آموزش بهترین روش های امن سازی اکتیو دایرکتوری (Active Directory Hardening)

Active Directory (AD) قلب زیرساخت IT بسیاری از سازمان‌ها است، اما اغلب به عنوان هدف اصلی برای مهاجمان نیز محسوب می‌شود. نفوذ به آن می‌تواند عواقب ویرانگری به همراه داشته باشد، به گونه‌ای که منجر به دسترسی به داده‌های حساس شود. در این مقاله، برخی از بهترین شیوه‌ها را از تجربیات واقعی و سناریوهایی که در محیط‌های تجاری با آن‌ها مواجه شده‌ایم، به اشتراک می‌گذاریم. از پیاده‌سازی کنترل‌های پیشرفته، حفاظت از گواهی‌نامه‌ها و دفاع در برابر حملات متداول، استراتژی‌های مشخصی را برای تقویت امنیت Active Directory شما و کاهش حداقل خطرات بررسی خواهیم کرد. با ما همراه باشید.

1. امنیت سیستم‌عامل Domain Controller

به‌روزرسانی‌ها و پچ‌ها

• اطمینان حاصل کنید که سیستم‌عامل همیشه با آخرین پچ‌های امنیتی به‌روز باشد. Windows Update را تنظیم کنید تا به‌طور خودکار به‌روزرسانی‌های بحرانی را نصب کند.
• پچ‌های بحرانی را پیش از استقرار در محیط تولید در یک محیط staging تست کنید تا از مشکلات سازگاری جلوگیری شود.

حفاظت از دسترسی محلی

• هیچ دسترسی تعاملی برای مدیران از راه دور به‌طور مستقیم بر روی DC نباید وجود داشته باشد. تعداد کاربران مدیریتی با
• دسترسی مستقیم به DC را به حداقل برسانید. دسترسی‌های ویژه باید از طریق Jump Server انجام شود.

پیکربندی سیاست‌های امنیتی

• حساب Administrator پیش‌فرض را غیرفعال و تغییر نام دهید.
• Credential Guard و Device Guard را فعال کنید تا از حملات Pass-the-Hash و Credential Dumping جلوگیری کنید.
• SMBv1 و پروتکل‌های قدیمی را غیرفعال و SMB Signing را فعال کنید.
• Windows Firewall را برای مسدود کردن اتصالات غیرضروری پیکربندی کنید. از قوانین تقسیم‌بندی برای جدا کردن ترافیک مدیریتی از ترافیک کاربران استفاده کنید.
• Just Enough Administration (JEA) را پیاده‌سازی کنید تا امتیازات کاربران مدیریتی محدود شود. همچنین از JIT (Just-In-Time) Administration برای فراهم آوردن امتیازات بالا تنها زمانی که نیاز است و به مدت زمان محدود استفاده کنید.

2. حفاظت از گواهی‌نامه‌ها و پروتکل احراز هویت

NTLM و Kerberos

• NTLMv1 و NTLMv2 را غیرفعال کنید و استفاده از Kerberos را اجباری کنید. NTLMv2 از زمان Windows NT 4.0 SP4 موجود است و بیش از یک دهه است که بحث‌هایی در مورد اجباری کردن استفاده از آن مطرح شده است.
• Kerberos Constrained Delegation را پیکربندی کنید تا خطرات حملات افزایش امتیاز را کاهش دهید.
• از گروه Protected Users استفاده کنید. کاربران افزوده‌شده به این گروه تحت محدودیت‌های امنیتی قرار می‌گیرند که حتی اگر مهاجم به حساب آن‌ها دسترسی پیدا کند، به سختی می‌تواند آن‌ها را به خطر بیاندازد.
• Kerberos یک پروتکل کلیدی برای احراز هویت امن در Active Directory است. با اعمال رمزگذاری AES برای Kerberos، امنیت فرآیندهای احراز هویت به‌طور قابل‌توجهی بهبود می‌یابد. PAC Validation را فعال کنید تا از دستکاری در بلیت‌ها جلوگیری شود. Kerberos را با AES256 امضاء و رمزگذاری کنید.

محدود کردن دسترسی به حساب‌های ویژه

• از حساب‌های با امتیازات بالا برای کارهای روزمره استفاده نکنید و حساب‌های جداگانه برای مدیریت ایجاد کنید. حداقل دو حساب برای هر مدیر ایجاد کنید:
  حساب عادی (بدون امتیاز) → برای استفاده روزمره.
  حساب مدیریتی (بدون دسترسی به اینترنت یا ایمیل) → تنها برای مدیریت DC.
• مدل Tier (Tier 0، Tier 1، Tier 2) را برای تقسیم‌بندی امتیازات مدیریتی پیاده‌سازی کنید.
• از gMSA (Group Managed Service Accounts) برای محافظت از سرویس‌های در حال اجرا بر روی AD استفاده کنید.

حفاظت از پسوردها

• سیاست پیچیدگی پسورد را فعال کنید و حداقل طول آن را 14 کاراکتر تنظیم کنید. بهتر است طول پسورد را به 16 کاراکتر افزایش دهید تا خطرات حملات brute-force کاهش یابد.
• پیکربندی Fine-Grained Password Policy برای کاربران و گروه‌های خاص.
• Windows Defender Credential Guard را برای حفاظت از گواهی‌نامه‌های ذخیره‌شده در حافظه فعال کنید. این فناوری از گواهی‌نامه‌ها در فرآیند LSASS محافظت می‌کند و مانع از دسترسی بدافزارها و مهاجمان به بلیت‌های Kerberos و هش‌های NTLM می‌شود. توجه: قبل از فعال‌سازی، سازگاری آن با برنامه‌های قدیمی را بررسی کنید!

3. امنیت شبکه و ارتباطات

تقویت پروتکل LDAP

• LDAP Signing و LDAP Channel Binding را فعال کنید تا از حملات Man-in-the-Middle جلوگیری شود.

Configuring LDAP Signing via GPO : Set “Domain Controller: LDAP server signing requirements” to “Require Signing” . Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Domain Controller: LDAP server signing requirements → Require Signing

• دستری‌های ناشناس LDAP را غیرفعال کنید. دسترسی ناشناس به LDAP ممکن است به مهاجم اجازه دهد تا بدون احراز هویت، کاربران و اشیاء AD را فهرست کند.

Set: Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Domain Controller: Allow anonymous LDAP operations → Disabled

حفاظت از اتصالات شبکه

• IPSec را فعال کنید تا ترافیک بین Domain Controllerها رمزگذاری شود. استفاده از  IPSec with Kerberos authentication یا PKI certificates برای رمزگذاری ترافیک AD.
• خدمت LLMNR را غیرفعال کنید تا از حملات spoofing و relay جلوگیری شود (مثلاً حملات با استفاده از Responder).
• فایروال‌ها را پیکربندی کنید تا فقط پورت‌های ضروری برای Active Directory باز باشند.

Active Directory (AD) قلب زیرساخت IT بسیاری از سازمان‌ها است، اما اغلب به عنوان هدف اصلی برای مهاجمان نیز محسوب می‌شود. نفوذ به آن می‌تواند عواقب ویرانگری به همراه داشته باشد، به گونه‌ای که منجر به دسترسی به داده‌های حساس شود. در این مقاله، برخی از بهترین شیوه‌ها را از تجربیات واقعی و سناریوهایی که در محیط‌های تجاری با آن‌ها مواجه شده‌ایم، به اشتراک می‌گذاریم. از پیاده‌سازی کنترل‌های پیشرفته، حفاظت از گواهی‌نامه‌ها و دفاع در برابر حملات متداول، استراتژی‌های مشخصی را برای تقویت امنیت Active Directory شما و کاهش حداقل خطرات بررسی خواهیم کرد.

1. امنیت سیستم‌عامل Domain Controller

به‌روزرسانی‌ها و پچ‌ها

• اطمینان حاصل کنید که سیستم‌عامل همیشه با آخرین پچ‌های امنیتی به‌روز باشد. Windows Update را تنظیم کنید تا به‌طور خودکار به‌روزرسانی‌های بحرانی را نصب کند.
• پچ‌های بحرانی را پیش از استقرار در محیط تولید در یک محیط staging تست کنید تا از مشکلات سازگاری جلوگیری شود.

حفاظت از دسترسی محلی

• هیچ دسترسی تعاملی برای مدیران از راه دور به‌طور مستقیم بر روی DC نباید وجود داشته باشد. تعداد کاربران مدیریتی با
• دسترسی مستقیم به DC را به حداقل برسانید. دسترسی‌های ویژه باید از طریق Jump Server انجام شود.

پیکربندی سیاست‌های امنیتی

• حساب Administrator پیش‌فرض را غیرفعال و تغییر نام دهید.
• Credential Guard و Device Guard را فعال کنید تا از حملات Pass-the-Hash و Credential Dumping جلوگیری کنید.
  SMBv1 و پروتکل‌های قدیمی را غیرفعال و SMB Signing را فعال کنید.
• Windows Firewall را برای مسدود کردن اتصالات غیرضروری پیکربندی کنید. از قوانین تقسیم‌بندی برای جدا کردن ترافیک مدیریتی از ترافیک کاربران استفاده کنید.
• Just Enough Administration (JEA) را پیاده‌سازی کنید تا امتیازات کاربران مدیریتی محدود شود. همچنین از JIT (Just-In-Time) Administration برای فراهم آوردن امتیازات بالا تنها زمانی که نیاز است و به مدت زمان محدود استفاده کنید.

2. حفاظت از گواهی‌نامه‌ها و پروتکل احراز هویت

NTLM و Kerberos

• NTLMv1 و NTLMv2 را غیرفعال کنید و استفاده از Kerberos را اجباری کنید. NTLMv2 از زمان Windows NT 4.0 SP4 موجود است و بیش از یک دهه است که بحث‌هایی در مورد اجباری کردن استفاده از آن مطرح شده است.
• Kerberos Constrained Delegation را پیکربندی کنید تا خطرات حملات افزایش امتیاز را کاهش دهید.
• از گروه Protected Users استفاده کنید. کاربران افزوده‌شده به این گروه تحت محدودیت‌های امنیتی قرار می‌گیرند که حتی اگر مهاجم به حساب آن‌ها دسترسی پیدا کند، به سختی می‌تواند آن‌ها را به خطر بیاندازد.
• Kerberos یک پروتکل کلیدی برای احراز هویت امن در Active Directory است. با اعمال رمزگذاری AES برای Kerberos، امنیت فرآیندهای احراز هویت به‌طور قابل‌توجهی بهبود می‌یابد. PAC Validation را فعال کنید تا از دستکاری در بلیت‌ها جلوگیری شود. Kerberos را با AES256 امضاء و رمزگذاری کنید.

محدود کردن دسترسی به حساب‌های ویژه

• از حساب‌های با امتیازات بالا برای کارهای روزمره استفاده نکنید و حساب‌های جداگانه برای مدیریت ایجاد کنید. حداقل دو حساب برای هر مدیر ایجاد کنید:
  حساب عادی (بدون امتیاز) → برای استفاده روزمره.
  حساب مدیریتی (بدون دسترسی به اینترنت یا ایمیل) → تنها برای مدیریت DC.
• مدل Tier (Tier 0، Tier 1، Tier 2) را برای تقسیم‌بندی امتیازات مدیریتی پیاده‌سازی کنید.
• از gMSA (Group Managed Service Accounts) برای محافظت از سرویس‌های در حال اجرا بر روی AD استفاده کنید.

حفاظت از پسوردها

• سیاست پیچیدگی پسورد را فعال کنید و حداقل طول آن را 14 کاراکتر تنظیم کنید. بهتر است طول پسورد را به 16 کاراکتر افزایش دهید تا خطرات حملات brute-force کاهش یابد.
• پیکربندی Fine-Grained Password Policy برای کاربران و گروه‌های خاص.
• Windows Defender Credential Guard را برای حفاظت از گواهی‌نامه‌های ذخیره‌شده در حافظه فعال کنید. این فناوری از گواهی‌نامه‌ها در فرآیند LSASS محافظت می‌کند و مانع از دسترسی بدافزارها و مهاجمان به بلیت‌های Kerberos و هش‌های NTLM می‌شود.
  توجه: قبل از فعال‌سازی، سازگاری آن با برنامه‌های قدیمی را بررسی کنید!

3. امنیت شبکه و ارتباطات

تقویت پروتکل LDAP

• LDAP Signing و LDAP Channel Binding را فعال کنید تا از حملات Man-in-the-Middle جلوگیری شود.

Configuring LDAP Signing via GPO : Set “Domain Controller: LDAP server signing requirements” to “Require Signing” . Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Domain Controller: LDAP server signing requirements → Require Signing

• دستری‌های ناشناس LDAP را غیرفعال کنید. دسترسی ناشناس به LDAP ممکن است به مهاجم اجازه دهد تا بدون احراز هویت، کاربران و اشیاء AD را فهرست کند.

Set: Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Domain Controller: Allow anonymous LDAP operations → Disabledحفاظت از اتصالات شبکه

• IPSec را فعال کنید تا ترافیک بین Domain Controllerها رمزگذاری شود. استفاده از  IPSec with Kerberos authentication یا PKI certificates برای رمزگذاری ترافیک AD.
• خدمت LLMNR را غیرفعال کنید تا از حملات spoofing و relay جلوگیری شود (مثلاً حملات با استفاده از Responder).
• فایروال‌ها را پیکربندی کنید تا فقط پورت‌های ضروری برای Active Directory باز باشند.

Essential ports for Domain Controllers

Service	Brings	Protocol
Ldap	389	TCP/UDP
LDAPS	636	TCP
Global Catalog	3268	TCP
Global Catalog SSL	3269	TCP
Kerberos	88	TCP/UDP
SMB	445	TCP
RPC Endpoint Mapper	135	TCP
DNS	53	TCP/UDP

4. حفاظت از پایگاه داده Active Directory (NTDS.dit)

• از BitLocker برای رمزگذاری حجم حاوی NTDS.dit استفاده کنید.
• حفاظت از اشیاء حیاتی AD را برای جلوگیری از حذف تصادفی فعال کنید. حفاظت از حساب‌های مدیریتی و گروه‌های حساس مانند:
  Domain Admins
  Enterprise Admins
  Schema Admins
  Administrators
  Backup Operators
• Read-Only Domain Controller (RODC) را برای DCهای موجود در محیط‌های غیرامن (مانند شعبه‌ها و مکان‌های دور) فعال کنید.

5. نظارت و ثبت وقایع

فعال‌سازی ثبت وقایع پیشرفته

• Windows Event Forwarding (WEF) را پیکربندی کنید تا لاگ‌های امنیتی Domain Controllerها را مرکزی کنید.
• لاگ‌های پیشرفته PowerShell را برای شناسایی اجرای اسکریپت‌های مشکوک فعال کنید.
• آرشیو دسترسی‌های NTDS.dit را فعال کنید تا تلاش‌های حمله به این پایگاه داده شناسایی شوند.

نظارت بر دسترسی‌ها و تغییرات

• تغییرات در گروه‌های ویژه (مانند Domain Admins و Enterprise Admins) را نظارت کنید.

Event ID 4728 → Adding to a privileged group
Event ID 4729 → Removing from a group
Event ID 4732 → Change to “Domain Admins”

• از Sysmon و Microsoft Defender for Identity برای شناسایی فعالیت‌های مشکوک در احراز هویت استفاده کنید.

Critical events to monitor in Sysmon:

Event ID 1 → Creating Processes
Event ID 3 → Suspicious network connections
Event ID 10 → Critical log changes
Event ID 21 → Loading suspicious drivers

6. حفاظت در برابر بدافزارها و باج‌افزارها

• Microsoft Defender for Endpoint را بر روی DCها فعال کنید.

Enable Defender for Endpoint via GPO: Computer Configuration > Policies > Administrative Templates > Windows Components > Microsoft Defender Antivirus

“Turn on Microsoft Defender Antivirus”
“Enable real-time protection”
“Enable network protection”

• از Honeytokens برای شناسایی تلاش‌های دسترسی مشکوک استفاده کنید. این‌ها حساب‌های جعلی، پسوردها، فایل‌ها یا اشتراک‌های مخصوصی هستند که برای جذب مهاجمان طراحی شده‌اند.

7. پشتیبان‌گیری و بازیابی در مواقع بحران

• پشتیبان‌گیری منظم از Domain Controllerها را پیکربندی کنید.

Windows Server Backup, Veeam Backup & Replication, Rubrik, Commvault, NetBackup

• Recycle Bin Active Directory را برای بازیابی اشیاء حذف شده به‌طور تصادفی فعال کنید.

8. سیاست‌ها و امتیازات دسترسی

• کاربران غیرمجاز را از گروه‌های دارای امتیاز حذف کنید. بسیاری از شرکت‌ها فراموش کرده‌اند که کاربران را از گروه‌هایی مانند “Domain Admins” حذف کنند که این امر خطر نقض حساب‌ها را افزایش می‌دهد. گروه‌های مهم برای نظارت و حفاظت:

گروه	توضیحات
Domain Admins	دسترسی به تمام دامنه AD
Enterprise Admins	مدیریت تمام جنگل (forest)
Admins Schema	تغییر اسکیما AD (خطرناک!)
Administrators	دسترسی محلی و دامنه
Backup Operators	انجام پشتیبان‌گیری‌ها و استخراج داده‌های حساس
Remote Desktop Users	دسترسی به سرورها از طریق RDP، خطر بالقوه

ردیابی تغییرات گروه‌های دارای امتیاز با GPO:

Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > DS Access > Audit Directory Service Changes and Enable Success & Failure

• از اصل کمترین امتیاز برای کاهش حقوق دسترسی استفاده کنید.
  هرگز از حساب‌های با امتیاز بالا برای فعالیت‌های روزانه (ایمیل، مرورگر) استفاده نکنید. هر مدیر باید دو حساب داشته باشد:
• حساب معمولی → برای عملیات پایه (بدون امتیاز)
• حساب مدیریتی → فقط برای مدیریت دامنه (بدون دسترسی به اینترنت)

حساب‌های غیرفعال و مهمان را غیرفعال کنید. مهاجمان اغلب از حساب‌های قدیمی برای دسترسی به دامنه استفاده می‌کنند. حساب‌های غیرفعال می‌توانند به خطر بیافتند و برای حرکت جانبی استفاده شوند.

9. Domain Trust Protection

• انتخابی کردن احراز هویت برای اعتمادهای دامنه خارجی. دسترسی کاربران از دامنه‌های خارجی را تنها به سرورها و منابع ضروری محدود کنید.
• به طور پیش‌فرض، یک trust “Forest-Wide” به هر کاربر تایید شده اجازه دسترسی به منابع در دامنه هدف را می‌دهد.
  احراز هویت انتخابی نیاز دارد که هر منبع به طور مشخص به کاربران در دامنه خارجی اعطا شود. این به حملات حرکت جانبی بین دامنه‌ها، مانند Pass-the-Ticket و Golden Ticket کمک می‌کند.
• تغییرات در روابط اعتماد را با Event ID 4706 نظارت کنید. مهاجمان پیشرفته (مانند APT‌ها) سعی می‌کنند اعتمادها را برای حرکت جانبی بین دامنه‌ها به خطر بیاندازند.
• حفاظت از اعتماد در برابر حملات تکثیر AD (DCSync, DCShadow). DCShadow به مهاجم اجازه می‌دهد تا یک Domain Controller جعلی ایجاد کند تا AD را تکثیر کند. Defender for Identity فعالیت‌های ثبت DC جدید مشکوک را شناسایی می‌کند.

10. اتوماسیون و امنیت پیشگیرانه

• از Microsoft Defender for Identity برای شناسایی تهدیدات پیشرفته استفاده کنید. نظارت و شناسایی حرکت جانبی، حملات Pass-the-Hash و تلاش‌های نقض Active Directory.
• این ابزار حملات پیشرفته‌ای مانند DCSync, DCShadow, Golden Ticket, Kerberoasting را شناسایی می‌کند.
• رفتار کاربران را تجزیه و تحلیل کنید و فعالیت‌های غیرعادی را گزارش دهید.
• Active Directory را از افزایش دسترسی غیرمجاز محافظت می‌کند.
• ابزارهای SIEM مانند Splunk یا Microsoft Sentinel را برای جمع‌آوری لاگ‌ها مرکزی کنید.
  Red Teaming/Pentest دوره‌ای انجام دهید تا آسیب‌پذیری‌ها شناسایی شوند. حملات دنیای واقعی از نقص‌هایی بهره می‌برند که در لاگ‌ها مشهود نیستند.
• شبیه‌سازی حملات به اعتبارسنجی مؤثر بودن دفاع‌ها و نظارت کمک می‌کند.
  پیکربندی‌های نادرست و دسترسی‌های غیرمجاز را شناسایی کنید.

ابزارهایی برای آزمایش AD:

ابزار	استفاده اصلی
Bloodhound	نقشه روابط بین کاربران و گروه‌ها در AD
Mimikaze	شناسایی اعتبارنامه‌های ضعیف و حملات PtH, PTT
PowershellEmpire	شبیه‌سازی حملات پس از بهره‌برداری
Responder	استفاده در حملات DNS/LLMNR poisoning یا Relay به طور کلی
PingCastle	ارزیابی امنیت کل دامنه AD

توجه: استفاده صرف از این ابزارها نمای کلی از سناریوهای حمله ممکن را فراهم نمی‌کند. فقط با کمک کارشناسان خبره می‌توان از مشکلات موجود در زیرساخت آگاه شد.

جنبه‌های پیشرفته دیگر برای تجزیه و تحلیل Domain Controller

علاوه بر بهترین شیوه‌های پایه‌ای، چندین جنبه پیشرفته وجود دارد که می‌تواند امنیت و تاب‌آوری Domain Controller را بیشتر تقویت کند. از مدیریت پیشرفته امتیازها تا ایمن‌سازی کانال‌های احراز هویت و تکنیک‌های نظارت پیشگیرانه. این استراتژی‌ها کمک می‌کنند تا دفاع در برابر تهدیدات پیچیده‌تر تقویت شود.

بیایید به برخی از آن‌ها بپردازیم تا به طور عمیق‌تری بررسی کنیم و زیرساخت AD را ایمن‌تر و مقاوم‌تر کنیم.

1. بررسی و حذف امتیازات بحرانی برخی از امتیازات پیش‌فرض می‌توانند توسط مهاجمان برای اجرای کد با امتیازات بالا یا دستکاری سیستم استفاده شوند. توصیه می‌شود امتیازات زیر را از Domain Controller (DC) حذف یا محدود کنید:
   • SeDebugPrivilege (Debug Programs) → حذف از تمام کاربران به جز SYSTEM
     این امتیاز به مهاجمان امکان دسترسی به حافظه فرآیندهای بحرانی را می‌دهد که برای حملات Pass-the-Hash و Credential Dumping (مانند Mimikatz) مفید است.برای بررسی با PowerShell دستور زیر را اجرا کنید:

     whoami /priv | findstr SeDebugPrivilege
     

     برای حذف این امتیاز از گروه “Domain Admins”، از دستور زیر استفاده کنید:

     ntrights -r SeDebugPrivilege -u "Domain Admins"
     

   • SeEnableDelegationPrivilege → فقط به نقش‌های مجاز محدود کنید
     این امتیاز به مهاجمین امکان می‌دهد تا احراز هویت بین سیستم‌ها را نمایند که می‌تواند برای حملات Golden Ticket و Kerberoasting بهره‌برداری شود.
   • SeImpersonatePrivilege و SeAssignPrimaryTokenPrivilege
     این امتیازات به مهاجمان اجازه می‌دهند تا هویت کاربران دیگر را جعل کرده و کدهایی مانند SYSTEM اجرا کنند (حمله Token Theft).
     این امتیازات را فقط به فرآیندها/کاربران ضروری محدود کنید.
2. حفاظت از Group Policy Objects (GPOs)
   • بلاک کردن تغییرات غیرمجاز در GPOها با استفاده از GPO Permissions.
   • تغییرات بحرانی سیاست‌ها را با Event ID 5136 نظارت کنید.
   • دسترسی نوشتن به سیاست‌ها را از کاربران غیرمدیر حذف کنید.
3. حفاظت از سرویس‌های ویندوز
   سرویس‌های غیرضروری را روی Domain Controllers غیرفعال کنید، شامل:
   • Server
   • Workstation
   • Fax
   • Spooler (آسیب‌پذیر به PrintNightmare)
   • Remote Registry (برای جلوگیری از تغییرات از راه دور)
   • Windows Remote Management (WinRM) در صورتی که استفاده نمی‌شود.

   برای غیرفعال کردن این سرویس‌های بحرانی از دستورات زیر استفاده کنید:

   Set-Service Spooler -StartupType Disabled
   Set-Service RemoteRegistry -StartupType Disabled
   

4. کنترل حساب‌های با دسترسی ویژه
   برای بررسی اینکه چه کسانی دارای امتیازهای ویژه هستند، از دستور زیر استفاده کنید:

   Get-ADGroupMember -Identity "Domain Admins"
   

   برای ایجاد هشدار برای افزودن‌های مشکوک به گروه‌های دارای امتیاز:

   • نظارت بر Event ID 4728 (افزودن به گروه‌های دارای امتیاز)
   • نظارت بر Event ID 4732 (افزودن به گروه‌های محلی)

این اقدامات کمک می‌کنند تا از امتیازات غیرمجاز یا خطرناک جلوگیری شده و امنیت دامنه شما بهبود یابد.

5. سخت‌سازی دسترسی‌ها به پایگاه داده NTDS.dit
   • ممانعت از خواندن مستقیم پایگاه داده NTDS.dit، با مسدود کردن کاربران غیرمجاز.
   • حفاظت از حجم NTDS.dit با استفاده از BitLocker یا EFS.
   • نظارت بر تلاش‌ها برای استخراج اطلاعات از اعتبارنامه‌ها با استفاده از ابزارهایی مانند Sysmon و YARA rules.
6. غیرفعال کردن احراز هویت ناشناس
   • ممانعت از LDAP ناشناس با اجرای دستور:

     reg add "HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" /v "LDAPServerIntegrity" /t REG_DWORD /d 2 /f
     

   • غیرفعال کردن اتصال ناشناس به جلسات LDAP.
7. حفاظت از جلسات از راه دور
   • غیرفعال کردن دسترسی RDP به Domain Controllers به جز برای مدیران مجاز.
   • از Jump Servers (یا Bastion Hosts) برای مدیریت از راه دور استفاده کنید به جای اتصال مستقیم به DCها.
8. غیرفعال کردن گواهی‌نامه‌های خود امضا و حفاظت از PKI
   • از گواهی‌نامه‌های تولید شده خود بر روی Active Directory Certificate Services (ADCS) استفاده نکنید.
   • نظارت بر استفاده مشکوک از گواهی‌نامه‌ها با استفاده از Event ID 4886 و 4887 (تغییرات گواهی‌نامه).
9. محدود کردن پرس‌و‌جوها به DC
   • از اجرای دستورات شناسایی AD توسط کاربران عادی جلوگیری کنید، مانند:

     Get-ADUser -Filter *
     

   • فعال کردن نظارت بر پرس‌و‌جوهای مشکوک LDAP با Event ID 1644.
10. حفاظت از Kerberos Ticket Granting Ticket (TGT)

• فعال کردن حفاظت AES برای بلیت‌های Kerberos:

  Set-ADAccountControl -KerberosEncryptionType AES256 -Identity Administrator
  

• کاهش مدت زمان TGT برای محدود کردن ریسک سرقت اعتبارنامه‌ها.

11. استفاده از گروه Protected Users

• حساب‌های بحرانی را به گروه “Protected Users” اضافه کنید تا از استفاده NTLM، Kerberos ناامن و هش‌های به سرقت رفته جلوگیری شود.

  Add-ADGroupMember -Identity "Protected Users" -Members "Administrator"
  

12. محدود کردن حساب‌هایی با رمزهای عبور معکوس‌شونده

• حساب‌های با رمزهای عبور معکوس‌شونده را بررسی کنید:

  Get-ADUser -Filter {AllowReversiblePasswordEncryption -eq $true}
  

• غیرفعال کردن ذخیره‌سازی رمزهای عبور معکوس‌شونده از طریق GPO: مسیر:

Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy → Store passwords using reversible encryption → Disabled

13. برنامه‌ریزی برای بازنشانی رمز عبور حساب KRBTGT

• رمز عبور حساب KRBTGT را دو بار تنظیم کنید، بار دوم 11 ساعت بعد از اولین بازنشانی، تا بلیت‌های دست‌ساز باطل شوند.

  Reset-ADServiceAccountPassword -Identity krbtgt
  

این تدابیر پیشرفته فراتر از سخت‌سازی معمول هستند و می‌توانند امنیت Domain Controller شما را با کاهش سطح حمله به طور چشمگیری بهبود بخشند.

مهم‌ترین اقدامات عبارتند از:

• غیرفعال کردن SeDebugPrivilege و سایر امتیازات خطرناک
• ممانعت از دسترسی غیرمجاز از راه دور و غیرفعال کردن سرویس‌های غیرضروری
• حفاظت از پایگاه داده NTDS.dit با BitLocker و نظارت پیشرفته
• نظارت بر فعالیت‌های غیرعادی با استفاده از Event Logs و SIEM
• محدود کردن پرس‌و‌جوهای LDAP، تغییرات گروه‌های دارای امتیاز و استفاده از گواهی‌نامه‌ها

آیا با Microsoft Security Compliance Toolkit آشنا هستید؟ این ابزاری است که به شما امکان می‌دهد تنظیمات پایه‌ای که مایکروسافت پیشنهاد کرده را اعمال کنید، همراه با مجموعه‌ای از ابزارها برای تأیید و اعمال آن‌ها. یک Baseline در واقع مجموعه‌ای از تنظیمات پیکربندی است که مایکروسافت آن‌ها را توصیه کرده و به گونه‌ای منتشر شده‌اند که تأثیرات امنیتی را در نظر می‌گیرند و همان‌طور که در بسیاری از محصولات مایکروسافت اتفاق می‌افتد، بر اساس بازخورد تیم‌های مهندسی امنیتی مایکروسافت، گروه‌های محصول، شرکا و مشتریان است.

آیا این تمام چیزی است که نیاز دارید؟ قطعاً نه. آنچه تفاوت ایجاد می‌کند، دانش کامل از زیرساخت ما، آگاهی از آنچه استفاده می‌شود و آنچه می‌تواند غیرفعال شود به دلیل عدم استفاده است. فرهنگ، آگاهی و کنترل!

نتیجه‌ گیری‌

سخت‌سازی Domain Controller یک فرآیند مستمر و حیاتی است برای تضمین امنیت زیرساخت‌های فناوری اطلاعات شرکت شما. اجرای بهترین شیوه‌های توصیف‌شده، از مدیریت دقیق امتیازات تا حفاظت از اعتبارنامه‌ها و نظارت فعال، می‌تواند به طور قابل‌توجهی خطر نفوذ و حملات هدفمند را کاهش دهد.

با این حال، امنیت Active Directory نمی‌تواند تنها بر پیکربندی‌های ایستا تکیه کند: لازم است رویکردی های نوین اتخاذ شود، به‌طور مداوم سیاست‌های امنیتی به‌روزرسانی شده، فعالیت‌های مشکوک نظارت شود و به تهدیدات جدید واکنش نشان داده شود. سرمایه‌گذاری در حفاظت از Domain Controller به معنای محافظت از کل محیط فناوری اطلاعات است. تنها با یک استراتژی سخت‌سازی قوی و مدیریت دقیق است که می‌توان یک زیرساخت مقاوم ایجاد کرد که قادر به مقابله با چالش‌های پیچیده امنیت سایبری باشد. امیدواریم این مقاله برای شما مفید بوده باشد😉