۱۰ قدم برای امن سازی اکتیودایرکتوری
کلیدِ هویت، قفلِ تهدید: AD امن
– ادمینِ سرِ کار، ادمینِ خونه نیست!
چی؟ برای ادمینها دو حساب بساز: یکی عادی برای کار روزمره، یکی فقط برای ادمینی.
چرا؟ اگه ایمیل/وبگردی با حساب Domain Admin کنی، هکر فقط کافیست یک کلیک خوششانس بزند.
چطور؟
حسابهای ادمینی بدون اینترنت و ایمیل.
MFA روی همه حسابهای حساس.
گروههای Privileged (مثل Domain Admins) را خالی/مینیمال نگه دار، استفاده موقتی و با Approval.
– وصلهها مثل ویتامین: منظم و بدون تنبلی
چی؟ DCها و همه سرورها/کلاینتها را Patch کن.
چرا؟ اکسپلویتها عاشق سیستمهای قدیمیاند.
چطور؟ WSUS/Intune/SCCM برای خودکارسازی. اول تست، بعد انتشار سراسری.
– بکاپِ درست، اعصابِ راحت
چی؟ System State و بکاپ کامل DCها + تمرین ریکاوری.
چرا؟ باجافزار که بیاد، تنها قهرمان واقعی «بکاپ تستشده» است.
چطور؟
فعالسازی AD Recycle Bin:
Enable-ADOptionalFeature ‘Recycle Bin Feature’ -Scope ForestOrConfigurationSet -Target yourdomain.com
:System State Backup
wbadmin start systemstatebackup -backuptarget:E: -quiet
– رمزهای قلدر، نه “۱۲۳۴۵۶”
چی؟ سیاست رمز قوی + جلوگیری از رمزهای معروف + LAPS/LAPS2 برای لوکال ادمین.
چرا؟ Kerberoasting و Password Spray با رمزهای ضعیف جشن میگیرند.
چطور؟
Fine-Grained Password Policies برای نقشهای مختلف.
Microsoft LAPS/LAPS2 برای چرخش خودکار رمز Local Admin.
– اصلِ «کمترین دسترسی»؛ نه «کلید همهجا»
چی؟ هرکس فقط دسترسی لازم را داشته باشد.
چرا؟ هر دسترسی اضافی = یک پنجره اضافه برای نفوذ.
چطور؟
Role-Based Access (Helpdesk ≠ DA).
PAM/PIM برای دسترسی موقتی (JIT).
Service Accountها را gMSA کن:
New-ADServiceAccount -Name gmsaApp -DNSHostName gmsaApp.yourdomain.com -PrincipalsAllowedToRetrieveManagedPassword “YourServer$”
– DCها = گاوصندوق؛ نه کافینت
چی؟ سختسازی Domain Controllerها.
چرا؟ اگه DC بیفته، «کل» جنگ رو باختی.
چطور؟
خاموش: SMBv1، RDP باز به اینترنت، پروتکلهای Legacy.
روشن: Firewall قوی، Secure Boot، Virtualization-based Security.
ورود فقط از Admin Jump Host.
– GPOها را با دقت تنظیم کن؛ Default Domain Policy را له نکن
چی؟ بساط تنظیمات امنیتی را با GPOهای جدید و OUبندی درست جلو ببر.
چرا؟ تغییرات در DDP/DDC مثل تغییر سیمکشیِ ساختمان وسط کاره—ریسک بالا.
چطور؟
GPO جدا برای «Workstation Baseline»، «Server Baseline»، «DC Baseline».
AppLocker/WDAC برای محدود کردن اجرا.
محدود کردن PowerShell به Constrained Language Mode روی کلاینتها (تا جای ممکن).
– لاگ خوب = آلارم بهموقع
چی؟ لاگگیری و مانیتورینگ جدی.
چرا؟ بدون لاگ، نفوذ مثل فیلم بیصداست—میبینی، ولی نمیفهمی چی شد.
چطور؟
Advanced Auditing + Windows Event Forwarding به یک SIEM.
Audit Directory Service Changes برای دیدن تغییرات حساس.
آلارم برای: اضافه شدن کاربر به Domain Admins، ساخت GPO جدید، تغییر ACLهای حساس.
– Kerberos، NTLM، LDAP: نسخههای امن یا بایبای
چی؟ امنسازی احراز هویت و ارتباطات.
چرا؟ حملات Pass-the-Hash/Relay عاشق NTLM و LDAP بدون امضا هستند.
چطور؟
SMB Signing اجباری، NTLM را مرحلهای محدود کن.
LDAP Signing و Channel Binding را الزامی کن.
Delegation: از «Unconstrained» خداحافظی، فقط «Constrained/Resource-based».
– تمیزکاری فنی: از حساب مُرده تا مسیرهای حمله
چی؟ جمعوجور کردن اشیای قدیمی و مسیرهای حمله.
چرا؟ حسابهای قدیمی = درهای باز. SPNهای شلخته = بوی Kerberoasting.
چطور؟
Disable/Delete حسابهای غیرفعال + کامپیوترهای آفلاین.
سرویساکانتها با کمترین Privilege، چرخش رمز، gMSA.
بازبینی ACLها و حذف دسترسیهای غیرضروری در OUها، GPOها، Shares.
– اشتباهات کلاسیک که نکنیم،
ادیت مستقیم Default Domain Policy/Controllers Policy.
دادن اینترنت و ایمیل به حسابهای ادمینی.
نداشتن تست ریکاوری واقعی.
نگهداشتن NTLM باز و LDAP بدون Signing.
استفاده از یک رمز ثابت برای Local Admin همه کلاینتها.
– چکلیست سریع اجرا (به ترتیب پیشنهادی)
- جدا کردن حسابهای ادمینی + MFA
Patch همه سیستمها
فعالسازی Recycle Bin + System State Backup تستشده
اعمال Password Policies + استقرار LAPS
اجرای Least Privilege + gMSA برای سرویسها
سختسازی DCها و بستن سرویسهای Legacy
ساخت Baseline GPOها (بدون دستکاری DDP/DDC)
راهاندازی WEF/SIEM و آلارم رو رویدادهای حساس
LDAP/Kerberos/NTLM Hardening
پاکسازی حسابها/کامپیوترهای قدیمی و سفتکردن ACLها