Active Directory je imenički servis ugrađen u Windows Server operativne sustave, te ima ključnu ulogu u infrastrukturi računalnog sustava: upravljanje, sigurnost i interoperabilnost. Unutar AD-a nisu zapisani samo korisnici i računala Windows domene, nego i drugi resursi (printeri, dijeljene mape), razine ovlasti, skupne postavke (policy), postavke aplikacija, firewalla, QoS-a, pristupa VPN-u… Također, mnoge aplikacije i servisi zavise o funkcionalnosti Active Directirya, poput najobičnijeg prijavljivanja na domenu ili pristupa MS Exchange Serveru. Zbog toga je od iznimne važnosti da Active Directory bude dostupan i siguran.

Denial of Service (DoS) je vrsta napada na računalne resurse kojom se ti resursi mogu učiniti nedostupnima. DoS napadima podložni su različiti operativni sustavi, mrežna oprema i usluge. Napadani resursi mogu se učiniti nedostupnima tako da ih se trajno ili privremeno onesposobi da obavljaju svoju funkciju. Za to postoje različite tehnike i zbog toga se od DoS napada teško obraniti. Tako resursi mogu postati nedostupni zbog povećanog opterećenja, mrežne nepovezanosti, pogrešnog adresiranja… U ovom članku opisani su česti DoS napadi na Active Directory.

Database flood

Rizik se sastoji od toga da korisnici koji imaju dovoljne ovlasti za dodavanje objekata mogu jednostavno stvoriti toliko objekata da znatno povećaju replikacijski promet ili maksimalno popune disk poslužitelja, što može dovesti do nedostupnosti samog poslužitelja ili drugih servisa. Zbog toga je potrebno posvetiti puno pažnje pri delegiranju takvih ovlasti. Također, Windows Server 2003 omogućuje da se rizik izbjegne konfiguriranjem AD Object Quota tako da korisnici mogu stvoriti samo određen maksimalni broj objekata. Posebno je potrebno paziti na to da čak i izbrisani objekti ostaju u bazi dok se ne provede offline defragmentacija baze.

Prekoračenje najveće dozvoljene veličine tokena

Kod prijavljivanja korisnika na računalo generira se token koji sadrži SID-ove svih grupa kojima korisnik pripada. Token ne smije sadržavati više od 1023 SID-a jer se korisnik s tokenom koji sadrži više od 1023 SID-a neće moći prijaviti na mrežu. Kako je ipak moguće dodati korisnika u više od 1023 grupe, zlonamjerni korisnik s ovlastima da dodaje drugog korisnika u grupe može uzrokovati DoS napad. Ovakav napad moguće je izvesti i nad administratorskim korisničkim računom. Da bi se izbjegao rizik, moguće je ukinuti ovlasti koje omogućuju mijenjanje grupa kojima administratorski korisnički račun pripada, te, kao i kod database flooda, delegirati ovlasti nad AD-om s pažnjom. Ako napad bude proveden nad administratorskim korisničkim računom, administrator će se ipak moći prijaviti na računalo pokrenuto u Safe modu (with networking) jer se tada ne dodaju svi SID-ovi u token.

LDAP query flood

LDAP (Lightweight Directory Access Protocol) je protokol kojim se pristupa podacima baze Active Direcotrya. Na performanse poslužitelja (domain controlera) može znatno utjecati broj i vrsta LDAP upita koje korisnici postavljaju prema imeniku Active Directory. Zlonamjerni korisnik može provesti DoS napad tako da postavi velik broj upita zbog kojih AD neće moći odgovoriti na regularne upite, ili zbog kojih drugi servisi mogu postati nedostupni. Alatom Ntdsutil.exe moguće je postaviti pravila kojima se određuju operativna ograničenja za LDAP upite. Detaljnije upute o korištenju tog alata i vrijednostima koje se preporučaju postaviti dostupne su u Knowledge Base članku KB315071. Također, preporučeno je onemogućiti anonimne upite koje ponekad koriste drugi mrežni resursi.

Napadi na DNS

Poznato je da se Active Directory u velikoj mjeri oslanja na DNS. Problemi s DNS-om mogu uzrokovati neispravno funkcioniranje AD-a. Zato posebnu pažnju treba posvetiti ispravnom radu DNS servisa. DNS mora biti dostupan, siguran od neispravnih unosa, "trovanja cachea" i drugih sličnih napada. Dobro educirani i pouzdani administratori DNS infrastrukture mogu spriječiti DoS napade na mnoge resurse, a Active Directory može biti među najvažnijima od njih.

Promjene baze u offline modu

Alatke koje omogućuju unošenje i mijenjanje podataka u Active Directoryu u offline modu dostupne su iz različitih izvora. Njima je moguće izvesti operacije poput izmjene lozinke ili brisanja korisničkih računa. Zlonamjerni korisnik tako može onemogućiti prijavljivanje korisnika na mrežne resurse. Da bi se ova vrsta napada izbjegla potrebno je i fizički i logički osigurati pristup domain controleru.

Zaključavanje korisničkih računa

Zaključavanje korisničkih računa može biti korisno da se spriječi brute force napad, ali s tom funkcijom treba biti oprezan jer zlonamjernim korisnicima omogućuje - izvođenje DoS napada! Napadač koji želi izvesti DoS napad na sve mrežne resurse za određenog (ili sve!) korisnike može namjerno unijeti niz pogrešnih lozinki i tako zaključati korisnički račun legitimnog korisnika. Posebno neugodno može biti kada napadač zaključa korisnički račun kojim anonimni korisnici pristupaju IIS servisu. Tako je moguće izvesti DoS napad na web stranice. Da bi se izbjegao taj rizik potrebno je biti oprezan pri konfiguriranju pravila zaključavanja korisničkih računa.

Više o sigurnosti Active Directorya pročitajte u dokumentu Best Practice Guide for Securing Active Directory Installations koji je dostupan na adresi

http://www.microsoft.com/windowsserver2003/techinfo/overview/adsecurity.mspx