آشنایی با هاردنینگ اکتیو دایرکتوری | هاردنینگ اکتیو دایرکتوری چیست

 اکتیو دایرکتوری چیست؟

تعریف Active Directory به زبان ساده

اکتیو دایرکتوری یا Active Directory یک سرویس مدیریت هویت و دسترسی است که توسط مایکروسافت ارائه شده و روی سیستم‌عامل Windows Server اجرا میشود.

به زبان بسیار ساده:

Active Directory مثل یک دفتر مرکزی برای مدیریت کاربران، کامپیوترها، گروه ها، مجوزها و منابع شبکه در یک سازمان است.

در یک شرکت، صدها کارمند، سیستم، سرور، چاپگر، نرم افزار و سرویس وجود دارد. بدون یک سیستم مرکزی، مدیریت این حجم از اطلاعات تقریباً غیرممکن است.

اکتیو دایرکتوری این مشکل را حل میکند و تمام هویت ها و دسترسی های شبکه را در یک پایگاه داده مرکزی به نام Directory ذخیره میکند.

مفاهیم کلیدی مرتبط با تعریف AD:

• Directory Services: سرویس های فهرست بندی برای ذخیره هویت ها
• Domain: واحد اصلی مدیریت در AD
• Forest / Tree: ساختارهای بزرگ تر برای شبکه های پیچیده
• LDAP: پروتکل دسترسی به داده های دایرکتوری
• Kerberos: پروتکل احراز هویت ایمن
• Domain Controller: سروری که سرویس AD روی آن اجرا میشود

به زبان ساده تر:

وقتی یک کارمند وارد سیستم خود میشود، هنگامی که فایلی را باز میکند، یا زمانی که میخواهد به یک سرور دیگر وصل شود، Active Directory هویت او را تأیید کرده و تصمیم میگیرد چه سطح دسترسی دارد.

 نقش اکتیو دایرکتوری در شبکه های سازمانی

Active Directory ستون فقرات امنیت و مدیریت شبکه های مبتنی بر ویندوز است.

نقش های کلیدی آن عبارت‌اند از:

1. مدیریت هویت کاربران (Identity Management)

AD تمام اطلاعات مربوط به کاربران را ذخیره میکند:

• نام
• رمز عبور
• گروه ها
• سطح دسترسی
• سیاست های امنیتی

این یعنی هویت تمام کارکنان از یک نقطه مرکزی کنترل میشود.

2. تعیین سطح دسترسی (Authorization)

اکتیو دایرکتوری تعیین میکند:

• چه کسی به چه فایل هایی دسترسی داشته باشد
• چه کاربری بتواند نرم افزار خاصی اجرا کند
• چه گروهی به سرورهای حیاتی وارد شود
• چه سیستم هایی بتوانند با هم ارتباط داشته باشند

این کار از طریق مفاهیمی مثل ACL، GPO، RBAC و Security Groups انجام میشود.

3. احراز هویت ایمن (Authentication)

AD با استفاده از پروتکل های امنیتی مانند:

• Kerberos
• NTLM (در نسخه های قدیمی)

هویت کاربران و سیستم ها را تأیید میکند تا از جعل هویت جلوگیری شود.

4. مدیریت منابع شبکه

اکتیو دایرکتوری به صورت مرکزی کنترل میکند:

• کامپیوترها
• سرورها
• چاپگرها
• اشتراک گذاری فایل ها
• سیاست های شبکه

5. اجرای سیاست های امنیتی (GPO)

یکی از مهم ترین نقش ها استفاده از Group Policy است.

GPO به مدیر شبکه اجازه می دهد قوانین امنیتی را برای تمام سیستم ها اعمال کند:

مثال ها:

• ممنوعیت USB
• تنظیم طول رمز عبور
• تنظیم Firewall
• محدودیت اجرای برنامه ها
• آپدیت خودکار سیستم ها

6. کاهش پیچیدگی مدیریت شبکه

اگر Active Directory نباشد:

• نیاز است برای تک تک کامپیوترها حساب کاربری جدا بسازید
• برای هر نرم افزار دسترسی جدا تعریف کنید
• مدیریت دسترسی ها بسیار زمان بر میشود

ولی با AD همه چیز به صورت متمرکز انجام میشود.

7. فراهم کردن پایه امنیت زیرساخت

چون تمام احراز هویت ها، مجوزها و سیاست ها از طریق Active Directory مدیریت میشود، این سرویس یکی از حساس ترین نقاط شبکه است.

به همین دلیل هم هاردنینگ اکتیو دایرکتوری تبدیل به یک اقدام حیاتی در امنیت سایبری سازمان ها شده است.

 اجزای اصلی اکتیو دایرکتوری (Domain، Forest، OU و…)

اکتیو دایرکتوری برای مدیریت هویت و دسترسی در شبکه های سازمانی از یک ساختار چندلایه استفاده میکند. شناخت این اجزا برای درک عملکرد AD و همچنین اجرای اقدامات امنیتی و هاردنینگ ضروری است.

در ادامه مهم ترین اجزای Active Directory را مرور می کنیم:

1. Domain (دامین)

Domain واحد اصلی مدیریت در اکتیو دایرکتوری است.

تمام کاربران، گروه ها، کامپیوترها و منابع درون یک دامین ذخیره و کنترل می شوند.

در یک شبکه سازمانی:

• کارمندان عضو یک Domain میشوند
• سیاست های امنیتی از همان دامین اعمال میشود
• احراز هویت توسط Domain Controller انجام می گیرد

به زبان ساده، Domain همان “سازمان دیجیتال” شماست.

2. OU (Organizational Unit)

OU یک ساختار منطقی برای دسته بندی کاربران و سیستم ها در داخل یک دامین است.

از OU برای موارد زیر استفاده میشود:

• مدیریت بهتر کاربران و گروه ها
• اعمال Group Policy به بخش های مختلف
• تفکیک بخش ها مثلاً IT، مالی، منابع انسانی

OU ها برای کنترل دقیق تر و مدیریت سلسله مراتبی طراحی شده‌اند.

3. Tree (درخت)

اگر چند Domain با سیاست ها و ساختار مشابه در کنار هم باشند و رابطه Trust داخلی داشته باشند، مجموعه آنها را Tree می نامیم.

تمام دامین های یک Tree یک Namespace مرتبط دارند.

4. Forest (فورست)

Forest بالاترین سطح ساختار Active Directory است.

یک Forest میتواند شامل چندین Tree مستقل باشد که با هم ارتباط امنیتی دارند.

ویژگی های Forest:

• موتور امنیت و احراز هویت AD
• مدیریت اعتماد بین دامین ها
• اشتراک گذاری Schema بین همه Trees

اگر Tree‌ ها کشور باشند، Forest یک “اتحادیه” است که همه را پشتیبانی میکند.

5. Schema (اسکیما)

Schema پایگاه تعریف تمام اشیاء اکتیو دایرکتوری است.

اینکه یک User یا Computer چه ویژگی هایی دارد، توسط Schema تعیین میشود.

مثال:

User دارای صفاتی مثل name، password، SID و … است.

6. Global Catalog

Global Catalog سرویسی است که نسخه‌ای سبک شده از اطلاعات کل Forest را نگهداری میکند و جستجو را بسیار سریع تر میکند.

GC یکی از اجزای حیاتی در احراز هویت و دسترسی های بین دامین هاست.

7. Trust Relationships

برای ارتباط امن بین دامین ها و Tree‌ ها از “رابطه اعتماد” یا Trust استفاده میشود.

این Trust ها تعیین میکنند کدام دامین ها بتوانند کاربران هم را شناسایی و تأیید کنند.

 پروتکل های مورد استفاده در Active Directory (LDAP، Kerberos، NTLM)

Active Directory برای مدیریت هویت و دسترسی از چند پروتکل مهم استفاده میکند.

این پروتکل ها اساس امنیت، احراز هویت و دسترسی در شبکه های ویندوز هستند.

1. LDAP (Lightweight Directory Access Protocol)

LDAP پروتکلی است برای:

• خواندن داده های دایرکتوری (مثل کاربران، گروه ها، OU ها)
• انجام کوئری روی پایگاه داده AD
• برقراری ارتباط بین سرویس ها و Domain Controller

LDAP بیشتر برای جستجو و دسترسی به اطلاعات Directory استفاده میشود.

نسخه امن آن:

LDAPS (با SSL/TLS برای جلوگیری از شنود)

2. Kerberos

Kerberos اصلی ترین پروتکل احراز هویت اکتیو دایرکتوری است.

این پروتکل مبتنی بر Ticket کار میکند و بسیار ایمن تر از NTLM است.

مهم ترین ویژگی های Kerberos:

• صدور Ticket توسط KDC در DC
• جلوگیری از جعل هویت
• جلوگیری از Pass-the-Hash
• احراز هویت دوطرفه بین کاربر و سرویس

Kerberos یکی از مهم ترین موجودیت ها در بحث هاردنینگ AD نیز هست.

3. NTLM

NTLM پروتکل قدیمی تر و کم امن تر احراز هویت در شبکه های ویندوز است.

امروزه استفاده از NTLM به دلیل آسیب پذیری های زیاد توصیه نمیشود.

NTLM هدف بسیاری از حملات است:

• Pass-the-Hash
• Relay Attacks

در هاردنینگ Active Directory معمولاً توصیه میشود:

• NTLM غیرضروری غیرفعال شود
• فقط Kerberos فعال بماند

 Domain Controller چیست و چه وظایفی دارد؟

Domain Controller یا DC مهم ترین سرور در اکتیو دایرکتوری است.

تمام سرویس Active Directory روی DC اجرا میشود و این سرور مسئول “هویت” کل شبکه است.

تعریف Domain Controller

Domain Controller سروری است که:

• سرویس Active Directory Domain Services (AD DS) را اجرا میکند
• کاربران شبکه را احراز هویت میکند
• سیاست های امنیتی را اعمال میکند
• داده های Directory را ذخیره و مدیریت میکند

مهم ترین وظایف Domain Controller

1. احراز هویت (Authentication)

DC تصمیم میگیرد:

• کاربر چه کسی است
• آیا رمز درست است
• آیا اجازه ورود دارد

پروتکل های استفاده شده:

• Kerberos
• NTLM (در صورت فعال بودن)

2. تعیین سطح دسترسی (Authorization)

پس از احراز هویت، DC مشخص میکند:

• کاربر به چه فایل هایی دسترسی دارد
• چه سرویس هایی را میتواند اجرا کند
• چه سرورها و منابعی را ببیند

این کار از طریق:

• ACL
• Group Policy
• Security Groups

انجام میشود.

3. نگهداری Directory Database

DC اطلاعات مهمی را ذخیره میکند:

• کاربران
• کامپیوترها
• گروه ها
• OU ها
• Trust ها

این اطلاعات در فایل NTDS.DIT نگهداری میشود.

4. اعمال Group Policy

تمام سیاست های امنیتی و تنظیمات شبکه (GPO) از طریق Domain Controller اعمال میشود.

مثال:

• محدودیت رمز عبور
• تنظیمات Firewall
• سیاست قفل حساب
• تنظیمات امنیتی سیستم ها

5. مدیریت تغییرات (Replication)

تمام DC ها در شبکه اطلاعات خود را با یکدیگر Replicate میکنند تا همیشه هماهنگ باشند.

6. نقش حیاتی در امنیت زیرساخت

اگر مهاجم به یک Domain Controller دسترسی پیدا کند، عملاً کل شبکه را در اختیار میگیرد.

به همین دلیل:

DC مهم ترین نقطه برای اجرای هاردنینگ Active Directory است.

چرا امنیت Active Directory حیاتی است؟

Active Directory، همان طور که پیش تر توضیح داده شد، ستون فقرات مدیریت هویت، احراز هویت و دسترسی در شبکه های سازمانی مبتنی بر ویندوز است. این جایگاه مرکزی و حیاتی، AD را به یکی از حساس ترین و مهم ترین اهداف حملات سایبری تبدیل کرده است. درک این اهمیت، اولین گام برای ضرورت هاردنینگ اکتیو دایرکتوری است.

اهمیت AD در مدیریت هویت و دسترسی

Active Directory تنها یک سرویس نیست؛ بلکه یک مرکز کنترل متمرکز برای تمام منابع سازمان شماست. تصور کنید یک سازمان بزرگ با هزاران کارمند، سرور، ایستگاه کاری، اپلیکیشن و داده های حساس. بدون AD، مدیریت اینها تقریباً غیرممکن و بسیار پرهزینه خواهد بود.

نکات کلیدی:

1. مرکزیت هویت: تمام هویت های کاربران (کارمندان، پیمانکاران، مدیران)، دستگاه ها (لپ تاپ‌ها، سرورها) و سرویس ها (اپلیکیشن‌ها، دیتابیس‌ها) در AD تعریف و مدیریت میشوند. این یعنی AD “هویت” تمام شبکه شماست.
2. کنترل دسترسی: AD مشخص میکند که هر هویت به چه منابعی دسترسی دارد و با چه سطح امتیازی. از باز کردن یک فایل ساده تا دسترسی به سرورهای حیاتی، همه تحت کنترل AD است.
3. احراز هویت سراسری (Single Sign-On – SSO): کاربران با یک بار احراز هویت در AD میتوانند به منابع مختلف شبکه دسترسی پیدا کنند. این راحتی در کنار خود، بار سنگین امنیتی را بر دوش AD میگذارد.
4. پایه و اساس امنیت: سیستم های تشخیص نفوذ (IDS)، سیستم های اطلاعات امنیتی و مدیریت رویداد (SIEM)، فایروال‌ها و سایر ابزارهای امنیتی، اغلب برای عملکرد خود به اطلاعات هویتی و دسترسی موجود در AD متکی هستند.

نتیجه: هرگونه اختلال یا نفوذ به AD مستقیماً بر قابلیت سازمان در مدیریت، کنترل و ایمن سازی کاربران و منابع خود تأثیر میگذارد.

سطح حمله گسترده در شبکه های مبتنی بر ویندوز

با توجه به نفوذ گسترده سیستم عامل ویندوز و Active Directory در سازمان‌ها، این زیرساخت به طور طبیعی بزرگ ترین “سطح حمله” (Attack Surface) را برای مهاجمان ایجاد میکند. این یعنی نقاط ورودی بالقوه برای حمله بسیار زیاد است.

دلایل گسترده بودن سطح حمله:

1. فراگیر بودن: تقریباً تمام کارمندان از سیستم های ویندوز استفاده میکنند و به AD متصل هستند. هر workstation یک نقطه بالقوه برای شروع حمله است.
2. پروتکل های متعدد: AD از پروتکل های مختلفی مانند LDAP، Kerberos، DNS و SMB استفاده میکند که هر یک میتوانند دارای آسیب پذیری هایی باشند.
3. پیکربندی پیچیده: تنظیمات AD بسیار پیچیده است و کوچک ترین اشتباه در پیکربندی میتواند منجر به باز شدن حفره های امنیتی شود. (مثال: تنظیمات Group Policy Object – GPO نادرست).
4. حملات Pass-the-Hash/Ticket: مهاجمان با سرقت Hash رمز عبور یا Ticketهای Kerberos می‌توانند بدون دانستن رمز عبور واقعی، به منابع شبکه دسترسی پیدا کنند.
5. آسیب پذیری های تاریخی: اگرچه مایکروسافت دائماً در حال بهبود است، اما آسیب پذیری های تاریخی و ضعف های طراحی در پروتکل های قدیمی تر (مانند NTLM) همچنان مورد سوءاستفاده قرار میگیرند.
6. Trust Relationships: روابط Trust بین دامین‌ها و Forestها میتواند به مهاجم اجازه دهد تا از یک دامین کمتر امن به دامین های حیاتی تر دسترسی پیدا کند.

نتیجه: مهاجمان میدانند که AD پر از فرصت های بالقوه برای نفوذ است و همیشه به دنبال ضعیف ترین حلقه هستند.

پیامد های نفوذ به Domain Controller

Domain Controller (DC) قلب تپنده Active Directory است. نفوذ موفق به یک DC تقریباً به معنای به دست گرفتن کنترل کامل کل شبکه و سازمان است. این سناریو، بدترین کابوس هر تیم امنیتی است.

عواقب فاجعه بار نفوذ به DC:

1. دسترسی کامل مدیریتی (Domain Admin): مهاجم با کنترل DC میتواند به بالاترین سطح دسترسی در شبکه (Domain Admin) دست یابد. این شامل ایجاد کاربران جدید، تغییر رمز عبور کاربران موجود، تغییر GPOها و دسترسی به تمام منابع میشود.
2. سرقت اطلاعات حساس: تمام اطلاعات هویتی کاربران (Hash رمز عبور)، سرویس ها و سیستم ها در DC ذخیره شده است. مهاجم میتواند این اطلاعات را سرقت کند و از آنها برای حملات بعدی استفاده کند.
3. اجرای بدافزار (Malware) و باج افزار (Ransomware): با دسترسی به DC، مهاجم میتواند بدافزار را به صورت گسترده در کل شبکه توزیع و اجرا کند. این اغلب مسیر اصلی برای حملات گسترده باج افزار است.
4. تخریب یا تغییر ساختار شبکه: مهاجم میتواند GPOها را تغییر دهد، کاربران را حذف کند، ساختار AD را تخریب کند یا ارتباطات شبکه را قطع کند.
5. جعل هویت و پایداری (Persistence): مهاجم میتواند حساب های کاربری Backdoor ایجاد کند (مثلاً Golden Ticket یا Silver Ticket) تا حتی پس از شناسایی و حذف دسترسی اولیه، بتواند به شبکه بازگردد.
6. توقف کامل عملیات (Business Disruption): از دست دادن کنترل بر AD میتواند منجر به فلج شدن کامل عملیات سازمان شود، زیرا هیچ کاربری نمیتواند احراز هویت شود یا به منابع دسترسی پیدا کند.
7. خسارت مالی و اعتباری: بازیابی از چنین حمله‌ای بسیار پرهزینه است و میتواند به از دست رفتن اعتماد مشتریان و شرکای تجاری منجر شود.

نتیجه: یک DC نفوذ شده، دروازه‌ای به سمت فاجعه کامل امنیتی و عملیاتی است.

نقش AD در اجرای سیاست های امنیتی سازمان

Active Directory نه تنها محل نگهداری هویت هاست، بلکه ابزاری قدرتمند برای اعمال و اجرای سیاست های امنیتی در کل سازمان است. این نقش حیاتی از طریق Group Policy Objects (GPO) انجام میشود.

چگونگی نقش AD در امنیت:

1. یکپارچگی و استانداردسازی: AD این امکان را فراهم میکند که سیاست های امنیتی (مانند پیچیدگی رمز عبور، قفل حساب، تنظیمات فایروال، ممنوعیت USB) به صورت یکپارچه و استاندارد بر روی تمام کاربران و سیستم های موجود در دامین اعمال شوند.
2. کاهش خطای انسانی: اعمال دستی سیاست‌ها بر روی صدها یا هزاران سیستم تقریباً غیرممکن و مستعد خطا است. GPO این فرآیند را خودکار و متمرکز میکند.
3. مدیریت دسترسی با حداقل امتیاز (Least Privilege Principle): با AD و GPO میتوان اطمینان حاصل کرد که کاربران فقط به منابعی دسترسی دارند که برای انجام وظایفشان ضروری است، نه بیشتر.
4. مدیریت پچ و بروزرسانی‌ها: با استفاده از GPO میتوان سیاست هایی برای بروزرسانی خودکار سیستم‌ها و نرم افزارها اعمال کرد که یکی از مهم ترین اقدامات امنیتی است.
5. ممیزی و گزارش گیری : AD قابلیت های ممیزی قدرتمندی دارد که میتوانند فعالیت های مشکوک را رصد و ثبت کنند. این لاگ‌ها برای تشخیص نفوذ و تحلیل پس از حادثه حیاتی هستند.
6. پاسخ به حوادث : در صورت بروز حادثه، AD میتواند ابزاری برای ایزوله کردن سیستم های آلوده یا تغییر سریع دسترسی‌ها باشد.

نتیجه: AD یک ابزار ضروری برای پیاده سازی و نگهداری یک چارچوب امنیتی قوی است. ضعف در امنیت AD مستقیماً به ضعف در اجرای کل سیاست های امنیتی سازمان منجر میشود.

هاردنینگ اکتیو دایرکتوری چیست؟

هاردنینگ اکتیو دایرکتوری مجموعه‌ای از اقدامات فنی و سیاست های امنیتی است که با هدف کاهش سطح حمله ، حذف پیکربندی های ناامن، افزایش کنترل دسترسی و ایمن سازی هویت‌ها و سرویس های حیاتی AD انجام میشود.

Active Directory بزرگ ترین منبع هویت در شبکه های سازمانی است و هرگونه ضعف در آن میتواند منجر به حملات بزرگی مانند Pass-the-Hash، Pass-the-Ticket، Golden Ticket، Kerberoasting یا Privilege Escalation شود.

هاردنینگ AD دقیقاً برای جلوگیری از چنین سناریوهایی طراحی میشود.

در بسیاری از سازمان‌ها، پیاده سازی اصولی هاردنینگ Active Directory نیازمند دانش تخصصی، تجربه عملی و شناخت دقیق معماری امنیتی مایکروسافت است. از طراحی Tiering Model گرفته تا اعمال اصل Least Privilege، مانیتورینگ رویدادهای امنیتی و اجرای سیاست های Zero Trust، همه این موارد باید به صورت ساختاریافته و مرحله به مرحله انجام شوند. به همین دلیل، اجرای این فرآیندها معمولاً در قالب خدمات اکتیو شبکه ارائه میشود تا اطمینان حاصل شود که دامین سازمان در برابر تهدیدات داخلی و خارجی مقاوم سازی شده و استانداردهای امنیتی به درستی پیاده سازی شده‌اند.

تعریف Security Hardening

Security Hardening یا سخت سازی امنیتی، فرآیندی سیستماتیک است که با هدف کاهش ریسک و افزایش مقاومت زیرساخت در برابر حملات انجام میشود. این مفهوم فقط مربوط به Active Directory نیست، اما در AD اهمیت آن بسیار بالاتر است.

معنی Hardening در عمل:

• حذف پیکربندی های ناامن
• غیرفعال سازی سرویس های غیرضروری
• محدود کردن دسترسی‌ها بر اساس اصل Least Privilege
• کنترل و امن سازی حساب های دارای سطح دسترسی بالا
• تقویت پروتکل های احراز هویت
• فعال سازی تنظیمات امنیتی مایکروسافت و Best Practiceها

به زبان ساده:

Hardening یعنی «بستن راه های بی مورد» و «حذف نقاط ضعف» قبل از آنکه مهاجم بتواند از آنها استفاده کند.

هدف از هاردنینگ AD

هاردنینگ Active Directory با چند هدف کاملاً مشخص انجام میشود. دلیل اینکه سازمان‌ها روی سخت سازی AD سرمایه گذاری میکنند، حفاظت از مهم ترین دارایی شبکه: هویت است.

اهداف اصلی هاردنینگ AD:

• کاهش احتمال نفوذ مهاجم به Domain یا Domain Controller

با کاهش سطح حمله، مهاجم فرصت های کمتری برای حرکت جانبی خواهد داشت.

• جلوگیری از سرقت هویت

حملاتی مثل Pass-the-Hash، Kerberoasting و NTLM Relay عمدتاً ناشی از پیکربندی های ضعیف هستند.

• محافظت از حساب های با دسترسی بالا

حساب هایی مانند Domain Admin و Enterprise Admin مهم ترین اهداف مهاجم هستند.

• ایمن سازی سرویس های حیاتی AD (Kerberos، LDAP، NTLM)

بسیاری از حملات از نقص های پیکربندی در همین سرویس‌ها سوءاستفاده میکنند.

• جلوگیری از حملاتی که کل شبکه را درگیر میکنند

مثل:

1. • حملات Golden Ticket
   • ربودن کنترل DC
   • پخش گسترده باج افزار
2. ایجاد معماری امنیتی مبتنی بر کنترل و محدودیت

Hardening زمینه ساز اجرای Zero Trust و سیاست های Least Privilege است.

نتیجه: هدف نهایی هاردنینگ AD حفظ کنترل کامل بر هویت‌ها و جلوگیری از کنترل شبکه توسط مهاجم است.

تفاوت Hardening با Monitoring و Testing

بسیاری از تیم ها مفاهیم Hardening، Monitoring و Security Testing را با یکدیگر اشتباه میگیرند، در حالی که این سه مورد کاملاً متفاوت اما مکمل هم هستند.

1. Hardening

فرآیند پیشگیرانه برای حذف نقاط ضعف و کاهش سطح حمله.

مثال ها:

• غیرفعال سازی NTLM
• محدود کردن زمان اعتبار Kerberos Ticket
• امن سازی حساب های Service Account
• کنترل دسترسی Local Admin ها

Hardening یعنی «ایجاد امنیت قبل از حمله».

2. Monitoring

فرآیند در لحظه (Real-Time) برای شناسایی فعالیت های غیرعادی یا مشکوک.

مثال ها:

• مانیتورینگ لاگ های Kerberos
• تشخیص رفتارهای Lateral Movement
• هشدار برای ایجاد ناگهانی یک Domain Admin
• تشخیص Pass-the-Hash یا Ticket Manipulation

Monitoring یعنی «دیدن تهدید».

3. Security Testing

فرآیند تحلیل، ارزیابی و تست امنیت شامل:

• Penetration Testing
• Red Team / Blue Team
• ارزیابی آسیب پذیری ها
• تست مقاومت در برابر حملات AD

Security Testing یعنی «بررسی اینکه آیا هاردنینگ مؤثر بوده است یا نه».

خلاصه تفاوت ها:

• Hardening = پیشگیری
• Monitoring = شناسایی
• Testing = ارزیابی

هر سه باید در کنار هم باشند تا امنیت AD کامل شود.

 نقش Zero Trust در هاردنینگ AD

معماری Zero Trust یکی از اصول بنیادی امنیت مدرن است و بخش مهمی از سخت سازی AD را تشکیل میدهد.

اصل کلیدی Zero Trust:

«به هیچ چیز به طور پیش فرض اعتماد نکن؛ حتی اگر داخل شبکه باشد.»

در Active Directory، Zero Trust کمک میکند:

• کنترل دسترسی دقیق تر و مبتنی بر شرایط تعریف شود
• خطر سوءاستفاده مهاجم از مسیرهای داخلی کاهش یابد
• حرکت جانبی مهاجم تقریباً غیرممکن شود

نقش های Zero Trust در هاردنینگ AD:

احراز هویت چندمرحله‌ای (MFA) برای ادمین ها

MFA یکی از اولین اقدامات Zero Trust و مهم ترین بخش هاردنینگ است.

تفکیک نقش ها و دسترسی ها (RBAC)

Zero Trust اجازه استفاده از دسترسی های گسترده را نمیدهد.

Just-In-Time Access (JIT)

دسترسی ادمین ها تنها هنگام نیاز فعال شده و سپس به طور خودکار غیرفعال میشود.

Just-Enough-Access (JEA)

هیچ حسابی بیشتر از حد نیاز امتیاز ندارد.

محافظت از مسیرهای مدیریتی (Secure Admin Workstations – SAW)

ایستگاه های کاری جداگانه برای مدیریت DC، یکی از اصول Zero Trust است.

تقویت کنترل های احراز هویت Kerberos

Zero Trust به کاهش سوءاستفاده از Golden Ticket یا Silver Ticket کمک میکند.

محدودسازی ارتباطات East-West در شبکه

مهاجم نمیتواند آزادانه بین سیستم ها حرکت کند.

نتیجه:

Zero Trust یک بخش حیاتی از استراتژی هاردنینگ AD است و بدون آن امنیت AD ناقص می ماند.

حملات رایج به اکتیو دایرکتوری

Active Directory یکی از مهم ترین اهداف مهاجمان در شبکه های سازمانی است، زیرا کنترل آن به معنای کنترل کل زیرساخت IT است. بسیاری از حملات پیشرفته سایبری دقیقاً با هدف دستیابی به دسترسی مدیریتی در AD و سپس انجام حرکت جانبی (Lateral Movement) در شبکه طراحی میشوند.

در این نوع حملات، مهاجم معمولاً ابتدا یک سیستم معمولی در شبکه را آلوده میکند و سپس با سوءاستفاده از ضعف های احراز هویت، مدیریت Credential ها یا پیکربندی های ضعیف، به سمت حساب های دارای دسترسی بالا حرکت میکند.

برخی از رایج ترین حملات علیه اکتیو دایرکتوری شامل Pass-the-Hash، Pass-the-Ticket، Kerberoasting، Golden Ticket و Silver Ticket هستند که تقریباً در اکثر سناریوهای نفوذ پیشرفته مشاهده میشوند.

 Pass-the-Hash Attack

Pass-the-Hash یکی از شناخته شده ترین تکنیک های سرقت هویت در شبکه های مبتنی بر ویندوز است. در این حمله، مهاجم به جای سرقت رمز عبور واقعی کاربر، هش (Hash) رمز عبور را به دست می آورد و از همان Hash برای احراز هویت در سیستم های دیگر استفاده میکند.

در سیستم های ویندوز، هنگام ورود کاربر، رمز عبور به یک مقدار هش تبدیل میشود و این مقدار در حافظه سیستم یا در پایگاه داده های امنیتی ذخیره میشود. ابزارهای مختلفی مانند Mimikatz میتوانند این هش ها را استخراج کنند.

نحوه اجرای حمله Pass-the-Hash

مراحل معمول این حمله به شکل زیر است:

• مهاجم ابتدا به یک سیستم در شبکه دسترسی پیدا میکند.
• سپس Hash رمز عبور کاربران وارد شده به آن سیستم را استخراج میکند.
• با استفاده از این Hash، تلاش میکند به سیستم های دیگر در شبکه احراز هویت انجام دهد.
• اگر Hash مربوط به یک حساب با دسترسی بالا باشد، مهاجم میتواند کنترل گسترده‌ای روی شبکه به دست آورد.

نکته مهم این است که در این روش نیازی به دانستن رمز عبور واقعی نیست؛ Hash به تنهایی برای احراز هویت کافی است.

چرا این حمله خطرناک است؟

Pass-the-Hash به مهاجم اجازه میدهد:

• بدون دانستن رمز عبور واقعی وارد سیستم ها شود
• در شبکه حرکت جانبی انجام دهد
• به سرورهای مهم یا Domain Controller نزدیک شود
• در نهایت به دسترسی Domain Admin برسد

به همین دلیل، یکی از اهداف اصلی در هاردنینگ اکتیو دایرکتوری کاهش امکان سوءاستفاده از Credential ها و جلوگیری از ذخیره ناامن آنها در سیستم ها است.

 Pass-the-Ticket و Kerberoasting

در شبکه هایی که از Kerberos برای احراز هویت استفاده میکنند، مهاجمان به جای Hash رمز عبور، ممکن است از Ticket های Kerberos سوءاستفاده کنند. دو حمله رایج در این زمینه Pass-the-Ticket و Kerberoasting هستند.

Pass-the-Ticket Attack

در این حمله، مهاجم یک Kerberos Ticket معتبر را سرقت میکند و از آن برای احراز هویت در سرویس های دیگر استفاده میکند.

Kerberos برای جلوگیری از ارسال مداوم رمز عبور، از Ticket ها استفاده میکند. اگر مهاجم بتواند این Ticket ها را از حافظه سیستم استخراج کند، میتواند با همان Ticket به سرویس های دیگر دسترسی پیدا کند.

مراحل کلی این حمله:

• استخراج Kerberos Ticket از حافظه سیستم
• استفاده مجدد از Ticket در سیستم یا سرویس دیگر
• دسترسی به منابع بدون نیاز به رمز عبور

این حمله نیز اغلب با ابزارهایی مانند Mimikatz انجام میشود.

Kerberoasting

Kerberoasting نوعی حمله است که حساب های Service Account را هدف قرار میدهد.

در Kerberos، سرویس ها دارای یک Service Principal Name (SPN) هستند و Ticketهای مربوط به آنها با کلید حساب سرویس رمزگذاری میشوند. مهاجم میتواند این Ticket ها را درخواست کرده و سپس آنها را به صورت آفلاین کرک کند.

فرآیند Kerberoasting معمولاً شامل مراحل زیر است:

• شناسایی Service Account ها در Active Directory
• درخواست Service Ticket برای آن سرویس ها
• استخراج Ticket های دریافت شده
• انجام حمله brute force یا cracking برای کشف رمز عبور

اگر رمز عبور حساب سرویس ضعیف باشد، مهاجم میتواند به آن دسترسی پیدا کند و از آن برای دسترسی بیشتر در شبکه استفاده کند.

 Golden Ticket و Silver Ticket

Golden Ticket و Silver Ticket از پیشرفته ترین حملات علیه Kerberos و Active Directory هستند و معمولاً در مراحل پایانی نفوذ به شبکه انجام میشوند.

Golden Ticket Attack

در حمله Golden Ticket، مهاجم یک Kerberos Ticket Granting Ticket (TGT) جعلی ایجاد میکند که توسط Domain Controller معتبر شناخته میشود.

برای انجام این حمله، مهاجم باید به کلید حساب KRBTGT دسترسی پیدا کند. این حساب در Active Directory مسئول امضای تمام Ticket های Kerberos است.

اگر مهاجم کلید KRBTGT را به دست آورد، میتواند:

• Ticket های Kerberos جعلی ایجاد کند
• خود را به عنوان هر کاربری معرفی کند
• حتی دسترسی Domain Admin ایجاد کند
• بدون نیاز به احراز هویت واقعی به منابع شبکه دسترسی پیدا کند

این نوع دسترسی میتواند مدت طولانی در شبکه باقی بماند و تشخیص آن بسیار دشوار است.

Silver Ticket Attack

Silver Ticket مشابه Golden Ticket است، اما دامنه آن محدودتر است.

در این حمله، مهاجم Ticket جعلی برای یک سرویس خاص ایجاد میکند، نه کل دامین. برای این کار فقط نیاز به Hash حساب سرویس مربوطه دارد.

ویژگی های Silver Ticket:

• نیاز به دسترسی به Domain Controller ندارد
• فقط یک سرویس خاص را هدف میگیرد
• معمولاً تشخیص آن دشوار است زیرا DC در فرآیند اعتبارسنجی دخالت مستقیم ندارد

مهاجم با استفاده از Silver Ticket میتواند به سرویس هایی مانند:

• فایل سرورها
• دیتابیس ها
• سرویس های سازمانی

دسترسی پیدا کند.

 حمله DCSync

حمله DCSync یکی از خطرناک ترین و پیشرفته ترین تکنیک های سرقت هویت در Active Directory است که توسط مهاجمان حرفه‌ای (APT، Red Team، باج افزارهای سازمانی) استفاده میشود. در این حمله، مهاجم بدون نیاز به داشتن دسترسی مستقیم به Domain Controller، عملکرد یک DC واقعی را شبیه سازی میکند و از این طریق اطلاعات حساس کاربران و حتی کلیدهای Kerberos را دریافت میکند.

DCSync چگونه کار می‌کند؟

مایکروسافت برای همگام سازی پایگاه داده اکتیو دایرکتوری بین Domain Controller ها، از پروتکل Directory Replication Service (DRS) استفاده میکند. حساب های دارای دسترسی بالا مثل:

• Domain Admin
• Enterprise Admin
• و حتی حساب KRBTGT

میتوانند داده های Credential کاربران (Hash رمزها) را از یک DC درخواست کنند.

در حمله DCSync، مهاجم:

• به یک حساب با دسترسی بالا نفوذ میکند
• خود را به عنوان یک Domain Controller معرفی میکند
• از طریق پروتکل DRS، Hash رمز عبور تمامی کاربران را درخواست میکند

ابزاری مانند Mimikatz میتواند در چند ثانیه Hash حساب های حیاتی مانند:

• Domain Admin
• KRBTGT
• Service Accounts
• حساب های سیستمی

را سرقت کند.

چرا DCSync بسیار خطرناک است؟

DCSync یکی از معدود حملاتی است که:

• نیازی به دسترسی فیزیکی یا ریموت به DC ندارد
• Hash تمام حساب ها را یکجا دریافت میکند
• امکان ساخت Golden Ticket را فراهم میکند
• شناسایی آن بسیار دشوار است
• مهاجم پس از یک بار موفقیت، میتواند برای مدت طولانی دسترسی پنهان نگه دارد

به همین دلیل DCSync یک تهدید سطح بالا محسوب میشود و در بسیاری از حملات واقعی دیده شده است.

 Lateral Movement و Privilege Escalation

بعد از اولین نفوذ (Initial Access)، مهاجم معمولاً در همان نقطه باقی نمی ماند. دو هدف اصلی او عبارتند از:

• Lateral Movement → حرکت جانبی در شبکه
• Privilege Escalation → افزایش سطح دسترسی تا سطح Domain Admin

این دو مرحله مسیر رسیدن مهاجم به کنترل اکتیو دایرکتوری را هموار میکنند.

Lateral Movement چیست؟

Lateral Movement یعنی حرکت مهاجم از یک سیستم به سیستم های دیگر با استفاده از Credential ها، Session ها یا پیکربندی های ناامن. معمولاً مهاجم از تکنیک هایی مانند:

• Pass-the-Hash
• Pass-the-Ticket
• Remote Service Execution
• استفاده از PowerShell Remoting
• SMB Session Hijacking
• سوءاستفاده از Local Admin های مشترک

استفاده میکند تا به سیستم های نزدیک به DC برسد.

چرا این مهم است؟

چون معمولاً حساب هایی با دسترسی بالا (مثل Domain Admin) روی تمام سیستم ها فعال هستند و فقط یافتن یک سیستم با Session فعال کافی است.

Privilege Escalation چیست؟

Privilege Escalation یعنی افزایش سطح دسترسی مهاجم از یک کاربر معمولی به یک حساب حیاتی.

راه های رایج افزایش سطح دسترسی:

• سرقت Hash حساب های مدیران
• سوءاستفاده از Service Account های با رمز ضعیف
• کرک کردن Ticket های Kerberos (Kerberoasting)
• سوءاستفاده از Misconfiguration در GPO ها
• خارج کردن رمزهای ذخیره شده در حافظه سیستم
• بهره گیری از آسیب پذیری های ویندوز (Local Privilege Escalation)

هنگامی که Privilege Escalation موفق شود، مهاجم میتواند:

• به سرورهای حیاتی متصل شود
• به Domain Controller نزدیک شود
• دسترسی کامل شبکه را در اختیار بگیرد

ارتباط Lateral Movement و Privilege Escalation

در یک حمله واقعی:

1. ابتدا مهاجم به یک سیستم معمولی دسترسی پیدا میکند
2. سپس حرکت جانبی انجام میدهد تا به سیستم حاوی Credential بهتر برسد
3. با Privilege Escalation سطح دسترسی خود را افزایش میدهد
4. دوباره حرکت جانبی انجام میدهد……
5. تا زمانی که به Domain Admin برسد

این چرخه ادامه پیدا میکند تا مهاجم کنترل کامل AD را به دست بگیرد.

حملات Brute Force روی حساب ها

حملات Brute Force یکی از روش های کلاسیک اما همچنان رایج برای نفوذ به Active Directory هستند. در این روش، مهاجم تلاش میکند با تست تعداد زیادی رمز عبور، به رمز صحیح یک حساب دسترسی پیدا کند.

این نوع حمله در محیط های سازمانی که رمزهای ضعیف، تکراری یا بدون محدودیت قفل شدن حساب دارند، بسیار موفق است.

انواع حملات Brute Force در AD

1. Online Brute Force

مهاجم مستقیم به سرویس های احراز هویت مانند:

1. • LDAP
   • Kerberos
   • RDP
   • SMB

درخواست های ورود متعدد ارسال میکند.

1. Password Spraying

استفاده از چند رمز عبور رایج برای تمام کاربران.

این روش برای جلوگیری از قفل شدن حساب ها بسیار مؤثر است.

1. Credential Stuffing

استفاده از رمزهای افشا شده کاربران در وب سایت ها یا سرویس های دیگر، روی حساب های AD.

1. AS-REP Roasting (نوع غیرتعاملی Brute Force)

در این روش، مهاجم Ticketهای Kerberos مربوط به حساب هایی که pre-authentication ندارند را درخواست کرده و به صورت آفلاین کرک میکند.

1. Dictionary Attack

استفاده از لیست های رمز عبور رایج یا مرتبط با سازمان.

چرا Brute Force در AD موفق است؟

• ضعف سیاست های Password Policy
• وجود حساب های Legacy با رمزهای بسیار ساده
• استفاده از رمزهای تکراری توسط کارمندان
• فعال نبودن Account Lockout Policy
• وجود سرویس هایی که به طور مداوم رمز ضعیف دارند (مثل Service Account ها)

پیامدهای موفقیت Brute Force

اگر مهاجم موفق به یافتن رمز یک حساب شود، بسته به نقش آن حساب میتواند:

• به منابع داخلی دسترسی پیدا کند
• از آن حساب برای Lateral Movement استفاده کند
• مجوزهای بیشتر را با Privilege Escalation به دست آورد
• در نهایت به Domain Admin برسد

به همین دلیل سخت سازی رمزها و MFA یکی از پایه های اصلی هاردنینگ Active Directory است.

 مهم ترین اقدامات برای هاردنینگ اکتیو دایرکتوری

هاردنینگ اکتیو دایرکتوری مجموعه‌ای از اقدامات پیشگیرانه و عملیاتی است که با هدف کاهش سطح حمله، ایمن سازی هویت ها، کنترل دسترسی ها و محافظت از Domain Controller انجام میشود. بخش زیادی از حملات سایبری پیشرفته مانند Pass-the-Hash، Golden Ticket، Kerberoasting، DCSync، Lateral Movement و Privilege Escalation تنها زمانی امکان پذیر هستند که پیکربندی AD و DC ضعیف باشد.

بنابراین سخت سازی AD مهم ترین اقدام برای جلوگیری از دسترسی مهاجم به منابع حیاتی شبکه است.

اقداماتی که در ادامه معرفی میشوند، جزو اصلی ترین Best Practice های امنیتی مایکروسافت، CIS Benchmarks، NIST و راهنمای Microsoft Defender for Identity برای ایمن سازی AD هستند.

 ایمن سازی Domain Controller

Domain Controller حیاتی ترین جزء اکتیو دایرکتوری است. کنترل شدن حتی یک DC توسط مهاجم به معنای کنترل کامل شبکه است. به همین دلیل DC باید از نظر امنیتی در سطحی بسیار بالاتر از سایر سرورها و کلاینت ها قرار بگیرد.

1. جداسازی کامل DC از شبکه کاربری

Domain Controller نباید با شبکه کاربران معمولی در یک VLAN باشد.

اقدامات لازم:

• قرار دادن DC در VLAN یا Subnet مخصوص
• محدودسازی ترافیک ورودی/خروجی با Firewall
• جلوگیری از دسترسی مستقیم کاربران معمولی

این کار از حملات Lateral Movement به سمت DC جلوگیری میکند.

2. نصب حداقل سرویس ها (Server Role Minimization)

فقط نقش های Active Directory Domain Services نصب شود.

نباید موارد زیر روی DC نصب شوند:

• IIS
• SQL Server
• ابزارهای توسعه
• برنامه های third-party غیرضروری

هر سرویس اضافی یک سطح حمله جدید ایجاد میکند.

3. غیرفعال سازی Remote Desktop برای همه کاربران غیرادمین

تنها حساب های مدیریتی مخصوص DC باید بتوانند با DC ارتباط Remote برقرار کنند.

4. فعال سازی Patch Management و آپدیت های امنیتی

DC باید همیشه آخرین پچ های امنیتی مربوط به:

• ویندوز سرور
• Kerberos
• LDAP
• Netlogon
• SAM

را دریافت کند.

آسیب پذیری های مهمی مثل ZeroLogon، PrintNightmare و PetitPotam دقیقاً از همین مسیرها اجرا شدند.

5. ایمن سازی پروتکل های احراز هویت

• غیرفعال سازی NTLM در حد امکان
• فعال سازی LDAP Signing و LDAP Channel Binding
• تقویت Ticket Policyهای Kerberos
• کوتاه کردن Lifetime Ticket ها

این اقدامات احتمال موفقیت Pass‑the‑Hash، Pass‑the‑Ticket و حملات Kerberos را کاهش میدهد.

6. محافظت از حساب KRBTGT

KRBTGT کلید اصلی تولید Ticket های Kerberos است.

اقدامات ضروری:

• تغییر رمز KRBTGT حداقل دو بار در سال
• عدم استفاده از این حساب برای Login
• مانیتورینگ هرگونه رفتار مشکوک

این کار از Golden Ticket جلوگیری میکند.

محدودسازی دسترسی ادمین ها (Least Privilege)

یکی از مهم ترین اصول در امنیت AD، اجرای مدل Least Privilege Access است؛ یعنی هیچ کاربری بیش از حد نیاز دسترسی نداشته باشد. بسیاری از حملات مانند DCSync، Privilege Escalation، Golden Ticket و Lateral Movement به دلیل وجود سطح دسترسی های بیش از حد انجام میشوند.

1. حذف عضویت های غیرضروری از گروه های حساس

گروه های حساس شامل:

• Domain Admins
• Enterprise Admins
• Schema Admins
• Administrators
• Account Operators

باید فقط تعداد بسیار محدودی از کاربران در این گروه ها باشند.

2. ممنوعیت Login کاربران ادمین روی کلاینت ها

اگر یک Domain Admin روی یک سیستم معمولی Login کند، مهاجم با Mimikatz میتواند Hash او را سرقت کند.

راه حل:

• ایجاد Admin Tiering
• استفاده از Workstation های مدیریتی جداگانه (PAW)
• محدودسازی Logon با GPO

3. استفاده از Role-Based Access Control (RBAC)

هر نقش ادمین باید وظیفه مشخص داشته باشد:

• Helpdesk Admin
• Server Admin
• AD Admin
• Backup Admin

تفکیک نقش ها مهاجم را از رسیدن به دسترسی Domain Admin دور میکند.

4. اجرای Just-In-Time Access (JIT)

در این روش دسترسی ادمین ها دائمی نیست و فقط هنگام اجرای کارهایی مانند:

• مدیریت GPO
• تغییرات حساس
• Backup/Restore

فعال میشود.

این کار احتمال سوءاستفاده از حساب های دارای دسترسی بالا را نزدیک به صفر میکند.

5. بررسی دوره‌ای مجوزها

حداقل هر سه ماه باید:

• گروه های حساس بررسی شوند
• عضویت های غیرضروری حذف شوند
• دسترسی های سرویس ها بازبینی شوند

این کار جلوی Privilege Bloat (انباشته شدن دسترسی ها) را میگیرد.

 استفاده از Protected Users و PAW

مایکروسافت دو قابلیت بسیار مهم برای ایمن سازی حساب های دارای امتیاز بالا ارائه کرده است:

Protected Users Group و Privileged Access Workstations (PAW)

که هر دو بخش ضروری هاردنینگ اکتیو دایرکتوری هستند.

Protected Users چیست؟

گروه Protected Users یک قابلیت امنیتی در AD است که حساب های حساس را در برابر حملاتی مانند:

• Pass-the-Hash
• Pass-the-Ticket
• Kerberoasting
• Credential Theft
• Replay Attack

محافظت میکند.

زمانی که یک حساب در این گروه قرار میگیرد:

• Hash رمز در سیستم ذخیره نمیشود
• NTLM برای آن حساب غیرفعال میشود
• Ticket های Kerberos عمر کوتاه تری پیدا میکنند
• Cache Credential ها حذف میشوند
• احراز هویت فقط با روش های امن ممکن میشود

این ویژگی مخصوصاً برای حساب های:

• Domain Admin
• Enterprise Admin
• Service Accounts حساس

مناسب است.

PAW چیست؟

Privileged Access Workstation (PAW) یک ایستگاه کاری کاملاً ایزوله و امن است که فقط برای کارهای مدیریتی استفاده میشود. PAW یکی از ستون های اصلی مدل Zero Trust و Tiered Administration است.

ویژگی های PAW:

• جدا از شبکه کاربران
• عدم امکان دسترسی به اینترنت
• فاقد نرم افزارهای غیرضروری
• دارای فایروال سختگیرانه
• دارای دیسک رمزگذاری شده
• فقط برای مدیریت DC، سرورها و AD استفاده میشود

چرا PAW ضروری است؟

اگر حساب Domain Admin روی یک سیستم معمولی Login شود، مهاجم با سرقت Session یا Hash میتواند به کل شبکه دسترسی پیدا کند.

PAW این خطر را حذف میکند زیرا:

• هیچ بدافزار معمولی به PAW دسترسی ندارد
• PAW در دسترس کاربران معمولی یا شبکه عمومی نیست
• Credential های ادمین فقط در محیط امن استفاده میشود

ترکیب Protected Users و PAW

وقتی این دو تکنولوژی با هم استفاده شوند:

• حساب ادمین امن میشود
• محل استفاده از حساب نیز امن میشود

در نتیجه مهاجم حتی اگر به شبکه نفوذ کند، نمیتواند به حساب های دارای دسترسی بالا آسیب بزند.

تقویت Password Policy و Account Lockout Policy

رمز عبور همچنان یکی از رایج ترین و آسیب پذیرترین نقاط حمله در اکتیو دایرکتوری است. حملاتی مثل:

• Brute Force
• Password Spraying
• Credential Stuffing
• Kerberoasting
• AS-REP Roasting

همگی زمانی مؤثر میشوند که Password Policy ضعیف باشد.

به همین دلیل سخت سازی سیاست های رمز عبور یکی از پایه های اصلی هاردنینگ AD است.

1. تنظیم Password Policy قوی در سطح دامین

مهم ترین توصیه های امنیتی:

• حداقل طول رمز: حداقل 14 کاراکتر (مایکروسافت: 16+ پیشنهاد میدهد)
• ترکیب اجباری حروف بزرگ، کوچک، عدد و نماد
• ممنوعیت استفاده مجدد از آخرین 24 رمز (Password History)
• انقضای رمز هر 90 روز (یا حذف انقضا برای رمزهای بسیار طولانی + MFA)

این تنظیمات جلوی اغلب حملات مبتنی بر کرک رمز عبور را میگیرد.

2. استفاده از Fine-Grained Password Policy (FGPP)

FGPP اجازه میدهد برای گروه های مختلف، سیاست های متفاوت تعیین کنید.

مثلاً:

• Service Account ها → رمز طولانی تر، بدون انقضا
• Domain Admin ها → رمز پیچیده تر + MFA
• کاربران معمولی → سیاست استاندارد

این کار انعطاف پذیری امنیت را افزایش میدهد.

3. تقویت Account Lockout Policy برای مقابله با Brute Force

تنظیمات پیشنهادی:

• Account Lockout Threshold: 10 تلاش ناموفق
• Lockout Duration: 15 دقیقه
• Reset Account Lockout Counter: 10 دقیقه

این مقادیر تعادل بین امنیت و جلوگیری از قفل شدن مداوم کاربران را ایجاد میکند.

4. جلوگیری از حملات Password Spraying

اقدامات لازم:

• فعال سازی Smart Lockout در Azure/Hybrid
• نظارت روی Event های Kerberos/LDAP
• استفاده از ابزارهای Identity Protection

Password Spraying یکی از رایج ترین حملات اولیه برای نفوذ به شبکه سازمانی است.

5. استفاده از Password Filter های سفارشی

Password Filter ها میتوانند مانع استفاده کاربران از:

• رمزهای متداول
• رمزهای ضعیف
• اطلاعات شخصی

شوند و از حملات کرک آفلاین جلوگیری کنند.

فعال سازی MFA و حذف NTLM

NTLM یکی از قدیمی ترین پروتکل های احراز هویت مایکروسافت است و ده ها نوع حمله مثل:

• Pass-the-Hash
• Relay Attack
• SMB Relay
• NTLM Replay

به دلیل وجود همین پروتکل قابل اجرا هستند.

در مسیر هاردنینگ AD، حذف NTLM و جایگزینی آن با Kerberos + MFA یک حرکت ضروری است.

1. فعال سازی MFA برای حساب های حساس

مایکروسافت توصیه میکند MFA برای تمام حساب های زیر اجباری باشد:

• Domain Admin
• Enterprise Admin
• Schema Admin
• Server Admin
• Service Desk Admin
• حساب های VPN و RDP
• همه دسترسی های Remote

مزایای MFA:

• جلوگیری از سوءاستفاده از رمزهای دزدیده شده
• ناکارآمد کردن حملات Brute Force و Password Spraying
• کاهش شدید Privilege Escalation

MFA باید روی موارد زیر فعال شود:

• RDP
• VPN
• Cloud Apps (در محیط های Hybrid)
• PowerShell Remoting
• Admin Tools

2. مرحله بندی حذف NTLM (NTLM Hardening)

حذف کامل NTLM باید به صورت تدریجی و کنترل شده انجام شود:

مرحله 1: شناسایی استفاده از NTLM

فعال سازی Audit NTLM در GPO

مسیر:

Security Settings → Local Policies → Security Options

مرحله 2: رفع مشکلات و سرویس های وابسته

برخی سرویس های قدیمی هنوز NTLM استفاده میکنند؛ باید:

• به Kerberos ارتقا یابند
• یا سرویس Legacy حذف شود

مرحله 3: مسدودسازی NTLM

NTLM باید در سطوح زیر غیرفعال شود:

• Domain Controller
• Clients
• SMB
• LDAP Bind
• RDP

مرحله 4: اجباری کردن Kerberos

در نهایت Authenticator اصلی باید Kerberos باشد.

3. تقویت Kerberos پس از حذف NTLM

برای جلوگیری از حملاتی مثل Pass-the-Ticket و Kerberoasting:

• کاهش Lifetime Ticket
• فعال سازی FAST (Kerberos Armoring)
• محدودسازی Service Account ها با SPN های امن
• محافظت از KRBTGT

ایمن سازی Group Policy Objects (GPO Hardening)

Group Policy یکی از مهم ترین ابزارهای مدیریت امنیت ویندوز و AD است.

اما اگر به درستی ایمن نشود، مهاجم با دستکاری GPO میتواند:

• نرم افزارهای مخرب نصب کند
• سیاست های امنیتی را تغییر دهد
• حساب های جدید بسازد
• دسترسی خود را دائمی کند

به همین دلیل GPO یکی از اهداف رایج حملات Privilege Escalation است.

1. محدودسازی دسترسی به GPMC و ویرایش GPO

فقط نقش های مشخص باید بتوانند:

• GPO ایجاد کنند
• GPO ویرایش کنند
• GPO حذف کنند

گروه های مجاز:

• Domain Admins
• Group Policy Creator Owners
• Dedicated GPO Admin Group

دسترسی های اضافی باید حذف شوند.

2. فعال سازی Security Filtering روی هر GPO

هر GPO باید فقط روی گروه ها و OU هایی اعمال شود که واقعاً نیاز دارند.

اشتباه رایج:

“Apply to Authenticated Users”

باید حذف شود تا مهاجم نتواند با یک حساب معمولی GPO های حساس را تحت تأثیر قرار دهد.

3. فعال سازی GPO Signing و بهبود امنیت Sysvol

Sysvol شامل:

• فایل های پالیسی
• اسکریپت ها
• Startup/Shutdown Scripts

است. مهاجم با دستکاری Sysvol می تواند GPO را آلوده کند.

اقدامات ضروری:

• NTFS Permission سخت گیرانه روی Sysvol
• Audit تغییرات Sysvol
• جلوگیری از ویرایش مستقیم فایل های GPO
• ذخیره سازی نسخه پشتیبان GPO

4. محافظت از GPO های امنیتی (Security Baselines)

GPO های زیر حیاتی‌اند و باید محکم سازی شوند:

• Password Policy
• Account Lockout Policy
• Kerberos Policy
• Windows Defender Policies
• Firewall Rules
• Restricted Groups
• User Rights Assignment

این GPO ها نباید توسط هیچ حساب غیرادمینی قابل ویرایش باشند.

5. جلوگیری از حملات GPO Abuse (مثل SharpGPOAbuse)

ابزارهایی مثل SharpGPOAbuse و PowerView به مهاجم امکان:

• ایجاد Scheduled Task
• اجرای اسکریپت مخرب
• فعال کردن Persistence
• ایجاد Local Admin جدید

را میدهند.

راه حل ها:

• حذف دسترسی “Write” از تمام کاربران غیرادمین
• محافظت از OU های حساس
• فعال سازی Advanced Auditing
• استفاده از Defender for Identity برای شناسایی دستکاری GPO

6. نسخه برداری منظم از GPO ها

مایکروسافت توصیه میکند:

• هر 30 روز Backup از همه GPO ها تهیه شود
• نسخه BaseLine جدا نگه داشته شود
• مقایسه GPO ها با ADMX Template ها انجام شود

ابزارهای کمکی:

• PowerShell GPO Module
• LGPO.exe
• AGPM (Advanced Group Policy Management)

AGPM بهترین ابزار مایکروسافت برای کنترل تغییرات (Change Control) است.

 پیاده سازی Security Baseline مایکروسافت

Microsoft Security Baseline مجموعه‌ای از تنظیمات امنیتی استاندارد است که توسط مایکروسافت برای کاهش سطح حمله (Attack Surface Reduction) و ایمن سازی سیستم های ویندوزی و Active Directory ارائه شده است. این Baseline ها بر اساس تجربیات امنیتی مایکروسافت، تحلیل تهدیدات واقعی و توصیه های سازمان هایی مانند CIS، NIST و NSA طراحی شده‌اند.

هدف اصلی Security Baseline این است که با اعمال مجموعه‌ای از Group Policy ها و تنظیمات امنیتی پیش فرض، از بروز بسیاری از آسیب پذیری های رایج در Domain Controller ها، سرورها و کلاینت ها جلوگیری شود.

مهم ترین اجزای Security Baseline

Baseline های مایکروسافت شامل تنظیمات متعددی در بخش های زیر هستند:

• Account Policies برای مدیریت رمز عبور و قفل شدن حساب ها
• Audit Policies برای ثبت فعالیت های امنیتی
• User Rights Assignment برای محدودسازی دسترسی های حساس
• Windows Defender Settings برای افزایش امنیت Endpoint
• Network Security Settings برای محافظت از ارتباطات شبکه
• Kerberos Policy برای تقویت احراز هویت در AD

اجرای این تنظیمات باعث می شود بسیاری از حملات شناخته شده مانند Credential Theft، Privilege Escalation و Lateral Movement به طور قابل توجهی سخت تر شوند.

نحوه پیاده سازی Security Baseline

برای پیاده سازی Security Baseline در اکتیو دایرکتوری معمولاً از ابزارهای زیر استفاده میشود:

• Microsoft Security Compliance Toolkit
• Group Policy Management Console (GPMC)
• Intune یا Endpoint Manager در محیط های Hybrid

در این فرآیند، تنظیمات Baseline به صورت GPO در Domain ایجاد شده و به OU های مورد نظر اعمال میشوند.

مزایای استفاده از Security Baseline

استفاده از Security Baseline چند مزیت کلیدی دارد:

• استانداردسازی تنظیمات امنیتی در کل سازمان
• کاهش خطا های پیکربندی (Misconfiguration)
• افزایش مقاومت شبکه در برابر حملات شناخته شده
• هم‌راستایی با چارچوب های امنیتی مانند Zero Trust

در بسیاری از سازمان های بزرگ، Security Baseline اولین گام در اجرای پروژه Active Directory Hardening محسوب می شود.

 فعال سازی Auditing و لاگ های امنیتی

یکی از مهم ترین اصول در امنیت سایبری این است که اگر فعالیتی ثبت نشود، عملاً قابل شناسایی نیست. به همین دلیل فعال سازی Auditing و ثبت لاگ های امنیتی در اکتیو دایرکتوری نقش بسیار مهمی در شناسایی حملات، بررسی رخدادها و تحلیل نفوذها دارد.

مهاجمان معمولاً پس از نفوذ به شبکه تلاش میکنند بدون جلب توجه حرکت کنند؛ این فرآیند با عنوان Lateral Movement شناخته میشود. لاگ های امنیتی به تیم امنیت کمک می کنند چنین رفتارهایی را شناسایی کنند.

مهم ترین لاگ های امنیتی در Active Directory

در Domain Controller ها باید لاگ های زیر فعال باشند:

• Logon Events برای ثبت ورود کاربران
• Account Management Events برای تغییرات حساب ها
• Directory Service Access برای دسترسی به اشیای AD
• Policy Change Events برای تغییرات امنیتی
• Privilege Use Events برای استفاده از دسترسی های خاص

این لاگ ها اطلاعات مهمی درباره فعالیت کاربران و ادمین ها فراهم میکنند.

فعال سازی Advanced Audit Policy

مایکروسافت توصیه میکند به جای Audit Policy قدیمی، از Advanced Audit Policy Configuration استفاده شود. این قابلیت امکان ثبت دقیق تر رویدادهای امنیتی را فراهم میکند.

برخی از مهم ترین Audit های پیشنهادی:

• Audit Kerberos Authentication Service
• Audit Kerberos Service Ticket Operations
• Audit Directory Service Changes
• Audit Logon and Logoff
• Audit Privilege Use

این تنظیمات از طریق Group Policy روی Domain Controller ها اعمال می شوند.

استفاده از SIEM برای تحلیل لاگ ها

حجم لاگ های امنیتی در شبکه های سازمانی بسیار زیاد است، بنابراین معمولاً این لاگ ها به سیستم های SIEM (Security Information and Event Management) ارسال میشوند.

نمونه ابزارهای رایج:

• Microsoft Sentinel
• Splunk
• QRadar
• Elastic SIEM

این ابزارها با تحلیل لاگ ها میتوانند فعالیت های مشکوکی مانند:

• تلاش های مکرر Login
• تغییرات غیرمجاز در گروه های ادمین
• اجرای ابزارهای هک
• دسترسی غیرعادی به Domain Controller

را شناسایی کنند.

حفاظت از Service Account ها

Service Account ها حساب هایی هستند که توسط سرویس ها، برنامه ها یا اسکریپت ها برای اجرای فرآین های خودکار در ویندوز و Active Directory استفاده میشوند. این حساب ها اغلب دسترسی های بالایی دارند و به همین دلیل یکی از اهداف اصلی مهاجمان محسوب میشوند.

حملاتی مانند Kerberoasting دقیقاً با سوءاستفاده از Service Account ها انجام میشوند.

خطرات امنیتی Service Account ها

بسیاری از سازمان ها Service Account ها را به صورت ناامن پیکربندی میکنند. مشکلات رایج شامل:

• رمزهای عبور بسیار قدیمی
• رمزهای ثابت و بدون انقضا
• دسترسی بیش از حد به منابع
• ذخیره شدن رمز در اسکریپت‌ ها

این موارد میتوانند باعث دسترسی مهاجم به سرویس های حیاتی شبکه شوند.

استفاده از Managed Service Account

مایکروسافت برای حل این مشکل نوع خاصی از حساب ها به نام Managed Service Account (MSA) و Group Managed Service Account (gMSA) معرفی کرده است.

مزایای gMSA:

• تغییر خودکار رمز عبور
• ذخیره امن Credential ها
• حذف نیاز به مدیریت دستی رمز
• کاهش خطر Credential Theft

به همین دلیل مایکروسافت توصیه میکند تا حد امکان از gMSA به جای Service Account های معمولی استفاده شود.

محدودسازی دسترسی Service Account

برای افزایش امنیت Service Account ها باید اصول زیر رعایت شود:

• اجرای اصل Least Privilege
• محدود کردن Logon Type
• حذف دسترسی Interactive Logon
• تعریف SPN های دقیق و کنترل شده

این اقدامات احتمال سوءاستفاده از این حساب ها را کاهش میدهد.

 کنترل دسترسی ها با ACL و RBAC

مدیریت صحیح دسترسی ها در اکتیو دایرکتوری نقش بسیار مهمی در جلوگیری از Privilege Escalation و سوءاستفاده از مجوزها دارد. اگر دسترسی ها به درستی مدیریت نشوند، حتی یک کاربر معمولی ممکن است بتواند به مرور زمان به دسترسی های مدیریتی برسد.

برای جلوگیری از چنین مشکلاتی، دو مفهوم کلیدی در امنیت AD استفاده میشود:

• Access Control Lists (ACL)
• Role-Based Access Control (RBAC)

Access Control List (ACL) در Active Directory

ACL مجموعه‌ای از مجوزها است که تعیین میکند چه کاربری یا گروهی چه عملیاتی را روی یک شیء در AD انجام دهد. این مجوزها شامل مواردی مانند:

• Read
• Write
• Modify
• Delete
• Full Control

میشوند.

در Active Directory تقریباً هر شیء (User، Group، OU، GPO) دارای ACL است. تنظیم صحیح این مجوزها از سوءاستفاده مهاجمان جلوگیری میکند.

خطرات پیکربندی اشتباه ACL

اگر ACL ها به درستی تنظیم نشوند، مهاجم ممکن است بتواند:

• عضویت خود را در گروه Domain Admin تغییر دهد
• رمز عبور کاربران دیگر را ریست کند
• اشیای مهم AD را تغییر دهد
• دسترسی های مدیریتی ایجاد کند

به همین دلیل بررسی دوره‌ای ACL ها بسیار ضروری است.

Role-Based Access Control (RBAC)

RBAC یک مدل مدیریتی است که در آن دسترسی ها بر اساس نقش های سازمانی تعریف میشوند. به جای دادن دسترسی مستقیم به کاربران، ابتدا نقش ها تعریف میشوند و سپس کاربران به این نقش ها اختصاص داده میشوند.

نمونه نقش ها در محیط AD:

• Helpdesk Administrator
• Server Administrator
• Security Administrator
• Backup Operator

این روش چند مزیت مهم دارد:

• مدیریت ساده تر دسترسی ها
• کاهش خطاهای انسانی
• اجرای مؤثر اصل Least Privilege

ترکیب ACL و RBAC در هاردنینگ AD

در یک ساختار امنیتی مناسب، ACL ها برای کنترل دقیق دسترسی ها و RBAC برای مدیریت نقش ها استفاده میشوند. ترکیب این دو رویکرد باعث میشود:

• دسترسی ها شفاف تر باشند
• تغییرات مدیریتی آسان تر انجام شوند
• احتمال Privilege Escalation کاهش پیدا کند

به همین دلیل کنترل دسترسی ها با ACL و RBAC یکی از اجزای کلیدی در Active Directory Hardening و Identity Security محسوب میشود.

 تنظیمات حیاتی برای کاهش Attack Surface

کاهش سطح حمله (Attack Surface Reduction) یکی از مهم ترین فازهای Active Directory Hardening است. در این مرحله هدف این است که سرویس ها، پروتکل ها، ابزارها و مسیرهایی که مهاجم میتواند از آنها برای ورود یا گسترش در شبکه استفاده کند، حداقل ممکن شوند.

در اکتیو دایرکتوری، مهاجمان معمولاً از مسیرهای زیر برای نفوذ استفاده میکنند:

• پروتکل های قدیمی مانند NTLMv1، SMBv1، LDAP بدون امضا
• سرویس های بلااستفاده روی Domain Controller
• اسکریپت های موجود در SYSVOL
• ضعف در PowerShell Remoting
• پیکربندی اشتباه DNS
• سوءاستفاده از Netlogon و RPC

هدف از این بخش، ایمن سازی این مسیرها و جلوگیری از حملاتی مثل:

• Lateral Movement
• Pass-the-Hash
• SMB Relay
• Kerberoasting
• ZeroLogon
• DCSync
• Credential Theft

است.

 SMB Signing و غیرفعال سازی پروتکل های قدیمی

SMB یکی از مهم ترین پروتکل های مورد استفاده در شبکه ویندوز است و بخش زیادی از ارتباطات Domain Controller و کلاینت ها از طریق SMB انجام میشود. همین موضوع SMB را به یکی از اصلی ترین اهداف حملات MITM مانند SMB Relay و NTLM Relay تبدیل کرده است.

1. فعال سازی SMB Signing

SMB Signing تضمین میکند که بسته های SMB دستکاری نشده و از منبع معتبر هستند. این قابلیت از حملاتی مثل Relay و MITM جلوگیری میکند.

تنظیمات پیشنهادی:

• Require SMB Signing on DCs → فعال
• Require SMB Signing on Clients → فعال
• Disable SMB Multichannel in sensitive networks
• غیرفعال سازی Guest Access در SMB

این موارد با Group Policy قابل اعمال هستند.

2. غیرفعال سازی SMBv1 (کاملاً ضروری)

SMBv1 یک پروتکل 30 ساله است که ریشه حملاتی مثل WannaCry و NotPetya بوده است. مایکروسافت به طور رسمی SMBv1 را منسوخ کرده است.

اقدامات لازم:

• حذف SMBv1 از تمام کلاینت ها و سرورها
• بررسی سرویس های قدیمی که هنوز از SMBv1 استفاده میکنند
• مقاومت دستگاه های IoT و پرینترها در برابر SMBv1 بررسی شود

3. غیرفعال سازی پروتکل های Legacy

پروتکل های قدیمی زیر باید غیرفعال یا محدود شوند:

• NTLMv1
• LANMAN
• Digest Auth
• WDigest (هایجک کردن Credential ها)
• LLMNR
• mDNS و NBNS
• RPC بدون امضا

غیرفعال سازی این پروتکل ها از حملات زیر جلوگیری میکند:

• Hash Sniffing
• Credential Relay
• Poisoning
• MITM Attack

 تقویت DNS Security در محیط AD

DNS در اکتیو دایرکتوری نقش پایه‌ای دارد و بسیاری از سرویس ها وابسته به آن هستند. اگر مهاجم DNS را کنترل کند، میتواند:

• کاربران را به مسیرهای جعلی هدایت کند
• ترافیک را شنود کند
• Kerberos و LDAP را مختل کند
• امنیت Logon را دور بزند

1. فعال سازی DNSSEC و Zone Signing

DNSSEC تضمین میکند که رکوردهای DNS جعلی نیستند.

برای اکتیو دایرکتوری توصیه میشود:

• امضای Zone های AD-integrated
• فعال سازی Validation روی کلاینت ها
• پیکربندی روی DC های Primary و Secondary

2. محدودسازی Zone Transfer

Zone Transfer باید:

• فقط بین DC ها مجاز باشد
• با IP Whitelisting محدود شود
• روی Public DNS کاملاً غیرفعال باشد

زیرا Zone Transfer میتواند لیست تمام منابع شبکه را به مهاجم بدهد.

3. جلوگیری از Dynamic DNS Abuse

Dynamic DNS در سازمان ها ضروری است اما ممکن است توسط مهاجم برای ثبت رکوردهای جعلی استفاده شود.

باید موارد زیر تنظیم شوند:

• Secure Dynamic Update Only
• فعال سازی Auditing برای تغییرات DNS
• محدودسازی Creator Owner روی رکوردها

4. مانیتورینگ رکوردهای حساس DNS

رکوردهای زیر حیاتی هستند:

• _ldap._tcp
• _kerberos._tcp
• _gc._tcp
• رکوردهای DC Locator

هرگونه تغییر غیرمجاز در این رکوردها احتمال حمله MITM و TGT Hijacking را نشان میدهد.

 ایمن سازی PowerShell و ریموتینگ

PowerShell یکی از قدرتمندترین ابزارهای مدیریت شبکه است، اما به همان اندازه یکی از ابزارهای محبوب مهاجمان برای:

• اجرای کد مخرب
• حرکت جانبی (Lateral Movement)
• اجرای PowerShell Remoting
• استخراج Credential

است.

1. فعال سازی PowerShell Logging و Script Block Logging

PowerShell دارای قابلیت های امنیتی داخلی است که باید فعال شوند:

• Module Logging
• Script Block Logging
• Transcription Logging

این قابلیت ها اجرای اسکریپت های مشکوک را شناسایی میکنند.

2. محدودسازی PowerShell Remoting

PowerShell Remoting (WinRM) باید:

• فقط برای ادمین ها فعال باشد
• با Kerberos و MFA محافظت شود
• روی Port های پیش فرض محدود شود
• فقط در Management VLAN قابل دسترس باشد

3. استفاده از Constrained Language Mode

Constrained Language Mode باعث میشود مهاجم نتواند:

• ماژول های مخرب بارگذاری کند
• کدهای غیرمجاز اجرا کند
• ابزارهای Post-Exploitation را اجرا کند

این قابلیت برای دستگاه هایی که کاربران عادی روی آنها Login میکنند ضروری است.

4. اجرای Just Enough Administration (JEA)

JEA یکی از Best Practice های مایکروسافت است که به کمک آن میتوانید:

• دسترسی PowerShell را محدود کنید
• فقط دستورات محدود و مجاز اجرا شود
• کاربران بدون دسترسی ادمین بتوانند وظایف خاصی انجام دهند

JEA یکی از ستون های مدل Least Privilege است.

 محدودسازی دسترسی به SYSVOL و Netlogon

SYSVOL و Netlogon دو مسیر حیاتی هستند که در تمام Domain Controller ها وجود دارند. مهاجمان در صورت دسترسی به آنها میتوانند:

• GPO ها را دستکاری کنند
• اسکریپت مخرب در لاگین کاربران اجرا کنند
• تنظیمات امنیتی را تغییر دهند
• احراز هویت را مختل کنند

به همین دلیل حفاظت از این دو مسیر اهمیت حیاتی دارد.

1. ایمن سازی SYSVOL

SYSVOL شامل موارد زیر است:

• Group Policy Templates
• Logon Scripts
• Startup Scripts
• Security Templates

راهکارهای حفاظت:

• محدودسازی Write Permission فقط برای گروه های مدیریتی
• جلوگیری از ویرایش مستقیم فایل های GPO
• فعال سازی Auditing برای تغییرات Sysvol
• انتقال SYSVOL به DFS-R (نسخه امن تر از FRS)
• جلوگیری از اجرای فایل های PowerShell در مسیرهای عمومی

2. ایمن سازی Netlogon

Netlogon نقش کلیدی در احراز هویت Kerberos و DC Locator دارد. ضعف امنیتی در Netlogon باعث بروز حملاتی مثل ZeroLogon شده است که کنترل کامل دامین را به مهاجم میدهد.

اقدامات لازم:

• فعال سازی Secure RPC
• غیرفعال سازی Netlogon قدیمی (NTLM-based)
• فعال سازی Enforcement Mode برای CVE-2020-1472 (ZeroLogon)
• محدودسازی ترافیک Netlogon فقط بین DCها و کلاینت ها

3. محدودسازی دسترسی کاربران معمولی

کاربران غیرادمین نباید:

• هیچ دسترسی نوشتن به SYSVOL داشته باشند
• اسکریپت ها را ویرایش کنند
• فایل های پالیسی را دستکاری کنند
• به مسیر Netlogon دسترسی مدیریتی داشته باشند

هرگونه تغییر مشکوک در این مسیرها باید بلافاصله توسط SIEM یا Microsoft Defender for Identity گزارش شود.

 بهترین ابزارها برای هاردنینگ اکتیو دایرکتوری

هاردنینگ Active Directory تنها با اعمال چند تنظیم امنیتی انجام نمیشود. برای ایجاد یک Identity Security قوی باید از ابزارهایی استفاده شود که بتوانند تهدیدها را شناسایی، رفتار کاربران را تحلیل و آسیب پذیری های ساختاری دامین را کشف کنند.

اکوسیستم امنیتی اکتیو دایرکتوری شامل ابزارهای مختلفی است که در چند دسته قرار میگیرند:

• ابزارهای Threat Detection برای شناسایی حملات
• سیستم های Log Analysis و SIEM برای تحلیل رویدادها
• ابزارهای AD Security Assessment برای کشف ضعف ها
• استانداردهای Security Baseline و Hardening Framework
• اسکریپت های امنیتی برای Automation و Audit

ترکیب این ابزارها به سازمان ها کمک میکند تا هم از نفوذ جلوگیری کنند و هم در صورت وقوع حمله، آن را سریع تشخیص دهند.

 Microsoft Defender for Identity

Microsoft Defender for Identity یکی از مهم ترین ابزارهای امنیتی برای محافظت از اکتیو دایرکتوری است. این ابزار که قبلاً با نام Azure ATP (Advanced Threat Protection) شناخته میشد، برای شناسایی تهدیدات مرتبط با Identity-based attacks طراحی شده است.

Defender for Identity با تحلیل رفتار کاربران، لاگ های امنیتی و ترافیک شبکه میتواند حملات پیشرفته‌ای را که هدف آنها اکتیو دایرکتوری است شناسایی کند.

مهم ترین قابلیت های Defender for Identity

این ابزار قادر است طیف وسیعی از حملات رایج را تشخیص دهد، از جمله:

• Pass-the-Hash Attack
• Pass-the-Ticket Attack
• Golden Ticket
• DCSync Attack
• Kerberoasting
• Lateral Movement
• Reconnaissance Activities

با استفاده از Machine Learning و Behavioral Analytics این سیستم میتواند رفتارهای غیرعادی کاربران و ادمین ها را نیز شناسایی کند.

نحوه عملکرد

Defender for Identity از طریق Sensor هایی که روی Domain Controller ها نصب میشوند فعالیت ها را مانیتور میکند. این Sensor ها اطلاعاتی مانند:

• Kerberos Authentication
• NTLM Authentication
• Directory Replication
• Logon Activity

را جمع آوری کرده و برای تحلیل به سرویس ابری مایکروسافت ارسال میکنند.

مزایای استفاده

استفاده از این ابزار مزایای مهمی دارد:

• شناسایی سریع حملات Identity-based
• تحلیل رفتار کاربران و ادمین ها
• یکپارچگی با Microsoft Sentinel و Defender XDR
• ارائه نقشه امنیتی از اکتیو دایرکتوری

به همین دلیل Defender for Identity یکی از ابزارهای کلیدی در پروژه های Active Directory Hardening و Identity Protection محسوب میشود.

 SIEM و مانیتورینگ رویدادها

در محیط های سازمانی، Domain Controller ها روزانه هزاران رویداد امنیتی تولید میکنند. تحلیل دستی این لاگ ها تقریباً غیرممکن است. به همین دلیل از سیستم های SIEM (Security Information and Event Management) استفاده میشود.

SIEM ها با جمع آوری و تحلیل متمرکز لاگ ها میتوانند فعالیت های مشکوک را شناسایی کرده و هشدارهای امنیتی تولید کنند.

منابع لاگ در اکتیو دایرکتوری

در یک معماری SIEM، اطلاعات معمولاً از منابع زیر جمع آوری میشوند:

• Security Logs در Domain Controller
• Windows Event Logs
• Kerberos Authentication Logs
• LDAP Access Logs
• DNS Logs
• Endpoint Security Logs

ترکیب این داده ها دید کاملی از فعالیت های شبکه فراهم میکند.

نمونه ابزارهای SIEM

برخی از محبوب ترین SIEM ها در محیط های مبتنی بر Active Directory عبارتند از:

• Microsoft Sentinel
• Splunk Enterprise Security
• IBM QRadar
• Elastic SIEM

این ابزارها با استفاده از Correlation Rules و Threat Intelligence میتوانند حملات پیچیده را شناسایی کنند.

نمونه سناریوهای قابل شناسایی

SIEM ها قادرند رفتارهایی مانند موارد زیر را تشخیص دهند:

• تلاش های متعدد برای ورود به سیستم
• تغییرات غیرمجاز در گروه Domain Admins
• اجرای ابزارهای Post‑Exploitation
• دسترسی غیرمعمول به Domain Controller
• تلاش برای استخراج Credential ها

این قابلیت ها نقش مهمی در Threat Detection و Incident Response دارند.

ابزارهای تحلیل آسیب پذیری AD

اکتیو دایرکتوری ساختار پیچیده‌ای دارد و ممکن است در آن Misconfiguration های امنیتی وجود داشته باشد که به راحتی توسط مهاجمان سوءاستفاده شوند. ابزارهای تحلیل امنیتی AD برای کشف چنین ضعف هایی طراحی شده‌اند.

این ابزارها ساختار دامین را بررسی کرده و مسیرهایی را که ممکن است منجر به Privilege Escalation شوند شناسایی میکنند.

BloodHound

BloodHound یکی از معروف ترین ابزارهای تحلیل امنیتی اکتیو دایرکتوری است. این ابزار روابط بین کاربران، گروه ها و سیستم ها را تحلیل میکند و نشان میدهد مهاجم چگونه میتواند به دسترسی Domain Admin برسد.

BloodHound با استفاده از گراف های امنیتی مسیرهایی مانند موارد زیر را کشف میکند:

• ACL Misconfiguration
• Delegation Abuse
• Kerberos Delegation Issues
• Privileged Group Membership

PingCastle

PingCastle یک ابزار رایگان برای ارزیابی امنیت Active Directory است. این ابزار با بررسی تنظیمات دامین، یک گزارش امنیتی کامل تولید میکند.

PingCastle موارد زیر را تحلیل میکند:

• سطح امنیت Kerberos
• وضعیت NTLM
• تنظیمات Password Policy
• آسیب پذیری های Domain Controller
• مشکلات Trust بین Domain ها

در نهایت یک Risk Score برای کل دامین ارائه میدهد.

Purple Knight

Purple Knight که توسط شرکت Semperis توسعه داده شده، یک ابزار قدرتمند برای شناسایی آسیب پذیری های AD است. این ابزار بیش از صد تست امنیتی را روی محیط Active Directory اجرا میکند.

این تست ها شامل:

• Delegation Abuse
• Privilege Escalation Paths
• Service Account Weakness
• Kerberos Configuration Issues

میشوند.

 Microsoft Security Baselines و CIS Benchmark

یکی از مؤثرترین روش ها برای افزایش امنیت اکتیو دایرکتوری استفاده از Security Baseline ها و استانداردهای امنیتی است.

این استانداردها مجموعه‌ای از تنظیمات پیشنهادی هستند که برای کاهش آسیب پذیری های سیستم طراحی شده‌اند.

Microsoft Security Baselines

مایکروسافت مجموعه‌ای از تنظیمات امنیتی استاندارد را برای ویندوز و Active Directory ارائه میدهد. این تنظیمات شامل صدها Group Policy هستند که برای ایمن سازی سیستم های سازمانی طراحی شده‌اند.

برخی از مهم ترین حوزه های پوشش داده شده عبارتند از:

• Account Policies
• Authentication Policies
• Audit Configuration
• Network Security
• Windows Defender Settings

این Baseline ها از طریق Security Compliance Toolkit قابل دانلود و اعمال هستند.

CIS Benchmark

CIS Benchmark مجموعه‌ای از Best Practice های امنیتی است که توسط Center for Internet Security (CIS) توسعه داده شده است.

این استاندارد برای بسیاری از فناوری ها از جمله:

• Windows Server
• Active Directory
• Azure
• Linux

وجود دارد.

CIS Benchmark تنظیمات امنیتی را در سطوح مختلف ارائه میدهد:

• Level 1 (امنیت پایه)
• Level 2 (امنیت پیشرفته)

بسیاری از سازمان ها از CIS Benchmark برای رسیدن به Compliance استانداردهایی مانند ISO 27001 و NIST استفاده میکنند.

 PowerShell Script های امنیتی

PowerShell یکی از مهم ترین ابزارهای مدیریت و اتوماسیون در محیط ویندوز است. علاوه بر مدیریت سیستم، از PowerShell میتوان برای Audit امنیتی و بررسی تنظیمات Active Directory نیز استفاده کرد.

اسکریپت های بررسی امنیتی

PowerShell میتواند برای شناسایی مشکلات امنیتی مانند موارد زیر استفاده شود:

• کاربران با دسترسی Domain Admin
• حساب های غیرفعال
• حساب هایی با Password Never Expires
• Service Account های پرخطر
• ACL های اشتباه در OU ها

این اطلاعات به مدیران شبکه کمک میکند تا مشکلات امنیتی را سریع شناسایی کنند.

نمونه کاربردهای امنیتی PowerShell

در بسیاری از سازمان ها از اسکریپت های PowerShell برای:

• مانیتورینگ تغییرات در Active Directory
• گزارش گیری از گروه های حساس
• بررسی وضعیت Kerberos و NTLM
• تحلیل لاگ های امنیتی

استفاده میشود.

ابزارهای PowerShell مرتبط با امنیت AD

برخی از ابزارهای مبتنی بر PowerShell که برای امنیت Active Directory استفاده میشوند شامل:

• PowerView برای تحلیل دسترسی ها
• ADACLScanner برای بررسی ACL ها
• DSInternals برای تحلیل ساختار AD
• Microsoft AD Module for PowerShell

میشوند.

استفاده از این ابزارها به مدیران شبکه کمک میکند تا وضعیت امنیتی اکتیو دایرکتوری را به صورت مستمر بررسی و بهبود دهند.

 معماری پیشنهادی برای امنیت اکتیو دایرکتوری

برای رسیدن به یک Active Directory امن، تنها هاردنینگ تنظیمات کافی نیست. ساختار و معماری امنیتی دامین باید به گونه‌ای طراحی شود که حتی در صورت نفوذ اولیه مهاجم، گسترش حمله (Lateral Movement) و ارتقای دسترسی (Privilege Escalation) تقریباً غیرممکن باشد.

معماری امنیتی اکتیو دایرکتوری شامل چهارستون اصلی است:

• مدل لایه بندی دسترسی (Tiering Model)
• جداسازی حساب های مدیریتی
• استفاده از هویت های مدرن مانند Azure AD و ADFS
• استراتژی پشتیبان گیری و بازیابی بحران (DR)

در ادامه هر بخش با جزئیات کامل بررسی میشود.

 Tiering Model (Tier 0 / Tier 1 / Tier 2)

Tiering Model یک معماری امنیتی است که توسط مایکروسافت برای جلوگیری از گسترش تهدید در شبکه طراحی شده است. هدف اصلی این مدل، جلوگیری از دسترسی غیرمجاز به لایه حساس Tier 0 است.

تعریف لایه ها

Tier 0 – هسته امنیتی و حیاتی دامین

هر چیزی که امنیت اکتیو دایرکتوری را کنترل یا تأیید میکند در Tier 0 قرار میگیرد.

موارد شامل:

• Domain Controller ها
• حساب Enterprise Admins
• حساب Domain Admins
• ADFS Servers
• Azure AD Connect
• سیستم‌های مدیریت PKI
• سیستم های Identity Management

سازش شدن این لایه = پایان امنیت کل شبکه.

Tier 1 – سرورها و سرویس ها

این لایه شامل منابع سازمانی است که کاربران از آنها استفاده نمیکنند ولی ادمین های سیستمی مدیریتشان میکنند.

موارد شامل:

• File Server ها
• Application Server ها
• SQL Server
• Hyper-V Hosts
• WSUS
• سرویس های داخلی سازمان

ادمین Tier 1 نباید بتواند وارد DC شود یا برعکس.

Tier 2 – کاربران و کلاینت ها

این لایه شامل دستگاه های کاربر نهایی است:

• لپ تاپ کارمندان
• سیستم های Helpdesk
• سیستم های HR / Finance
• Workstation های معمولی

هرگونه سازش Tier 2 نباید بتواند بر Tier 1 یا Tier 0 اثر بگذارد.

مهم ترین قوانین مدل Tiering

• ادمین Tier 0 فقط باید روی Tier 0 Logon کند.
• ادمین Tier 1 فقط باید روی Tier 1 Logon کند.
• دستگاه Tier 2 هیچ وقت نباید به سیستم Tier 0 دسترسی مدیریتی داشته باشد.
• استفاده از PAW (Privileged Access Workstation) برای مدیریت Tier 0 ضروری است.
• ابزارهایی مانند LAPS و Just Enough Administration باید در این مدل پیاده سازی شوند.

مدل لایه بندی مایکروسافت یکی از مؤثرترین ابزارهای جلوگیری از Lateral Movement است.

جداسازی حساب مدیریت

بزرگترین نقطه شکست امنیتی AD زمانی رخ میدهد که یک ادمین با یک حساب کاربری هم برای کارهای روزمره و هم برای مدیریت دامین استفاده کند.

این موضوع به مهاجمان اجازه میدهد با یک Phishing ساده به کل شبکه دسترسی پیدا کنند.

لازم است سه نوع حساب جدا تعریف شود:

1. حساب عادی (User Account)

برای فعالیت های روزمره مانند ایمیل، مرور وب، فایل ها.

نباید عضو هیچ گروه مدیریتی باشد.

1. حساب ادمین Tier 2 / Helpdesk

فقط برای کارهای پشتیبانی کاربران.

1. حساب ادمین Tier 1 و Tier 0

برای مدیریت سرورها و Domain Controller ها.

اصول جداسازی حساب مدیریت

• استفاده از MFA برای تمام حساب های مدیریتی
• استفاده از Password Policy بسیار قوی
• عدم امکان Logon حساب Tier 0 روی کلاینت ها
• جلوگیری از Interactive Logon با Domain Admin
• استفاده از Group Policy Restricted Admin Mode
• فعال سازی Credential Guard روی PAW ها

این سیاست باعث میشود حتی اگر یک ربات یا بدافزار وارد سیستم یک کارمند شود، نتواند به حساب های مدیریتی دسترسی پیدا کند.

 استفاده از ADFS و Azure AD برای امنیت بیشتر

در معماری های مدرن، استفاده از هویت ابری (Cloud Identity) نقش مهمی در افزایش امنیت Active Directory دارد. دو ابزار کلیدی در این حوزه ADFS و Azure AD هستند.

ADFS (Active Directory Federation Services)

ADFS برای ایجاد Single Sign-On بین سامانه های داخلی و خارجی استفاده میشود. مهم ترین مزیت امنیتی ADFS:

• ارائه سیستم Claim-based Authentication
• پشتیبانی از پروتکل های امن مانند SAML و OAuth
• جلوگیری از ارسال مستقیم Credential های AD به سرویس های خارجی

ADFS معمولاً برای اتصال AD به:

• Microsoft 365
• اپلیکیشن های سازمانی خارجی
• سامانه های شریک تجاری

استفاده میشود.

Azure AD و قابلیت های امنیتی آن

Azure AD نسل جدید Identity Management مایکروسافت است. یکپارچه سازی Active Directory + Azure AD امنیت بسیار بیشتری فراهم میکند.

مهم ترین قابلیت های امنیتی:

• Conditional Access

جلوگیری از لاگین های مشکوک (کشورهای پرخطر، IP مشکوک، Device غیرمجاز)

• Identity Protection

شناسایی حملات Password Spray، Brute Force و Sign-in Risk

• Privileged Identity Management (PIM)

ارائه دسترسی های مدیریتی به صورت Just-In-Time

• MFA Everywhere

فعال سازی احراز هویت چند مرحله‌ای به شکل گسترده

• Self-Service Password Reset

کاهش ریسک Helpdesk و مهندسی اجتماعی

Azure AD Connect

برای همگام سازی کاربران بین Active Directory و Azure AD استفاده میشود و یکی از اصلی ترین اجزای Tier 0 محسوب میشود.

استراتژی Backup و Disaster Recovery

هیچ راهکار امنیتی بدون یک برنامه پشتیبانی و بازیابی قوی کامل نیست.

در Active Directory، پشتیبان گیری باید مستمر، تست شده و قابل اعتماد باشد.

نوع داده هایی که باید حتماً Backup شوند:

• تمام Domain Controller ها (سیستم کامل + System State)
• DNS Zones
• SYSVOL (حاوی GPO ها)
• تنظیمات ADFS و Azure AD Connect
• Certificate Authority (در صورت استفاده از PKI)
• LAPS Password Backup در Azure یا GPO
• Secret های سرویس ها و حساب های مدیریتی

نوع Backup مناسب برای Active Directory

System State Backup مهم ترین نوع پشتیبان گیری برای DC است.

System State شامل:

• AD Database
• Registry
• Boot Files
• SYSVOL
• گروه ها و سیاست ها

است.

Best Practice های Backup و DR

• حداقل 3 نسخه پشتیبان وجود داشته باشد (3‑2‑1 Rule)
• نگهداری نسخه آفلاین (Offline Backup)
• استفاده از immutable storage برای جلوگیری از حذف توسط مهاجم
• تست بازیابی حداقل هر ۶ ماه
• استفاده از ابزارهای مخصوص AD مانند:
  • Windows Server Backup
  • Veeam
  • Semperis ADFR
  • Quest Recovery Manager

اهمیت Disaster Recovery Plan

DRP تضمین میکند که حتی در حملاتی مثل:

• Ransomware
• ZeroLogon
• DCSync Attack
• حذف یا خرابکاری در Domain Controller

سازمان بتواند اکتیو دایرکتوری را برگرداند.

DRP باید شامل موارد زیر باشد:

• سناریوی بازیابی از حمله کامل
• اولویت بندی DC ها
• روش Failover و Restore
• نحوه بازیابی SYSVOL
• دستورالعمل بازسازی کامل Forest

 جمع بندی و نکات نهایی

امن سازی اکتیو دایرکتوری یک پروژه یک باره نیست؛ بلکه فرایندی مستمر و چرخه‌ای است که نیاز به بررسی، اصلاح و ارتقای مداوم دارد. Active Directory ستون فقرات شبکه سازمان است و کوچک ترین غفلت در پیکربندی آن میتواند مهاجمان را قادر سازد با یک نفوذ ساده، کنترل کامل شبکه را به دست بگیرند.

در این مقاله تمام لایه های حیاتی هاردنینگ اکتیو دایرکتوری بررسی شدند: از تنظیمات حیاتی برای کاهش Attack Surface و ایمن سازی پروتکل ها، تا ابزارهای پیشرفته تحلیل امنیتی، مدل های معماری امن، Tiering Model و راهکارهای پشتیبان گیری. این بخش نهایی بر سه موضوع کلیدی تمرکز دارد: مداومت در هاردنینگ، اهمیت مانیتورینگ مداوم و حداقل اقدامات لازم برای امنیت AD.

اهمیت مداومت در هاردنینگ

هاردنینگ Active Directory یک فعالیت یک مرتبه‌ای نیست، بلکه باید یک فرایند دائمی و تکرارشونده باشد. دلیل این موضوع:

• تهدیدات امنیتی به شکل مداوم تغییر میکنند.
• مهاجمان دائماً تکنیک های جدید Lateral Movement و Exploit منتشر میکنند.
• به روزرسانی های ویندوز، DC ها و سرویس ها ممکن است تنظیمات امنیتی را تغییر دهد.
• ساختار سازمان، کارمندان و دسترسی ها همیشه در حال تغییر است.

اگر هاردنینگ AD بدون پیگیری مداوم رها شود:

• مسیرهای جدید حمله باز میشود
• misconfiguration های جدید ایجاد میشوند
• حساب های قدیمی بدون نظارت باقی می مانند
• سیستم های جدید بدون استاندارد امنیتی وارد محیط میشوند

بنابراین، سازمان باید یک برنامه دوره‌ای امنیتی برای به روزرسانی تنظیمات، بررسی دسترسی ها و اجرای تست ها داشته باشد.

 نقش مانیتورینگ و تست های دوره‌ای

هیچ تنظیم امنیتی بدون مانیتورینگ، تحلیل لاگ ها و تست های دوره‌ای کامل نیست. مهاجمان امروزی اغلب هفته ها یا ماه ها در شبکه باقی می مانند بدون اینکه ردپایی واضح از خود بگذارند. تنها با مانیتورینگ فعال میتوان رفتارهای غیرعادی را شناسایی کرد.

اصول طلایی مانیتورینگ در AD

• فعال سازی Auditing پیشرفته به ویژه روی:
  • تغییرات GPO
  • تغییرات گروه های حساس (Domain Admins و …)
  • تلاش های Kerberos و NTLM
  • تغییرات SYSVOL
  • تلاش های مشکوک DCSync یا Replication
• ارسال تمامی Event ها به SIEM
• تحلیل رفتار کاربران با ابزارهایی مثل:
  • Microsoft Defender for Identity
  • Sentinel UEBA
  • Elastic EDR
• ایجاد Rule های تشخیص حملات شناخته شده مانند:
  • Pass-the-Hash
  • Kerberoasting
  • Enumeration
  • ZeroLogon Exploit

تست های دوره‌ای ضروری

• Penetration Testing روی ساختار AD
• Red Team Simulation برای سنجش مقاومت واقعی
• اجرای دوره‌ای ابزارهای امنیتی مثل:
  • BloodHound
  • PingCastle
  • Purple Knight
• تست صحت Backup و Restore
• مرور دوره‌ای پالیسی ها و Baseline ها
• ارزیابی وضعیت Kerberos، NTLM و SMB

تست نکردن یعنی فرض اینکه امنیت کامل است، اما امنیت واقعی تنها زمانی مشخص میشود که حمله شبیه سازی شده انجام شود.

 حداقل اقدامات ضروری برای امنیت AD

اگر سازمان زمانی کم یا منابع محدود داشته باشد، حداقل باید این اقدامات حیاتی را انجام دهد تا از تهدیدهای اصلی محافظت شود:

1. سخت سازی احراز هویت

• فعال سازی MFA برای حساب های مدیریتی
• غیرفعال سازی NTLMv1، WDigest و پروتکل های Legacy
• اعمال Password Policy مناسب و جلوگیری از پسوردهای تکراری
• فعال سازی Kerberos Hardened Authentication

2. ایمن سازی Domain Controller ها

• اعمال Security Baseline مایکروسافت
• غیرفعال سازی سرویس های غیرضروری
• محدودسازی لاگین روی DC
• جداسازی شبکه‌ای DCها از کلاینت ها (Tiering Model)

3. محدودسازی مسیرهای حمله (Attack Surface)

• غیرفعال سازی SMBv1
• فعال سازی SMB Signing
• محدودسازی PowerShell Remoting
• فعال سازی Logging کامل PowerShell
• امن سازی DNS، SYSVOL و Netlogon

4. مانیتورینگ و Detection

• پیاده سازی Defender for Identity
• جمع آوری لاگ کامل در SIEM
• مانیتورینگ رکوردهای Kerberos، NTLM و LDAP
• هشداردهی برای تغییر گروه های حساس

5. مدیریت حساب ها و Session ها

• جداسازی حساب ادمین و کاربری
• استفاده از LAPS
• فعال سازی Credential Guard / Remote Credential Guard
• حذف حساب های غیرضروری و غیرفعال

6. Backup و Recovery معتبر

• System State Backup منظم
• نگهداری نسخه آفلاین
• تست کامل Restore
• تهیه نسخه پشتیبان از SYSVOL، DNS و PKI