cybersecurity

Le best practice per aumentare la sicurezza di Active Directory

sicurezza active directory

Negli ambienti lavorativi di oggi, sempre più digitalizzati e senza precisi confini fisici, il processo di autenticazione degli utenti è parte integrante della routine quotidiana. Attraverso l’autenticazione, gli utenti possono infatti accedere a una vasta gamma di risorse, applicazioni e dati tramite un’unica “porta d’accesso”. A rendere possibile tutto questo, in contesti basati su soluzioni Microsoft, è Active Directory (AD), che da oltre 20 anni rappresenta per moltissime imprese l’infrastruttura che assicura il supporto di base per servizi che spaziano dalla messaggistica alla collaborazione, dalla gestione dei sistemi ai servizi di protezione.
Microsoft Active Directory è ancora oggi il fulcro centrale per il controllo degli accessi e il mantenimento della sicurezza aziendale e, proprio per questo, uno dei bersagli preferiti dai criminali informatici.
Una violazione di Active Directory può permettere agli aggressori di ottenere credenziali privilegiate con cui compromettere la sicurezza dei dati aziendali e, potenzialmente, influenzare le applicazioni critiche.
Per implementare quindi una solida politica di sicurezza digitale, implementare le best practice di sicurezza per Active Directory (AD) diventa per le imprese non solo importante, ma una condizione imprescindibile alla cybersecurity aziendale.

Cos’è Active Directory

Secondo la definizione di Microsoft Learn, Active Directory “è la base per le reti distribuite basate su Windows Server 2000, 2003 e sistemi operativi Microsoft Windows Server 2008 che usano controller di dominio”. Questo servizio fornisce un metodo efficiente e sicuro di archiviazione e accesso ai dati della directory per utenti e amministratori di rete.

Come una rubrica (ma dalle funzioni avanzate), AD archivia informazioni sugli account utente, come nomi, password, numeri di telefono ed altro ancora per renderle poi accessibili agli utenti autorizzati all’interno della rete. Ma Active Directory va ben oltre alla pura gestione di account utente e sfrutta un archivio dati strutturato per organizzare in modo logico e gerarchico le informazioni di directory, che includono risorse condivise come server, volumi, stampanti e computer di rete.

Insomma, Microsoft Active Directory può essere usato per gestire centralmente tutte le risorse informatiche interne all’azienda e per modificare permessi e politiche aziendali.

Per le aziende che lo utilizzano, integrato nei sistemi operativi Windows Server, rappresenta la porta d’accesso per gestire:

  • Domini di rete: per organizzare i computer della rete in domini, facilitando la gestione e l’accesso agli utenti e alle risorse all’interno di un dominio specifico.
  • Identità utente: per archiviare e gestire le identità degli utenti, consentendo loro di accedere alle risorse autorizzate e di autenticarsi sulla rete.
  • Autenticazione e autorizzazione: per dotarsi di servizi di autenticazione e autorizzazione con cui controllare chi può accedere a quali risorse e cosa possono fare gli utenti una volta autenticati.
  • Controllo degli accessi per server e applicazioni: per definire e gestire le politiche di accesso per le risorse, inclusi server e applicazioni.
  • Connessione di sistemi diversi: per facilitare l’integrazione e la connettività tra sistemi diversi tra loro all’interno dell’azienda.

Microsoft Active Directory: a cosa serve?

Active Directory (AD) è il cuore delle reti aziendali basate su Windows. La ragione d’altronde è semplice: ad oggi i dipendenti hanno bisogno di accedere a moltissime risorse informatiche interne dell’azienda, dal proprio account alle stampanti, e gestire individualmente queste risorse su ogni postazione di lavoro si trasformerebbe presto in un compito titanico.

AD risolve questa situazione problematica mappando le strutture IT dell’azienda, memorizzando i dati degli utenti e degli oggetti e permettendo di gestire centralmente i permessi necessari. Questo significa che, ad esempio, è possibile cambiare la password di un utente una sola volta nell’AD anziché su ogni dispositivo, e che gli aggiornamenti e gli upgrade del sistema possono essere eseguiti centralmente, semplificando la gestione e garantendo una maggiore coerenza.

Le aziende dotate di Active Directory offrono agli Amministratori di Sistema il controllo e l’accesso in scrittura alle varie risorse informatiche. AD infatti:

  • Organizza gerarchicamente le risorse: mappa le risorse informatiche interne, gli utenti e gli oggetti (hardware, software, ruoli utente, servizi di rete, etc.) in una struttura gerarchica, semplificando la gestione e l’accesso.
  • Gestisce lo spazio di archiviazione: struttura lo spazio di archiviazione per garantire un’organizzazione ottimale dei dati.
  • Controlla i permessi di accesso e applicazione: gestisce il rilascio e il blocco dei permessi di accesso e applicazione a directory e servizi, garantendo la sicurezza e la protezione delle risorse aziendali.
  • Garantisce la sicurezza della rete aziendale: contribuisce a proteggere la rete aziendale implementando politiche di sicurezza e protocolli di autenticazione.

microsoft AD: persona al pc con porta documenti accanto

Perché dedicarsi alla gestione della sicurezza di Active Directory

Da quanto abbiamo visto fin qui, sarà ormai evidente che la sicurezza di Active Directory è fondamentale per garantire che gli utenti legittimi possano autenticarsi sulla rete e accedere alle applicazioni e ai dati necessari.

AD, infatti, in quanto chiave dell’infrastruttura IT aziendale, controlla l’autenticazione e l’autorizzazione alla maggior parte delle risorse aziendali, dati o applicazioni che siano. Di conseguenza, la sicurezza di Active Directory dev’essere prioritaria per qualsiasi azienda.

D’altronde, la sempre maggior centralità e importanza strategica di AD non può che costringere le imprese e gli amministratori IT a una maggior consapevolezza del ruolo centrale giocato dalla configurazione, gestione, manutenzione e monitoraggio di questa preziosissima componente.

E a spingere ancor più le imprese verso investimenti legati alla sicurezza informatica sono anche le polizze assicurative associate a questa particolare tipologia di rischio. Secondo quanto riportato da Marsh, leader mondiale nell’intermediazione assicurativa e nella consulenza sui rischi aziendali, negli Stati Uniti le polizze assicurative associate al rischio cyber sono aumentate in media dell’11% nel primo trimestre del 2023. In aggiunta, gli intervistati da Delinea hanno dichiarato che i costi delle polizze “cyber” sono aumentati tra il 50% e il 100% nel 2023.

Quel che è certo è che prima di decidere se fornire o meno la propria copertura, le compagnie di assicurazione prestano particolare attenzione alle pratiche di gestione del rischio dell’impresa. Considerata la centralità di Active Directory, come abbiamo visto, qui si concentrano molte delle analisi, perché un AD ben protetto può ridurre drasticamente la probabilità di successo di un attacco informatico.

La sicurezza di Active Directory: minacce, rischi e vulnerabilità

I metodi di attacco utilizzati dai criminali informatici contro AD non differiscono da quelli utilizzati per accedere in modo fraudolento ad altri sistemi. D’altronde, la sicurezza di Active Directory è soggetta a rischi comuni tra i quali:

  • vulnerabilità dei sistemi server,
  • errate configurazioni,
  • disattenzioni umane che generano vulnerabilità impreviste.

Sebbene non esista una tecnologia o un software in grado di eliminare a monte ogni rischio e minaccia, interna o esterna che sia, esistono tuttavia una serie di best practice che le aziende possono implementare per gestire e aumentare la sicurezza di Active Directory. Prima di passare alle best practice, consideriamo qui alcuni dei problemi di configurazione e sicurezza più comuni.

Numero eccessivo di utenti in gruppi privilegiati

Purtroppo, non è raro incappare in account a cui siano stati garantiti privilegi superiori a quelli necessari. La situazione in effetti è molto più comune di quanto si possa pensare. È il caso di dipendenti passati a nuove posizioni all’interno dell’organigramma aziendale a cui non sono stati rimossi i precedenti privilegi, ora non più necessari, ma anche di tutti quegli utenti a cui sono stati garantiti privilegi elevati semplicemente per risolvere in fretta problema legati al funzionamento di un’applicazione.

Qualunque sia la ragione, la presenza di un elevato numero di utenti con privilegi eccessivi comporta rischi significativi per la sicurezza. Ogni account aggiunto rappresenta infatti un potenziale percorso di escalation dei privilegi da parte degli aggressori, che possono utilizzare uno degli account compromessi per muoversi lateralmente nell’ambiente e pregiudicare la sicurezza dei dati sensibili.

In aggiunta, aumenta il rischio che un utente possa – anche inconsapevolmente – effettuare operazioni amministrative distruttive, impattando sulla sicurezza dei dati e dei sistemi aziendali.

Presenza di account di servizio con privilegi elevati

Gli account di servizio sono account che vengono configurati con autorizzazioni specifiche per consentire loro di svolgere alcune precise funzioni.

A volte, a questi account vengono però assegnati privilegi amministrativi non necessari, spesso per risolvere rapidamente problemi operativi o di configurazione che altrimenti richiederebbero una maggior mole di lavoro. Questa pratica aumenta però significativamente il rischio per la sicurezza dell’ambiente.

A contribuire al rischio, poi, sono anche le password di questi stessi account di servizio, potenzialmente deboli e spesso impostate per non scadere mai.

Gli attaccanti informativi, utilizzando la tecnica di Kerberoasting, possono ottenere facilmente l’accesso iniziale a un regolare utente attraverso il phishing o altri metodi e, se l’account ha privilegi elevati, ottenere il controllo su Active Directory.

Password deboli e autenticazioni inadeguate

Le password deboli sono estremamente vulnerabili ad attacchi come quelli a forza bruta e a dizionario, mentre quelle comuni possono essere indovinate con facilità mettendo in atto attacchi di tipo spray.

A peggiorare la situazione, già grave in partenza, concorrono spesso errori di configurazione di varia natura. Solo per fare un esempio, l’impostazione “Memorizza password con crittografia reversibile”, spesso necessaria per supportare applicazioni legacy che richiedono password in chiaro per funzionare correttamente, rende le password particolarmente vulnerabili.

sicurezza microsoft active directory

Come proteggere Active Directory: le best practice di sicurezza

Come abbiamo anticipato, per prevenire molti dei problemi legati alla sicurezza di Active Directory le aziende devono dedicare la propria attenzione alla rilevazione di configurazioni a rischio e monitorare le modifiche accidentali o dolose. Ridurre il rischio significa infatti innalzare la barriera d’ingresso per gli aggressori, chiudendo le falle della sicurezza prima che possano essere sfruttate.

Per aumentare la sicurezza di Active Directory, le imprese devono adottare una serie di preziose best practice, tra le quali:

  • Implementare politiche di password sicure: in quanto prima linea di difesa, le password meritano un’attenzione particolare. Per essere efficace, una password dev’essere complessa, lunga almeno 12 caratteri e comprendere lettere minuscole, maiuscole, numeri e caratteri non alfanumerici. In alternativa alle password si possono utilizzare “passphrase”, ovvero frasi di almeno 20 caratteri, compresi gli spazi fra le parole. In aggiunta, sarebbe opportuno cambiare regolarmente le password e prevenirne il riuso.
  • Applicare il principio del privilegio minimo: agli utenti dovrebbero essere assegnati solo ed esclusivamente i privilegi minimi necessari per svolgere le proprie funzioni e, di conseguenza, i gruppi di privilegiati dovrebbero contare un numero limitato di membri. Il consiglio è sempre di verificare regolarmente l’ambiente informatico per ridurre il rischio e ridurre i privilegi utente non più necessari.
  • Implementare sistemi antivirus e aggiornare i software: un ulteriore aspetto da considerare è quello relativo ai sistemi antivirus e antimalware, che dovrebbero infatti essere distribuiti e aggiornati in modo centralizzato. Un sistema centralizzato è in grado, infatti, di generare alert quando rileva un’infezione o un’azione pericolosa.
  • Patchare le vulnerabilità e le configurazioni non sicure di AD: se le patch non vengono applicate tempestivamente, le vulnerabilità note rappresentano un rischio significativo per Active Directory. Le patch devono infatti essere testate e distribuite il più rapidamente possibile per evitare di lasciare superficie di attacco ai criminali informatici.

Implementare queste best practice aiuterà a rafforzare la sicurezza di Active Directory e a proteggere l’azienda da potenziali minacce informatiche.

Aumenta la sicurezza aziendale con Intrusa

La maggior parte delle violazioni della sicurezza IT aziendale ha origine dalla compromissione di uno o più computer all’interno dell’infrastruttura. Da qui, la violazione può diffondersi rapidamente oppure essere rallentata o fermata, a seconda delle azioni intraprese dal team IT per mitigare il rischio nelle aree critiche.

Tutto questo rende evidente che è fondamentale il team IT sia perfettamente consapevole delle vulnerabilità esistenti e sappia come gestirle. Questo, non tanto per eliminare tutte le vulnerabilità (cosa non sempre possibile), quanto per monitorare le aree più a rischio per prevenirne un potenziale sfruttamento da parte degli attaccanti informatici, che potrebbero così spingersi fino all’Active Directory e ai controller di dominio dell’organizzazione.

Con Intrusa, la piattaforma 100% italiana e in Cloud nata per aiutare le PMI ad assicurarsi massima sicurezza dei dati e dei sistemi aziendali (oltre a massima compliance normativa), le imprese possono dotarsi di uno strumento con cui controllare la corretta configurazione dell’Active Directory e la gestione efficace e sicura di utenti, gruppi e computer.

Intrusa, infatti, si assicura che le impostazioni di sicurezza degli utenti siano configurate in modo appropriato per prevenire violazioni della sicurezza, valutando password deboli o compromesse, e rileva potenziali problemi di sicurezza come account con privilegi amministrativi non protetti, configurazioni di default e impostazioni non aggiornate.

Vuoi saperne di più? Contattaci! E se sei un MSN, accedi alla sezione dedicata e scopri come diventare partner.