Poświadczenia i konta (Active Directory)

• Analiza anomalii logowań: Weryfikacja logowań o niestandardowych godzinach, odbiegających od typowego harmonogramu pracy podmiotu.
• Nadzór nad uprawnieniami: Szczególny nadzór nad aktywnością kont o wysokich uprawnieniach (IT, Kadra Zarządzająca). Zaleca się wdrożenie systemów klasy PAM (Privileged Access Management), które automatyzują ten proces, eliminując konieczność ręcznego przeglądania sesji. Warto rozważyć wdrożenie systemu klasy SIEM (Security Information and Event Management) i za pomocą reguł stworzyć alerty dotyczące nietypowych zachowań.
• Audyt i higiena kont:
  • Regularny przegląd serwerów oraz systemów wykorzystywanych przez organizację i natychmiastowe usuwanie kont byłych pracowników oraz kont nieużywanych.
  • Bezwzględny zakaz logowania się kontami z uprawnieniami Administratora Domeny na stacjach roboczych (ochrona przed kradzieżą tokenów).
  • Profilaktyczny reset haseł dla kluczowych kont administracyjnych. Przy ustanawianiu nowego hasła musi ono być o odpowiedniej długości (min. 16-20 znaków); z kombinacją wielkich i małych liter, cyfr oraz znaków specjalnych. Każde konto administracyjne powinno mieć osobne, unikalne hasło dla każdego z wykorzystywanych systemów.
• Ochrona AD
  • Ograniczenie dostępu sieciowego do kontrolerów domeny do niezbędnego minimum.
  • Monitorowanie operacji na bazie „NTDS.dit” oraz zmian w uprawnieniach grup wrażliwych. Wskazane jest wykorzystanie narzędzi typu SIEM lub dedykowanych skanerów bezpieczeństwa AD, które w czasie rzeczywistym alarmują o próbach nieautoryzowanego dostępu do bazy poświadczeń.
• Wsparcie zewnętrzne: Ścisłe monitorowanie połączeń dostawców i firm trzecich. Uprawnienia powinny być przyznawane czasowo i tylko do niezbędnych zasobów. Należy regularnie weryfikować ważność i zasadność utrzymywania poszczególnych kont serwisowych.