FOKUS.CO.ID – Jika Anda memiliki domain tradisional, saatnya untuk mengaudit Active Directory Anda. Bahkan, mungkin sudah lewat waktu.
Daftar Isi
Anda mungkin memiliki akun yang tidak berubah selama bertahun-tahun dan mungkin tidak meninjau pengaturan atau entri registri.
Penyerang tahu bahwa domain ini memiliki pengaturan lama yang memungkinkan mereka mengambil kendali lebih besar dan menggunakan teknik untuk mendapatkan hak domain.
Keamanan Active Directory menjadi berita dengan dirilisnya beberapa pembaruan pada bulan Mei, Anda perlu mengambil lebih banyak langkah daripada sekadar menambal untuk melindungi jaringan Anda.
Alat server Microsoft termasuk Best Practices Analyzer (BPA), tetapi tidak mengidentifikasi beberapa cara yang digunakan penyerang untuk mengejar domain Active Directory.
Beberapa sumber lain menganalisis kesehatan dan keamanan domain Active Directory termasuk Purple Knight dari Semperis, PingCastle , atau alat pemeriksaan kesehatan Active Directory Quest .
Saya menjalankan PingCastle pada domain sampel, dan menjadi jelas bahwa saya memiliki banyak pekerjaan yang harus dilakukan.
Saya mungkin telah melupakan banyak bagian lama di jaringan kami yang sekarang mengancam keamanannya. Inilah cara saya menganalisis status Direktori Aktif saya.
Identifikasi sistem operasi yang tidak didukung
Pertama, saya mencari sistem operasi server yang tidak didukung di domain. Windows Server 2012 R2 dihentikan dukungannya pada 10 Oktober 2023.
Dugaan saya, banyak dari Anda memiliki platform itu atau sebelumnya di jaringan Anda, mungkin tidak ditambal. Platform lama ini sering menjalankan SMB v1, yang memungkinkan protokol yang lebih lemah.
Pindai enkripsi Kerberos yang lemah
Selanjutnya, alat memeriksa penggunaan Kerberos dengan enkripsi lemah atau enkripsi DES. Mereka menyarankan Anda menonaktifkan ini di properti akun dengan menghapus centang pada kotak “Gunakan enkripsi DES Kerberos untuk akun ini”.
Sebagai catatan dokumentasi PingCastle, Anda juga dapat mendeteksi akun mana yang mendukung enkripsi Kerberos DES dengan menjalankan: Get-ADUser -Filter {UserAccountControl -band 0x200000}.
Identifikasi akun lama dan tidak terpakai
Tes lain yang dilakukan alat ini untuk meninjau akun basi atau tidak aktif di jaringan. Akun yang sudah bertahun-tahun tidak masuk sering kali memiliki kata sandi yang lemah atau tidak aman.
Lebih buruk lagi, kata sandi ini mungkin tersedia untuk penyerang di situs kata sandi yang diambil.
Blokir pengguna dasar dari mendaftarkan komputer
Ubah default lama yang memungkinkan pengguna dasar untuk menambahkan pendaftaran komputer.
Pengaturan ini menjadi berita akhir-akhir ini karena PetitPotam dan kerentanan lainnya. Ubah nilai ms-DS-MachineAccountQuota menjadi nol (0).
Tinjau kata sandi yang tidak kedaluwarsa
Tinjau sandi yang tidak kedaluwarsa yang digunakan di domain. Perbaiki ini dengan menggunakan otentikasi dua faktor melalui kunci pihak ketiga atau solusi perangkat lunak untuk memberikan perlindungan tambahan terutama untuk akses jarak jauh.
Saat Anda meninjau sandi , pastikan bahwa administrator atau akun istimewa memiliki sandi yang panjang dan rumit atau dipindahkan ke akun layanan terkelola.
Aktifkan keranjang sampah Direktori Aktif
Tinjau apakah fitur keranjang sampah domain AD diaktifkan. Anda harus berada di level forest setidaknya Server 2008 R2 atau lebih tinggi, lalu periksa levelnya dengan Get-ADForest. Aktifkan fitur menggunakan perintah PowerShell:
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'test.mysmartlogon.com'
Ubah kata sandi Kerberos secara teratur
Akun Kerberos yang dinonaktifkan sering diabaikan dalam domain. Ubah kata sandi untuk akun krbtgt secara teratur. Seperti yang ditunjukkan oleh PingCastle, skrip Microsoft dapat dijalankan untuk menjamin replikasi yang benar dari rahasia ini.
Sayangnya, skrip ini hanya mendukung sistem operasi bahasa Inggris. Cara lain adalah dengan mereset password secara manual satu kali, tunggu tiga hari, lalu reset lagi. Ini adalah yang paling aman untuk memastikan kata sandi tidak lagi dapat digunakan oleh serangan tiket emas .
Ubah pengaturan untuk menghindari penyalahgunaan sertifikat
Penyerang dapat menggunakan sertifikat untuk meluncurkan serangan. Salah satu teknik menggunakan template permintaan sertifikat.
Jika pengeditan sebelum penerbitan sertifikat diizinkan, pengguna jahat dapat mengatur subjek ke akun administrator dan menetapkan sertifikat kepada mereka.
Pada properti templat sertifikat di lembar properti “Nama Subjek”, hapus centang pada bidang “Pasokan dalam permintaan”. Atau, batasi template ini ke grup tertentu.
Tetapkan kebijakan audit pengontrol domain
Tetapkan kebijakan audit di pengontrol domain Anda untuk masalah tertentu. Tinjauan PingCastle merekomendasikan pengaturan audit berikut:
- Perubahan Kebijakan / Perubahan Kebijakan Otentikasi
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan peristiwa 4713, 4716, 4739, 4867 untuk melacak modifikasi kepercayaan
- Manajemen Akun / Manajemen Akun Komputer
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4741, 4742 untuk melacak perubahan komputer
- Pelacakan Terperinci / Aktivitas DPAPI
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4692 untuk melacak ekspor kunci cadangan DPAPI
- Login Akun / Layanan Otentikasi Kerberos
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4768, 4771 untuk otentikasi Kerberos
- Login Akun / Operasi Tiket Layanan Kerberos
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4769 untuk otentikasi Kerberos
- Masuk / Keluar / Keluar
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4634 untuk logoff akun
- Masuk / Keluar / Masuk
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4624, 4625, 4648 untuk masuk akun
- Pelacakan Terperinci / Pembuatan Proses
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4688 untuk mendapatkan riwayat program yang dijalankan
- Manajemen Akun / Manajemen Grup Keamanan
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4728, 4732, 4756 untuk perubahan keanggotaan grup
- Ekstensi Sistem / Sistem Keamanan
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan peristiwa 4610, 4697 untuk melacak paket dan layanan keamanan LSASS
- Penggunaan Hak Istimewa / Penggunaan Hak Istimewa Sensitif
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4672, 4673, 4674 untuk pelacakan hak istimewa seperti yang debug
- Masuk / Keluar / Masuk Khusus
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4964 untuk grup khusus yang dikaitkan saat masuk
- Manajemen Akun / Manajemen Akun Pengguna
- Tidak ada pemeriksaan GPO untuk keberhasilan audit
- Kumpulkan acara 4720,22,23,38,65,66,80,94 untuk manajemen akun pengguna
Aktifkan pencatatan PowerShell
Pastikan pencatatan PowerShell diaktifkan. Dari Kebijakan Grup, ikuti langkah-langkah berikut:
- Pergi ke “Konfigurasi Komputer”.
- Pergi ke “Templat Administratif”.
- Pergi ke “Komponen Windows”.
- Buka Windows PowerShell”.
- Aktifkan “Aktifkan logging Modul” dan “Aktifkan logging Blok Skrip PowerShell”.
- Tetapkan “*” sebagai daftar modul.
Anda mungkin berpikir Anda telah melakukan cukup banyak untuk mengamankan Active Directory, tetapi seringkali Anda memerlukan mata atau alat pihak ketiga untuk membantu Anda memahami bahwa Anda masih berisiko.
Luangkan waktu untuk meninjau Direktori Aktif Anda. Anda mungkin terkejut bahwa Anda memiliki lebih banyak pekerjaan yang harus dilakukan untuk memastikan bahwa Anda lebih terlindungi.