Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBuone pratiche
Migliori pratiche per la sicurezza di Active Directory

Migliori pratiche per la sicurezza di Active Directory

Proteggere Active Directory (AD) è un punto focale critico per i team di sicurezza a causa del suo ruolo centrale in numerose funzioni vulnerabili, tra cui autenticazione, autorizzazione e accesso alla rete. Ogni volta che utenti, applicazioni, servizi e dispositivi IoT accedono ai sistemi aziendali, si affidano a Active Directory.

In un recente incidente di sicurezza, la piattaforma di Identity Management Okta ha subito un'intrusione nel suo sistema di assistenza clienti, esponendo dati sensibili come i nomi e gli indirizzi email di tutti gli utenti. Questo evento solleva preoccupazioni riguardo a potenziali vulnerabilità di sicurezza che potrebbero essere sfruttate per manipolare o compromettere l'autenticazione degli utenti e i controlli di accesso. Le organizzazioni dipendenti da Okta per l'integrazione senza problemi con Active Directory potrebbero incontrare sfide nel mantenere la sicurezza del loro ambiente AD, poiché credenziali compromesse o meccanismi di autenticazione potrebbero potenzialmente essere utilizzati per accedere alle risorse di AD.

Gli avversari sfruttano le debolezze nella sicurezza di AD non solo per ottenere l'accesso a una rete, ma anche per aumentare i loro privilegi, muoversi lateralmente tra endpoint e altri sistemi, distribuire payload di malware e altro ancora.

Per contrastare gli attaccanti ad ogni passo, utilizza la seguente checklist delle migliori pratiche di sicurezza di Active Directory.

Proteggi i tuoi domain controllers

Un domain controller (DC) è un server che autentica gli utenti verificando le loro credenziali rispetto ai dati memorizzati e autorizza (o nega) anche le richieste di accesso a varie risorse IT. Questa funzionalità rende i DC un obiettivo primario per i cybercriminali.

Le migliori pratiche per la sicurezza dei controller di dominio Active Directory includono quanto segue:

Distribuzione

  • Avere almeno due controller di dominio in ogni dominio di Active Directory per tolleranza ai guasti e alta disponibilità.
  • Prendete in considerazione il dispiegamento di DC in sola lettura nelle filiali o in altre località con connettività limitata al principale data center per migliorare la sicurezza e le prestazioni.
  • Posizionare i controller di dominio in diverse località fisiche per garantire che non siano tutti influenzati da un unico punto di fallimento, come un'interruzione di corrente o un disastro naturale.

Controllo degli accessi e del traffico

  • Limitare l'accesso fisico ai DC utilizzando misure come sale server chiuse a chiave e sistemi di controllo degli accessi.
  • Utilizzare la segmentazione della rete per isolare i DC dalle altre parti della rete e limitare l'accesso solo ai sistemi e agli amministratori autorizzati.
  • Implementare firewall per limitare il traffico in entrata e in uscita verso i DC, consentendo solo la comunicazione necessaria tra i DC e altre risorse di rete.
  • Isolate i DC dal internet configurando firewall e router per bloccare il traffico in uscita dai DC verso internet. Se è necessario l'accesso a internet per un domain controller, utilizzare un server proxy per controllare l'accesso; configurare il server proxy per consentire solo il traffico necessario e bloccare tutto il resto, e implementare il filtraggio DNS per prevenire la comunicazione con domini malevoli noti.

Configurazione e aggiornamenti

  • Standardizzare la configurazione dei DC. Ad esempio, utilizzare l'automazione della build attraverso strumenti di distribuzione come System Center Configuration Manager.
  • Non installare ruoli di server aggiuntivi o software sui DC, poiché ciò può portare a contese di risorse, instabilità e degrado delle prestazioni. Se sono necessari software aggiuntivi o ruoli di server, distribuisci server membri separati o server di applicazioni per eseguire applicazioni o ospitare servizi aggiuntivi.
  • Aggiornate regolarmente i DC con le ultime patch di sicurezza e aggiornamenti per proteggervi dalle vulnerabilità di sicurezza.
  • Aggiornate regolarmente i sistemi operativi dei vostri DC. Tuttavia, pianificate e testate approfonditamente il processo di aggiornamento in un ambiente non di produzione per identificare e mitigare potenziali problemi.

Monitoraggio e recupero

  • Utilizza strumenti di monitoraggio per tracciare le prestazioni dei DC e assicurarti che funzionino in modo ottimale.
  • Eseguire regolarmente il backup dei dati sui controller di dominio per consentire il ripristino in caso di guasto hardware o altri problemi.

Stabilire una solida politica delle password

Active Directory consente di definire politiche per le password dettagliate utilizzando fattori come la lunghezza della password e i requisiti di complessità. Seguire le seguenti NIST password guidelines:

  • Le password dovrebbero contenere almeno otto caratteri quando impostate da un umano e sei caratteri quando impostate da un sistema automatizzato o servizio.
  • Utilizzare una password forte è più efficace che aggiornare regolarmente password deboli.
  • Evitate requisiti di complessità che non sono user-friendly, poiché possono portare gli utenti a creare password deboli o a memorizzarle in modo non sicuro (come su un post-it sul loro tavolo). Invece, incoraggiate gli utenti a scegliere passphrase lunghe che siano facili da ricordare.
  • Monitora il reset delle password amministrative. Un'attività di reset della password insolita può segnalare un compromesso dell'account amministratore.
  • Calibrate le impostazioni di blocco del vostro account, applicando impostazioni più rigorose agli account che hanno accesso a dati preziosi e applicazioni critiche. In questo modo, un attaccante che tenta di compromettere un account amministratore verrà bloccato dopo solo alcuni tentativi falliti, ma un utente normale che digita erroneamente la propria password alcune volte non verrà bloccato e non dovrà reimpostare la password prima di poter tornare al lavoro.
  • Considera di investire in un gestore di password che renda facile per gli utenti avere password forti e uniche senza aumentare il carico di lavoro del tuo helpdesk a causa di frequenti blocchi degli account.

Utilizza una password di amministratore locale diversa su ogni macchina

Troppo spesso, le organizzazioni creano un ID utente admin locale generico con la stessa password su ogni macchina, il che permette a un malintenzionato che compromette una macchina di compromettere anche le altre. Con gli strumenti giusti è possibile impostare facilmente una password admin locale diversa su ogni dispositivo.

In particolare, Local Administrator Password Solution (LAPS) genera e gestisce automaticamente password uniche e complesse per gli account amministratori locali. Queste password sono memorizzate in modo sicuro in Active Directory e possono essere recuperate solo da utenti o sistemi autorizzati. LAPS offre i seguenti vantaggi aggiuntivi:

  • LAPS supporta la rotazione automatica delle password degli amministratori locali a intervalli regolari, riducendo la vita utile di una password compromessa.
  • Gli amministratori possono delegare i permessi per il recupero delle password degli amministratori locali in base ai ruoli e alle responsabilità degli utenti.
  • LAPS si integra perfettamente con Active Directory, sfruttando le sue funzionalità di sicurezza e i controlli di accesso per gestire l'archiviazione e il recupero delle password degli amministratori locali.
  • LAPS mantiene un registro delle attività di recupero delle password per facilitare le indagini e la responsabilità.
  • LAPS può essere configurato e gestito tramite Group Policy, che offre un approccio centralizzato e scalabile per distribuire e gestire le password degli amministratori locali in tutta l'organizzazione.

Controlla i diritti di accesso

I gruppi di sicurezza sono il metodo consigliato per controllare l'accesso alle risorse. Invece di assegnare i diritti di accesso direttamente agli account utente uno per uno, si assegnano i permessi ai gruppi di sicurezza e poi si rende ogni utente membro dei gruppi appropriati. Seguire queste migliori pratiche:

  • Seguire rigorosamente un modello di least privilege, concedendo a ciascun utente solo i permessi minimi necessari per completare i propri compiti.
  • Crea account ospiti con privilegi minimi.
  • Fate sì che i proprietari dei dati rivedano regolarmente l'appartenenza ai gruppi di sicurezza per assicurarsi che solo gli utenti giusti siano membri di ogni gruppo.
  • Stabilire un modello di delega AD seguendo le best practices.
  • Monitorare attentamente le modifiche all'appartenenza dei gruppi di sicurezza, specialmente quelli che hanno il permesso di accedere, modificare o rimuovere dati sensibili.
  • Monitorare le modifiche sospette agli account AD.
  • Disabilita immediatamente gli account dei dipendenti che lasciano l'organizzazione.
  • Monitora gli account inattivi e disabilitali se necessario.

Presta particolare attenzione agli account privilegiati

Naturalmente, gli aggressori sono particolarmente interessati ad ottenere l'accesso a account che dispongono di privilegi amministrativi o accesso a dati sensibili, come registrazioni dei clienti o proprietà intellettuale. Pertanto, è fondamentale essere particolarmente vigili riguardo questi potenti account. Le migliori pratiche includono quanto segue:

  • Limitare strettamente l'appartenenza ai Domain Admins e ad altri gruppi privilegiati in conformità con il principio del privilegio minimo necessario.
  • Formate gli amministratori ad utilizzare i loro account amministrativi solo quando assolutamente necessario per ridurre il rischio di furto delle credenziali.
  • Idealmente, implementare una soluzione di Privileged Access Management (PAM). Se ciò non è possibile, mantenere solo l'account predefinito nei gruppi come Domain Admins e posizionare altri account in quel gruppo solo temporaneamente, fino al completamento del loro lavoro.
  • Rivedere regolarmente l'uso degli account privilegiati per assicurarsi che siano utilizzati solo per scopi autorizzati e che l'accesso sia concesso su base del bisogno di conoscere.
  • Implementare politiche di password forti e pratiche di gestione per gli account privilegiati, inclusi cambi regolari della password e l'uso di password complesse.
  • Richiedere agli utenti privilegiati di utilizzare una workstation amministrativa sicura (SAW) per eseguire compiti amministrativi. Le SAW migliorano la sicurezza attraverso funzionalità come l'autenticazione forte, la crittografia e il monitoraggio. Limitare l'accesso alle SAW al personale autorizzato con responsabilità amministrative e implementare controlli di accesso rigorosi per prevenire l'uso non autorizzato. Isolare fisicamente e logicamente le SAW dalle workstation e dalle reti degli utenti standard per ridurre il rischio di infezione da malware e accesso non autorizzato.

Monitorare Active Directory per segni di compromissione

Active Directory è un ambiente molto attivo. Per individuare gli attacchi, è essenziale sapere cosa cercare in tutti i dati degli eventi. Ecco le cinque cose principali da monitorare:

Modifiche agli account utente

State attenti a modifiche insolite in un account utente di AD. Considerate di investire in uno strumento che possa aiutarvi a rispondere alle seguenti domande:

  • Quali modifiche sono state apportate a quali account utente?
  • Chi ha effettuato ogni modifica?
  • Quando è avvenuto il cambiamento?
  • Da dove è stata effettuata la modifica?

Reimpostazioni della password da parte degli amministratori

Gli amministratori dovrebbero sempre seguire le migliori pratiche stabilite quando reimpostano le credenziali degli utenti. Uno strumento di monitoraggio robusto aiuta a rispondere a domande come:

  • Quali account utente hanno avuto la password reimpostata?
  • Chi ha reimpostato ogni password?
  • Quando è avvenuto il reset?
  • Dove ha reimpostato la password l'amministratore?

Modifiche all'appartenenza al gruppo di sicurezza

I cambiamenti imprevisti nell'appartenenza ai gruppi di sicurezza possono indicare attività malevole, come l'escalation dei privilegi o altre minacce interne. È necessario sapere:

  • Chi è stato aggiunto o rimosso?
  • Chi ha fatto la modifica?
  • Quando è avvenuto il cambiamento?
  • Dove è stata effettuata la modifica del gruppo di sicurezza?

Tentativi di accesso da parte di un singolo utente da più endpoint

I tentativi di un singolo utente di accedere da diversi endpoint sono spesso un segno che qualcuno ha preso il controllo del loro account o sta cercando di farlo. È fondamentale segnalare e indagare su questa attività per scoprire:

  • Quale account ha tentato di accedere da più endpoint?
  • Quali erano quegli endpoint?
  • Quanti tentativi sono stati effettuati da ogni endpoint?
  • Quando è iniziata l'attività sospetta?

Modifiche alla Group Policy

Una singola modifica impropria alla Group Policy può aumentare notevolmente il rischio di una violazione o di un altro incidente di sicurezza. Utilizzare uno strumento per monitorare questa attività renderà facile rispondere a domande urgenti come:

  • Quali modifiche sono state apportate a Group Policy?
  • Chi ha effettuato ogni modifica?
  • Quando è stata effettuata ogni modifica?

Disabilita SMBv1 e limita NTLM

I dispositivi che eseguono Microsoft Windows utilizzano principalmente il protocollo di comunicazione SMB (Server Message Block). Tuttavia, le ricerche dimostrano che SMB viene utilizzato per intrusioni tramite esecuzione di codice remoto, quindi si raccomanda di disabilitare SMBv1 e utilizzare solo le versioni più recenti di SMB.

Analogamente, NTLM è un vecchio protocollo di autenticazione che gli aggressori utilizzano per il furto di credenziali. Se possibile, sostituire completamente NTLM con il più recente protocollo Kerberos. Come minimo, eliminare l'uso di NTLMv1.

Proteggi LSASS

LSASS (Local Security Authority Subsystem Service) è un processo di Windows responsabile di molteplici compiti legati alla sicurezza: verifica delle credenziali utente durante l'accesso; applicazione delle politiche di complessità, scadenza e blocco delle password; gestione dei token di sicurezza che concedono l'accesso alle risorse; e implementazione del protocollo di autenticazione Kerberos. Le migliori pratiche per proteggere LSASS includono quanto segue:

  • Applicare regolarmente aggiornamenti di sicurezza e patch al sistema operativo per affrontare le vulnerabilità che potrebbero essere sfruttate per compromettere LSASS.
  • Distribuisci soluzioni antivirus e antimalware di fiducia su tutti i sistemi per rilevare e prevenire che il software dannoso prenda di mira LSASS.
  • Abilita Windows Credential Guard, una funzionalità di sicurezza di Windows che aiuta a proteggere LSASS e le credenziali dal furto da parte di malware.

Eseguire solo sistemi operativi supportati e mantenerli aggiornati

È importante utilizzare solo sistemi operativi supportati che ricevono regolari aggiornamenti di sicurezza e patch per ridurre il rischio di vulnerabilità di sicurezza e garantire l'accesso ad assistenza tecnica e orientamento per questioni relative alla sicurezza.

Inoltre, assicurati che tutti i sistemi operativi nel tuo ambiente siano regolarmente aggiornati con le ultime patch di sicurezza e aggiornamenti forniti dal fornitore.

Pulire Active Directory

Le migliori pratiche di sicurezza per Active Directory per la pulizia includono le seguenti:

  • Individua ed elimina tutti gli account utente e gli account computer obsoleti o inutilizzati da Active Directory per impedire che gli avversari li sfruttino ed evitare la rilevazione.
  • Stabilire processi per garantire che l'account di un utente sia disabilitato prontamente quando lascia l'organizzazione.
  • Rimuovi tutti i gruppi di sicurezza non necessari per contrastare i tentativi di escalation dei privilegi.
  • Documentate i processi di pulizia e stabilite programmi regolari per la revisione e la manutenzione di Active Directory per garantire sicurezza ed efficienza continue.

Audita Active Directory

Di seguito sono riportate alcune delle migliori pratiche per l'audit di Active Directory:

  • Assicurati che l'audit sia abilitato in Active Directory per tracciare le modifiche e l'accesso agli oggetti della directory. Questo può essere fatto tramite le impostazioni di Group Policy o direttamente nella console di Active Directory Users and Computers.
  • Configurate le politiche di audit in base alle specifiche esigenze di sicurezza e conformità della vostra organizzazione. In particolare, auditate le modifiche agli account utente, alle appartenenze ai gruppi, ai permessi e agli oggetti critici di Group Policy.
  • Rivedere regolarmente i log di controllo generati da Active Directory per identificare eventuali modifiche sospette o altre attività insolite. Investigare prontamente qualsiasi potenziale minaccia alla sicurezza.
  • Considerate di implementare una soluzione di monitoraggio in tempo reale che fornirà avvisi immediati per eventi di sicurezza critici e risposta automatica alle minacce anticipate di AD.
  • Prendi in considerazione l'utilizzo di strumenti automatizzati per generare regolarmente rapporti di audit, i quali possono aiutare nel tracciare la conformità, dimostrare la dovuta diligenza e identificare tendenze o modelli nell'attività di Directory Management.

Esegui la gestione delle patch

Stabilire un processo per ricevere e implementare tempestivamente le patch di sicurezza per Active Directory e altri sistemi critici. Dare priorità al dispiegamento delle patch in base alla gravità della vulnerabilità e all'impatto potenziale sull'organizzazione.

Testare le patch in un ambiente non di produzione prima di distribuirle in produzione per assicurarsi che non causino problemi di compatibilità o stabilità.

Eseguire la scansione delle vulnerabilità e i test di penetrazione

Eseguire regolarmente scansioni di vulnerabilità di Active Directory e altri sistemi critici per identificare potenziali debolezze di sicurezza. Dare priorità alle vulnerabilità in base alla gravità e all'impatto potenziale sulla propria organizzazione. Rimediare alle vulnerabilità applicando patch di sicurezza, implementando controlli di sicurezza o adottando altre misure. Considerare l'utilizzo di strumenti automatizzati per eseguire la scansione delle vulnerabilità al fine di semplificare il processo e ridurre il rischio di errore umano.

Eseguite anche test di penetrazione regolari per identificare potenziali vulnerabilità e valutare l'efficacia dei vostri controlli di sicurezza.

Blocca gli account di servizio

Gli account di servizio vengono utilizzati per eseguire servizi, attività pianificate e applicazioni. Per ridurre i rischi per la sicurezza, assegnare a ciascun account di servizio i permessi minimi necessari per svolgere le sue funzioni specifiche. Inoltre, applicare politiche di password rigorose che includano requisiti di complessità e restrizioni sul riutilizzo delle password, e richiedere cambi regolari della password.

Gli account di servizio dovrebbero essere configurati per non consentire l'accesso interattivo. Non dovrebbero essere utilizzati per sessioni interattive o accessi alla console, poiché sono destinati all'esecuzione di servizi e compiti in background.

Utilizzare account di servizio gestiti (MSA) ogni volta che è possibile

Gli account di servizio gestiti (MSAs) generano e gestiscono automaticamente password forti e complesse, eliminando la necessità di una gestione manuale delle password e riducendo il rischio di problemi di sicurezza legati alle password. La password è gestita e aggiornata automaticamente dai controller di dominio. Gli MSA possono essere facilmente distribuiti e gestiti utilizzando comandi PowerShell o Criteri di Gruppo, rendendoli una soluzione scalabile ed efficiente.

Implementare l'autenticazione multifattore (MFA)

L'MFA aumenta la sicurezza richiedendo agli utenti di autenticarsi utilizzando due o più metodi differenti, come un codice da un token hardware o software o un messaggio SMS, biometria e notifiche push ai dispositivi mobili. Considerate fattori come la facilità d'uso, la scalabilità e la compatibilità con la vostra infrastruttura esistente, inclusa Active Directory.

Definisci le politiche MFA in base ai ruoli degli utenti, ai gruppi o a specifici requisiti di sicurezza. Ad esempio, potresti voler imporre MFA per tutti gli account privilegiati, le richieste di accesso remoto o applicazioni specifiche.

DNS sicuro

  • Proteggi DNS utilizzando zone DNS integrate in Active Directory. Questo fornisce una sicurezza avanzata tramite liste di controllo degli accessi (ACL) e aggiornamenti dinamici sicuri.
  • Implementare le Domain Name System Security Extensions (DNSSEC) per aggiungere un ulteriore strato di sicurezza al DNS. DNSSEC aiuta a proteggere contro gli attacchi di spoofing DNS e di avvelenamento della cache firmando digitalmente i dati DNS.
  • Configurare i server DNS per limitare i trasferimenti di zona ai server autorizzati. Limitare i trasferimenti di zona aiuta a prevenire l'accesso non autorizzato ai dati della zona DNS.
  • Utilizzare soluzioni di filtraggio e protezione DNS per bloccare domini dannosi e impedire l'accesso a siti web noti per essere malevoli. Questo può aiutare a proteggere da malware, phishing e altre minacce alla sicurezza.
  • Distribuisci un firewall DNS per filtrare e bloccare il traffico DNS dannoso. I firewall DNS possono aiutare a proteggere dagli attacchi basati su DNS e mitigare il rischio di esfiltrazione dei dati.
  • Mantieni i server DNS aggiornati con le ultime patch di sicurezza e aggiornamenti per correggere vulnerabilità e proteggere contro exploit noti.

Forza RDP ad utilizzare la crittografia TLS

Il Remote Desktop Protocol (RDP) è un protocollo popolare utilizzato per accedere a distanza ai sistemi basati su Windows. Per impostazione predefinita, RDP utilizza la crittografia per proteggere le comunicazioni tra il client e il server. Tuttavia, si raccomanda di imporre l'uso della crittografia Transport Layer Security (TLS) per RDP per migliorare la sicurezza. Installare e configurare un certificato SSL/TLS sul server del Remote Desktop Gateway. Questo certificato sarà utilizzato per criptare le comunicazioni tra il client e il server.

Implementare un piano di backup e di ripristino in caso di disastro per Active Directory

Un disastro o un'interruzione che colpisce AD può avere gravi conseguenze per le operazioni dell'organizzazione. Implementare un piano di recupero in caso di disastro per AD può aiutare a garantire la continuità operativa in caso di disastro. Assicurati di includere procedure di backup e recupero, procedure di failover e failback, procedure di comunicazione e notifica. test delle procedure di backup e recupero e archiviazione fuori sede dei dati di backup.

Altre best practice di AD relative al backup e al recupero includono le seguenti:

  • Eseguire il backup di Active Directory secondo una programmazione regolare. Windows Server include una funzionalità di backup integrata che può essere utilizzata per eseguire il backup di Active Directory. È possibile utilizzare lo strumento "Windows Server Backup" per eseguire backup dello stato del sistema, che includono i dati di AD. Tuttavia, le soluzioni di backup di terze parti specificamente progettate per Active Directory offrono funzionalità aggiuntive e flessibilità.
  • In particolare, assicurati di eseguire il backup dei controller di dominio che detengono i ruoli FSMO, poiché questi sono fondamentali per le operazioni di AD.
  • Assicurati che i dati di backup siano memorizzati in modo sicuro. Ciò include la protezione dei supporti di backup da danni fisici, la crittografia dei dati di backup e la limitazione dell'accesso ai file di backup al solo personale autorizzato.
  • Documentate le procedure di backup per Active Directory, inclusi il programma di backup, i requisiti di conservazione e qualsiasi considerazione specifica per il vostro ambiente.

Abilita Windows Firewall su tutti i sistemi

Abilita Windows Firewall su tutti i sistemi per aiutare a proteggere contro l'accesso non autorizzato e le minacce basate sulla rete.

  • Utilizza Group Policy per gestire e applicare centralmente le impostazioni di Windows Firewall su tutti i sistemi nella tua rete.
  • Creare regole del firewall per consentire o bloccare tipi specifici di traffico in base alle politiche di sicurezza della propria organizzazione. Ad esempio, è possibile creare regole per consentire il traffico in entrata e in uscita per applicazioni, servizi o porte specifiche, bloccando allo stesso tempo il traffico non necessario o potenzialmente rischioso.
  • Utilizza la console di Windows Firewall con Sicurezza avanzata per configurare impostazioni avanzate come regole di sicurezza della connessione, esenzioni di autenticazione e regole personalizzate del firewall che offrono un controllo granulare sul traffico di rete.

Distribuisci strumenti antivirus e antimalware e mantienili aggiornati

Scegli un software antivirus e antimalware affidabile che sia compatibile con Active Directory e che soddisfi le esigenze di sicurezza della tua organizzazione.

Installate il software antivirus e antimalware su un server all'interno dell'ambiente Active Directory. Assicuratevi che il software sia configurato per scansionare e proteggere tutti i sistemi e dispositivi connessi alla rete Active Directory.

Configura gli aggiornamenti automatici per il software antivirus e antimalware per garantire che sia sempre aggiornato con le ultime definizioni dei virus e le patch di sicurezza.

Proteggi la comunicazione di rete

  • Configura Active Directory per utilizzare SSL/TLS per la comunicazione LDAP, in modo da crittografare i dati trasmessi tra i client e i controller di dominio.
  • Utilizza Internet Protocol Security (IPsec) per proteggere il traffico di rete tra i controller di dominio, garantendo che i dati siano crittografati e autenticati.
  • Abilita la firma Server Message Block (SMB) per assicurarti che i dati trasferiti sulla rete siano firmati e convalidati, prevenendo manomissioni e accessi non autorizzati.
  • Configura Active Directory per utilizzare l’autenticazione Kerberos, che fornisce un’autenticazione reciproca sicura tra client e controller di dominio.

Implementa le VPN

Implementa reti private virtuali (VPN) per la tua intranet in base alle esigenze della tua organizzazione, incluso il numero di utenti remoti, i tipi di applicazioni a cui si accede e il livello di sicurezza richiesto. Quando scegli una soluzione VPN, considera anche la facilità di manutenzione, le funzionalità di sicurezza e la scalabilità. Installa e configura il software client VPN sui dispositivi degli utenti remoti e assicurati che possano connettersi in modo sicuro ai server VPN all’interno della intranet.

Isola i sistemi e le applicazioni legacy

Separa fisicamente o logicamente i sistemi e le applicazioni legacy dal resto della rete per limitare i rischi per la sicurezza. Crea unità organizzative (OU) separate in Active Directory (AD) per i sistemi e le applicazioni legacy, in modo da poter applicare facilmente impostazioni dei criteri di gruppo e controlli di accesso adattati alle loro esigenze.

Dismetti i sistemi e le applicazioni legacy

Valuta l’utilizzo, l’impatto aziendale e i rischi per la sicurezza dei sistemi e delle applicazioni legacy e sviluppa un piano per dismetterli, se possibile. Informa gli utenti e gli stakeholder sui dettagli, inclusi i tempi, le soluzioni alternative e i potenziali impatti sui loro flussi di lavoro. Assicurati di archiviare tutti i dati che non sono più necessari, ma che devono essere conservati per motivi di conformità o a fini storici.

Conclusione

Le migliori pratiche di sicurezza di Active Directory presentate in questo documento sono fondamentali per rafforzare la tua postura di sicurezza. Una gestione attenta delle attività in tutta la rete che influiscono sulla sicurezza di AD ti consentirà di ridurre la superficie di attacco e di rilevare e rispondere tempestivamente alle minacce.

Soluzione di sicurezza di Active Directory di Netwrix

Identifica e mitiga proattivamente le tue lacune di sicurezza con una soluzione di sicurezza completa da un'estremità all'altra.

Richiedi una demo personalizzata one-to-one.

Condividi su

Risorse correlate

Approfondisci con le nostre risorse correlate

Resource Center
eBook

Facilitare la prevenzione della perdita di dati con le soluzioni Netwrix

Prevenzione della perdita di dati
eBook

Distribuire software su Windows: doloroso ma non è necessario che lo sia

Endpoint Management