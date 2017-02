Slechteriken zitten al in je netwerk en met AD-toegang is het game over.

Een recent rapport van Microsoft stelt dat de antivirus-utility die in Windows 10 is toegevoegd een toename van 400 procent opmerkte in het aantal keer dat ransomware werd gedetecteerd (PDF). Via kwetsbaarheden die daarvoor worden gebruikt, proberen aanvallers ook binnen te komen bij de belangrijkste applicaties. Als snoodaards bij de Active Directory komen, kan de schade enorm zijn.

Active Directory beheert bijna elk deeltje van de IT-infrastructuur, van gebruikerstoegang en applicaties tot aan computers en netwerken. Aanvallers kunnen gestolen admin-toegang wekenlang gebruiken zonder dat het wordt opgemerkt, wat een miljoenenschade kan opleveren. Daarom is het van levensbelang om credentials van accounts met hoge admin-rechten goed te beveiligen.

Zo min mogelijk rechten

Volgens onderzoek bevat in de gemiddelde organisatie twee tot zeven procent van de werkstations malware op een moment in zijn looptijd. Je dient er vanuit te gaan dat aanvallers binnen zijn en de AD direct kunnen aanvallen, zonder door je perimiterbeveiliging te moeten. Ga dus uit van een least privilege systeem, het liefst met helemaal geen permanente admin-accounts.

Active Directory is een van de belangrijkste toepassingen in een organisatie, dus zo min mogelijk mensen moeten de rechten hebben om wijzigingen op domeinniveau te maken. Hoe minder permanente accounts je hebt, hoe minder gebruikers je hoeft te monitoren en gebruik/aanmaak van credentials in de gaten moet houden.

Scheiden en whitelisten

Systeembeheerders zouden een account en systeem moeten hebben voor hun dagelijkse taken en een apart account met hogere rechten, bij voorkeur via een aparte pc, voor werk als AD-wijzigingen. Daarmee beperk je het risico dat je via een onbeveiligd werkstation aanvallers toegang krijgen tot een account met hogere rechten.

Niet iedere host binnen je omgeving mag de toegang hebben om AD-wijzigingen te maken. Maak een whitelist van specifieke werkstations die deze toegang überhaupt hebben en sta alleen verbindingen toe naar de domeincontroller via aparte poorten en protocollen die de admins gebruiken.