اپیزود چهارم

۱. امنیت و Hardening

امن‌سازی زیرساخت (Hardening)

این بخش شامل پیاده‌سازی مکانیزم‌های امنیتی پیشرفته برای جلوگیری از نفوذ، محدودسازی دسترسی‌ها و محافظت از سرویس‌های حیاتی دامین است.

مفاهیم پایه و دسترسی‌ها

  • رکورد SRV Resource: این رکورد (Service Record) در DNS حیاتی است؛ زیرا به کلاینت‌ها نشان می‌دهد که سرور ارائه‌دهنده سرویس‌های خاص (مثل LDAP یا Kerberos که همان DC است) دقیقاً در چه آی‌پی و پورتی قرار دارد.
  • جلوگیری از لاگین هم‌زمان: اکتیودایرکتوری به طور پیش‌فرض گزینه‌ای برای این کار ندارد. راه‌حل استفاده از ابزارهای جانبی (مثل UserLock) یا نوشتن اسکریپت‌های پیچیده (مثل LimitLogin) است.
  • پنهان کردن OUها: اگر بخواهیم یوزری (مثل هلپ‌دسک) برخی OUها را نبیند، روی OU راست‌کلیک کرده (Advanced Features باید روشن باشد)، به تب Security می‌رویم و پرمیشن List object یا Read را برای او Deny می‌کنیم.

مدیریت دسترسی محلی (Restricted Groups)

برای اینکه گروه Help Desk را ادمین لوکال تمام کلاینت‌ها کنیم، از Restricted Groups استفاده می‌کنیم. دو حالت داریم:

حالت امن (This group is a member of)

گروه هلپ‌دسک را اضافه کرده و می‌گوییم "عضوِ" گروه Administrators لوکال شود. (بدون تخریب بقیه ادمین‌ها).

حالت خطرناک (Members of this group)

گروه Administrators را انتخاب و اعضای آن را فقط هلپ‌دسک می‌گذاریم. این کار Overwrite می‌کند و بقیه ادمین‌های لوکال را پاک می‌کند!

پالیسی‌های طلایی هاردنینگ سرور

  • پیاده‌سازی LAPS: تغییر خودکار و رندوم رمز ادمین لوکال کلاینت‌ها و ذخیره امن آن در AD برای جلوگیری از Lateral Movement.
  • غیرفعال‌سازی NTLM: استفاده از پالیسی Network security: Restrict NTLM برای اجبار به استفاده از Kerberos.
  • امضای دیجیتال (SMB Signing): فعال‌سازی Digitally sign communications (always) برای جلوگیری از حملات Man-in-the-Middle در فایل‌شیرینگ.
  • تغییر نام پیش‌فرض: پالیسی Rename administrator account برای خنثی‌سازی حملات Brute-force روی یوزرهای دیفالت.
  • مسدودسازی WDigest: جلوگیری از کش شدن پسوردها به صورت Clear-text در RAM (مقابله با ابزارهایی مثل Mimikatz).