DCها = گاوصندوق؛ نه کافینت
حفاظت از مغز متفکر شبکه در برابر حملات
❓ چی هست؟
Domain Controller (DC) مرکز فرماندهی هویت سازمانه.
اگر DC بیفته، کل AD، احراز هویت، GPOها، منابع شبکه، و حتی لاگین کاربران مختل میشه.
پس DC باید مثل گاوصندوق نگهداری بشه، نه یه سیستم معمولی یا عمومی.
⚠️ چرا مهمه؟
حمله موفق به DC = کلید طلایی کل شبکه.
مهاجمان پس از نفوذ به سیستمهای جانبی، سعی میکنند به DC برسند (هدف نهایی در حملات APT).
اکثر بدافزارهای پیچیده مثل Mimikatz، Golden Ticket و DCShadow برای سرقت یا تغییر در DC طراحی شدهاند.
✅ چطور DC را “امن” کنیم؟
| مورد | چرا؟ |
|---|---|
| SMBv1 | قدیمی، آسیبپذیر (مثلاً WannaCry) |
| RDP از اینترنت | درگاه محبوب حملات Brute Force و باجافزار |
| NetBIOS, LLMNR, WPAD | مستعد حملات relay و spoof |
| PowerShell Remoting به همه | امکان اجرای remote code |
| پروتکلهای TLS 1.0 / 1.1 | منسوخ، فاقد رمزنگاری امن |
🛑 اقدامات عملی:
# SMBv1 را غیرفعال کن:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
# RDP فقط در VLAN داخلی و از Jump Host مجاز باشد
# حذف Featureهای غیرضروری روی DC:
Remove-WindowsFeature -Name Web-Server, Windows-Defender, Fax, XPS
🔼 روشن کن: حفاظتهای پیشرفته
| مورد | کاربرد |
|---|---|
| Firewall فعال و محدودشده | فقط پورتهای مورد نیاز LDAP, Kerberos, DNS |
| Secure Boot و VBS | جلوگیری از tampering در سطح Boot |
| BitLocker | رمزنگاری Volume مخصوصاً برای DC روی VM |
| Credential Guard | حفاظت از LSASS در مقابل Credential Theft |
| Protected Users Group | غیرفعالسازی NTLM برای حسابهای حساس |
🔐 فقط از Admin Jump Host وارد شو
یعنی ادمینها فقط از طریق سرور خاصی که برای مدیریت طراحی شده (Jump Host)، وارد DC شوند.
| مزیتها | توضیح |
|---|---|
| محدودسازی سطح حمله | DC فقط از چند IP محدود در دسترس است |
| لاگگیری کامل | فعالیتهای ادمینی به صورت متمرکز بررسی میشود |
| جداسازی کامل | از دستگاههای روزمره یا ناامن اتصال نمیگیرند |
🧰 ابزارها:
Windows Admin Center
Remote Desktop Gateway
Just Enough Administration (JEA)
🔍 اقدامات تکمیلی سختسازی DC
نصب آنتیویروس فقط اگر با DC سازگار باشد (AV-Exclusion Guidelines).
غیرفعال کردن اجرای نرمافزارهای ناشناخته با AppLocker یا WDAC.
افزایش Audit Policy در سطح DC برای تغییرات مشکوک.
جداسازی فیزیکی یا مجازی DC از سایر سرورها (No Co-Hosting).
نصب بهروزترین پچهای امنیتی و BIOS/firmware.
🧨 اشتباهاتی که نباید انجام داد:
نصب نرمافزارهای جانبی روی DC (مثل مرورگر، آفیس، نرمافزار مانیتورینگ).
اتصال مستقیم DC به اینترنت یا حتی NAT از اینترنت.
باز گذاشتن پورتهای اضافی بدون کنترل Firewall.
استفاده از DC بهعنوان File Server یا Remote Desktop Host.