Usługa Active Directory (AD) została zaprezentowana przez Microsoft w 1999 r. i początkowo odpowiadała tylko za scentralizowane zarządzanie domenami. Obecnie AD jest technologią najczęściej wybieraną do zarządzania infrastrukturą cyfrową: nadaje się zarówno dla małych firm, jak i dużych przedsiębiorstw, zatrudniających od kilkunastu do nawet wielu tysięcy pracowników. Jest jednym z podstawowych rozwiązań wykorzystywanych do zabezpieczania i zarządzania infrastrukturą IT, użytkownikami i zasobami. To sprawia, że jest usługą o znaczeniu krytycznym dla funkcjonowania organizacji. Nieodpowiednio zabezpieczona usługa AD może doprowadzić do incydentów naruszenia bezpieczeństwa, co w efekcie może zakłócić działanie organizacji i doprowadzić do strat finansowych.
Uwierzytelnianie w usłudze Active Directory
Usługa Active Directory łączy ważne dla procesu uwierzytelniania elementy, takie jak kontroler domeny, usługi certyfikatów, usługi katalogowe, usługi federacyjne, zarządzanie prawami dostępów i inne. Funkcje te pozwalają przedsiębiorstwom na zarządzanie dostępem kont użytkowników, urządzeń i usług do wszystkich zasobów i aplikacji w organizacji. Centrum usługi Active Directory to kontroler domeny, który zarządza działaniami między użytkownikiem a domeną oraz ustala w jaki sposób użytkownicy mogą uzyskiwać dostęp czy korzystać z zasobów. Ponieważ AD zawiera informacje o serwerach, użytkownikach (ich hasłach), grupach i innych obiektach znajdujących się w środowisku IT organizacji, jest przez to atrakcyjnym celem dla hakerów. Stosują oni różne metody i techniki ataków, w celu uzyskania dostępu do kontrolerów AD, które odpowiadają za zarządzanie wszystkimi użytkownikami i urządzeniami w danej sieci.
Niebezpieczne protokoły i złe praktyki
Usługa Active Directory obsługuje wiele protokołów uwierzytelniania, które przez lata były dostępne w różnych wersjach systemu Windows. Są to: LM (znany również jako LANMAN i LAN Manager), NTLM, NTLMv2 i Kerberos. Każdy użytkownik lub urządzenie, dołączając do domeny Active Directory, musi używać jednego z tych protokołów do identyfikacji i uwierzytelniania się w celu uzyskania dostępu do zasobów sieciowych. Taka powszechna obsługa protokołów zapewnia kompatybilność wsteczną i pozwala na wykorzystywanie w środowisku Active Directory także urządzeń ze starszymi wersjami systemu Windows. Ale nie wszystkie protokoły są jednakowo bezpieczne. Na przykład LM i NTLM są znane z używania słabych algorytmów haszujących i nie obsługują uwierzytelniania wieloskładnikowego (MFA). Organizacje korzystające z tych protokołów są łatwym celem hakerów, którzy mogą przechwycić i złamać hasła, aby następnie podszyć się pod użytkownika, przeprowadzić atak typu MITM albo przejąć konto Active Directory. Ponadto wiele organizacji korzystających z usługi Active Directory wciąż opiera się na złych praktykach bezpieczeństwa i nadal polega na prostych hasłach do uwierzytelniania użytkowników – czasem nawet administratorów. Często firmy rezygnują też z wdrożenia zasad dotyczących złożoności haseł i MFA, aby nie wpłynęło to negatywnie na komfort pracy użytkowników.
Azure Active Directory
Od kilku lat dostępne jest również Azure Active Directory, wersja usługi katalogowej w chmurze. Popularność Azure AD wzrosła w ostatnich miesiącach, kiedy wiele organizacji w czasie pandemii COVID-19 musiało zapewnić pracownikom zdalny dostęp do sieci firmowej. Mimo że, Azure AD uważane jest za usługę Windows AD przeniesioną do chmury, istnieją różnice, które – jeśli nie zostaną wzięte pod uwagę – mogą umożliwić cyberprzestępcom łatwe złamanie zabezpieczeń sieci organizacji. Usługa AD została zaprojektowana do instalowania na serwerach lokalnych lub chmurach prywatnych i jej zabezpieczenia kończą się wraz z granicą sieci firmowej. Z kolei Azure AD jest bardziej dostosowana do otwartego internetu i oferuje zaawansowane funkcje zarządzania tożsamościami i dostępem opartymi na chmurze Microsoft. Jednak konto użytkownika w Azure AD ze słabym hasłem może umożliwić hakerowi uzyskanie „przyczółka” w sieci, wyodrębnienie informacji o kontach innych użytkowników, a nawet odszyfrowanie haseł i uzyskanie dostępu do kont administratora.
Uwierzytelnianie bezhasłowe w Active Directory
Organizacje mogą poprawić bezpieczeństwo Active Directory, m.in. dzięki wdrożeniu zasady najniższych uprawnień, ograniczeniu kont administratorów i regularnemu sprawdzaniu praw dostępu użytkowników i grup. Jednak jedynym rozwiązaniem, które zapewnia całkowite bezpieczeństwo jest zastosowanie uwierzytelniania bez hasła. Uwierzytelnianie bezhasłowe zapewnia równowagę pomiędzy użytecznością i bezpieczeństwem – dwoma celami, które wcześniej uważano za sprzeczne ze sobą i niemożliwe do pogodzenia. Sprawia, że użytkownicy są zadowoleni, ponieważ nie muszą pamiętać i zmieniać skomplikowanych haseł, zespoły ds. bezpieczeństwa nie muszą martwić się o zabezpieczanie haseł w organizacji, a pracownicy IT nie muszą poświęcać czasu na rozwiązywanie problemów związanych z hasłami.
Azure AD natywnie obsługuje uwierzytelnianie bez hasła za pomocą funkcji Windows Hello, aplikacji Microsoft Authenticator i urządzeń zgodnych z FIDO2. Jednak lokalna usługa Active Directory i konfiguracje hybrydowe nie obsługują uwierzytelniania bez hasła. Zamiast tego AD obsługuje protokół SAML za pośrednictwem usług federacyjnych, co oznacza, że można go zintegrować z innymi usługami uwierzytelniania. Dlatego jednym ze sposobów na poprawę bezpieczeństwa jest użycie zgodnego z SAML uwierzytelniania bezhasłowego, które może obsługiwać Active Directory, Azure AD i konfiguracje hybrydowe. Rozwiązania firmy Secret Double Octopus umożliwiają to, zapewniając bezpieczne i wygodne uwierzytelnianie bezhasłowe dla wielu urządzeń i usług, od komputerów stacjonarnych i laptopów po dowolne aplikacje internetowe lub starsze aplikacje, których potrzebuje pracownik.
Secret Double Octopus
Dzięki bezpiecznej technologii szyfrowania, łatwemu w użyciu interfejsowi oraz wsparciu wielu różnych standardów i platform, Secret Double Octopus stał się jednym z najpopularniejszych rozwiązań uwierzytelniania bezhasłowego dla przedsiębiorstw. Rozwiązania Secret Double Octopus zapewniają każdej organizacji z dowolnie rozbudowaną infrastrukturą dostęp bez konieczności podawania hasła we wszystkich systemach biznesowych i aplikacjach, zarówno lokalnie, jak i w chmurze, online i offline. Integrują się z bezproblemowo z infrastrukturą IT i innymi rozwiązaniami do zarządzania tożsamością i dostępem, z których organizacje już korzystają (np. AD). Uwierzytelnianie bezhasłowe jest w zasadzie pozbawione wad – to jedyna słuszna droga dla współczesnych organizacji. Tylko dzięki niemu organizacje mogą zapewnić wysoki poziom bezpieczeństwa organizacji (np. odporność na wycieki haseł czy ochronę przed większością technik stosowanych przez cyberprzestępców), jednocześnie wpływając na poprawę komfortu pracy użytkownika.
Tekst źródłowy: https://doubleoctopus.com/blog/AD