Et Active Directory (AD) er der hvor 90 pct. af alle virksomheder styrer og sikrer brugere, roller og identiteter – og er samtidigt en af de mest populære indgange for it-kriminelle.
Er de it-kriminelle først kommet ind via en virksomheds AD, så kan de ofte bevæge sig uhindret igennem it-infrastrukturen og tage for sig af databuffeten.
Ifølge Microsoft opholder de uønskede gæster sig typisk i AD-systemet i 146 dage og det giver de it-kriminelle rigeligt med tid til at gøre stor skade.
I en ny rapport beskriver AD-sikkerhedsspecialisterne Semperis nogle af de mest opsigtsvækkende AD-angreb i nyere tid, som bl.a. inkluderer Colonial Pipeline, SolarWinds, Microsoft Exchange, Virgin Mobile og Windows Print Spooler. At så store virksomheder bliver angrebet via deres Active Directory, viser kun hvor vigtigt, det er at beskytte det.
Rapporten, The Active Directory Security Halftime Report, der bl.a. tager fat på hvordan man beskytter dette utroligt vigtige identitetssystem, vil jævnligt blive opdateret med den nyeste viden. Rapporten kan med fordel også bruges som en guide til at styrke virksomhedernes generelle it-sikkerhed.
”Active Directory er og bliver hjertet i en virksomheds identitetsstyring. For 15 år siden var det slet ikke nødvendigt at tale om at beskytte ens AD mod it-kriminelle, men det har for alvor ændret sig. Det viser de mange eksempler på vellykkede it-angreb, hvor de it-kriminelle netop kommer ind via virksomhedens dårligt beskyttede AD. Desværre følger mange virksomheder stadig de gamle råd til opsætning og sikring af AD, der i dag er som en åben invitation, der byder de it-kriminelle ind,” siger Fredrik Hörnell, der er nordeuropæisk salgsdirektør for Semperis.
Via det gratis værktøj, Purple Knight, som Semperis har udviklet til at identificere svagheder i Active Directory, ses det at de typiske fejl er:
- Gamle adgangskoder, der åbner op for brute force-angreb, hvor samtlige mulige kodeord afprøves én efter én, indtil det rigtige er fundet.
- Brugerkonti med privilegeret adgang, hvor brugerrettighederne ikke er blevet nedjusteret til et mere sikkert niveau, hvor specielt gruppen ’Enterprise Key Admins’ har adgang til alt for meget.
- Exchange-konti med forhøjede AD-rettigheder.
- Kerberos-delegation er konfigureret som “ubegrænset” og derfor utrolig let at misbruge.
- Svag konfiguration af gruppepolitiker, som skaber sikkerhedssårbarheder, når Group Policy Object (GPO) knyttes til Active Directory på domæneniveau.
