơ sở hạ tầng cơ bản để hỗ trợ môi trường AD. Có thể nói rằng, phần lớn các TC/ DN đều có các hoạt động trên đám mây và do đó, AD sẽ được triển khai trên ít nhất một số hệ thống DC ảo. Quản trị viên Hypervisor có khả năng tắt, xóa, thay đổi hoặc can thiệp vào các DC đó, như vậy đồng nghĩa là các TC/DN cần phải chú ý tới những ai có quyền quản trị này.

Bảo vệ Domain Controller

Bảo vệ DC chính là yếu tố then chốt trong việc bảo vệ môi trường AD. Nếu DC không được bảo vệ an toàn, tin tặc sẽ có thể nắm bắt được những thông tin có giá trị để sử dụng cho các mục tiêu tấn công khác nhau.

Để kiểm soát DC được hiệu quả, có hai khía cạnh mà các TC/DN cần quan tâm, đó là bảo vệ cấp độ vật lý và bảo vệ cấp độ truy cập mạng. Cần phải đảm bảo rằng không có người lạ nào có thể truy cập vật lý trực tiếp vào hệ thống máy chủ DC. Nên giữ DC ở một địa điểm an toàn và có các lớp bảo mật vòng ngoài như sinh trắc học hoặc mật khẩu,… Đây là cách đơn giản để bảo vệ an toàn DC cũng như môi trường AD.

Bên cạnh đó, việc cung cấp các đặc quyền quản trị cho những cán bộ, kỹ thuật viên CNTT và quyền truy cập người dùng vào tài nguyên của AD cũng cần phải được cân nhắc kỹ càng, vì nó ảnh hưởng rất lớn đến dữ liệu của các TC/DN. Hơn nữa, thường xuyên sao lưu DC (như đã giới thiệu trước đó) cũng là những giải pháp cần thiết để tăng cường bảo vệ DC được an toàn.

Giám sát, theo dõi các hoạt động bất thường

Có nhiều sự kiện và đối tượng khác nhau có thể chỉ ra sự xâm phạm, đó là lý do tại sao các TC/DN nên liên tục theo dõi AD, đây chính là chìa khóa để có thể ngăn chặn vi phạm xảy ra hoặc ngăn chặn các cuộc tấn công ở giai đoạn đầu. Hành vi bất thường cho thấy một cuộc tấn công tiềm ẩn hoặc đang diễn ra. Một cách tiếp cận chủ động để phát hiện bất kỳ hành vi bất thường nào trên mạng, hoặc sự xâm nhập có thể giúp các TC/ DN tránh khỏi những tổn thất lớn.

Hiệu quả nhất là nên triển khai hệ thống quản lí sự kiện và thông tin bảo mật với phân tích hành vi của người dùng để tổng hợp, theo dõi hoạt động trên toàn bộ cơ sở hạ tầng CNTT của họ (ví dụ những thay đổi với các nhóm đặc quyền, vấn đề liên quan đến quản lý tài khoản, quyền truy cập đối tượng…). Hiện nay có một số công cụ phân tích nhật ký phổ biến như: ELK Stack, Splunk, Windows Event Forwarding, ManageEngine ADAudit Plus…

Một cách thức đơn giản là thiết lập chính sách kiểm tra thông qua Group Policy (Hình 3). Phương pháp này sẽ giúp giám sát tất cả các điểm được cấu hình, nhanh chóng phát hiện hoạt động đáng ngờ và tạo báo cáo để theo dõi các sự kiện.

Hình 3. Chính sách kiểm tra theo dõi sự kiện với Group Policy

KẾT LUẬN

Các cuộc tấn công đánh cắp thông tin xác thực hay tấn công mã độc là một số phương pháp giúp tin tặc có quyền truy cập vào các tài khoản đặc quyền vào một máy tính trên mạng. Các kỹ thuật này được sử dụng để truy cập vào các lỗ hổng trên hệ thống các TC/DN và AD là một trong những mục tiêu thường được các tin tặc chú ý đến bởi lượng thông tin dữ liệu lớn và có thể sử dụng vào những mục đích độc hại khác nhau. Do đó, để giảm bề mặt tấn công AD, bài báo đã cung cấp tới quý độc giả nội dung 11 bước trong nhiệm vụ bảo vệ dịch vụ AD, qua đó có thể giúp các TC/DN loại bỏ những điểm yếu cơ bản và từ đó xây dựng môi trường AD được an toàn hơn.

TÀI LIỆU THAM KHẢO

1. https://www.securitymagazine.com/articles/96880-active-directory-cyber-hygiene-checklist-11-steps-to-securing-ad  

2. https://activedirectorypro.com/active-directory-security-best-practices/#monitor-for-compromise  

3. https://cloudinfrastructureservices.co.uk/active-directory-security-best-practices/