Uno dei principali servizi di rete delle versioni Server di Windows è sicuramente l’Active Directory: si tratta di un database integrato con funzioni di domain controller utili, appunto, per la gestione di un dominio, che consente di catalogare e gestire in maniera centralizzata le risorse di rete del sistema operativo: oltre ad utenti e gruppi di lavoro, anche stampanti, cartelle condivise, sottodomini, proxy server e via dicendo.
È quindi facile intuire come una cattiva configurazione di questo servizio rappresenti una grave vulnerabilità nel perimetro di sicurezza di ogni azienda, che può essere sfruttata da un criminal hacker per violare le infrastrutture di rete dell’azienda stessa.
Indice degli argomenti
Active Directory: come funziona e come configurare il servizio
Rilasciato per la prima volta il 15 dicembre 1999 con la versione RTM di Windows 2000 Server (e poi continuamente migliorato nel corso degli anni per arrivare alle ultime versioni integrate in Windows Server 2008 e Windows Server 2008 R2 dove è stata ribattezzata in Active Directory Domain Services), Active Directory rappresenta un servizio cruciale per l’infrastruttura IT di moltissime aziende e anche uno dei più utilizzati dagli amministratori di rete per via dell’enorme diffusione delle piattaforme Windows nei vari ambiti produttivi.
La struttura del database di Active Directory è di tipo gerarchico ed è suddivisa in contenitori che, in gergo tecnico, vengono definiti come unità organizzative (in inglese, organization unit) alle quali assegnare dei criteri di gruppo.
Un primo passo per una corretta configurazione del servizio consiste, ovviamente, nel creare i vari utenti che possono accedere alle risorse di rete dell’azienda. È necessario, poi, creare le unità organizzative alle quali vengono associate le aree produttive: ad esempio, ufficio personale, amministrazione, ufficio commerciale, ufficio marketing, produzione e via dicendo. Creati i contenitori virtuali, l’amministratore di rete provvederà a mettere in relazione i vari account utente con le relative unità organizzative. Quindi definirà i diritti di accesso di ogni singolo utente che, in questo modo, potrà effettuare il login esclusivamente alla sua area di pertinenza.
Da risorsa a minaccia: il pericolo nascosto nelle Active Directory
È evidente come Active Directory rappresenti una componente critica per la sicurezza, la configurazione e la gestione delle infrastrutture di rete di un’azienda. Se monitorata in maniera costante ed efficace, Active Directory può rappresentare un valido strumento di protezione del perimetro virtuale dell’azienda da diverse tipologie di attacchi informatici.
Al contrario, un’errata configurazione (o misconfiguration, per utilizzare un termine caro agli esperti di sicurezza informatica) aprirebbe una pericolosa falla nella rete e nelle applicazioni aziendali con conseguenze facilmente immaginabili. Pensiamo, ad esempio, a cosa potrebbe succedere se venissero assegnati privilegi di accesso sbagliati o senza limitazioni. Mediante una campagna di phishing, i criminali informatici potrebbero entrare in possesso dei dati di accesso alle risorse aziendali di questi utenti e procedere con operazioni di spionaggio o di sabotaggio aziendale, furto di dati, installazione di trojan e keylogger: il tutto in maniera indisturbata e, nel peggiore dei casi, senza alcuna restrizione di accesso alla rete aziendale.
E purtroppo, una simile realtà capita molto più spesso di quanto si possa credere.
Aumentare la sicurezza informatica delle aziende: i consigli
Proprio ultimamente si sta assistendo ad un picco di attacchi informatici ai danni di grandi realtà industriali e importanti organizzazioni governative “bucate” proprio a causa di un mancato controllo sulle risorse di rete tra cui proprio le Active Directory, considerate a torto un semplice archivio di utenti e cartelle condivise.
In realtà, molti amministratori di rete ignorano che i contenitori virtuali delle Active Directory contengono le chiavi di accesso ai preziosi asset aziendali. Non è raro trovare vecchi database liberamente accessibili on-line e contenenti informazioni riservate e sensibili. Nei casi più gravi è addirittura possibile trovare interi elenchi di utenti con privilegi elevati che non lavorano più nell’azienda vittima degli attacchi informatici.
Per evitare che ciò accada, è necessario mettere in pratica alcuni semplici consigli pratici:
- innanzitutto, le aziende devono individuare esattamente le risorse di rete disponibili e utilizzate per la continuità dei processi produttivi: server, postazioni fissi e mobili ed elenco degli utenti con relativi privilegi;
- è importante poi sollecitare i sys admin e gli amministratori di rete ad effettuare un’attenta gestione dei privilegi utenti all’interno delle varie arie produttive;
- infine, è opportuno adottare tutte le preoccupazioni e gli strumenti utili per monitorare costantemente tutto ciò che accade all’interno della propria rete per essere in grado di individuar prontamente eventuali attività malevoli.
Ma il vero valore aggiunto per mettere in sicurezza l’azienda è la sensibilizzazione degli utenti nei confronti delle possibili minacce informatiche: la cosiddetta security awareness è una soluzione che fonda le proprie basi sul presupposto che l’utente finale quando clicca, ad esempio in un link contenuto in un’e-mail di phishing (con la quale, come abbiamo visto prima, i criminali informatici potrebbero entrare in possesso dei dati di accesso alle risorse aziendali), lo fa perché non sa riconoscere una e-mail legittima da una non legittima, non avendo una buona cultura di sicurezza informatica tale da aiutarlo a riconoscere gli indizi che possano metterlo in allarme.
