هل تترك حسابات خدمات Active Directory المنسية شبكتك عرضة للخطر؟

بالنسبة للعديد من المؤسسات، تُعتبر حسابات خدمات Active Directory (AD) من الأمور الثانوية التي تظل نشطة في الخلفية حتى بعد نسيان الغرض الأساسي من إنشائها. والأسوأ من ذلك، أن هذه الحسابات المُهمَلة (التي تم إنشاؤها للتطبيقات القديمة، أو المهام المجدولة، أو نصوص الأتمتة، أو بيئات الاختبار) غالبًا ما تظل نشطة بكلمات مرور غير منتهية الصلاحية أو قديمة.

ليس من المستغرب أن تتجنب حسابات خدمات AD الرقابة الأمنية الروتينية. حيث أن فرق الأمن، المُثقلة بالمهام اليومية والديون التقنية المتراكمة، غالبًا ما تتجاهل هذه الحسابات (غير المرتبطة بمستخدمين فرديين ونادرًا ما يتم فحصها)، مما يسمح لها بالاختفاء بهدوء في الخلفية. ومع ذلك، يجعلها هذا الغموض هدفًا رئيسيًا للمهاجمين الذين يبحثون عن طرق خفية للتسلل إلى الشبكة. وإذا تُركت دون رقابة، يمكن أن تصبح هذه الحسابات المنسية بوابات صامتة لمسارات الهجوم والانتقال الجانبي عبر بيئات المؤسسات. في هذا المقال، سنستعرض المخاطر التي تشكلها حسابات خدمات AD المنسية وكيفية تقليل تعرضك لها.

كشف الحسابات المنسية وجردها

كما يقول المثل القديم في الأمن السيبراني: “لا يمكنك حماية ما لا تراه”. وهذا ينطبق بشكل خاص على حسابات خدمات AD. إذ أن اكتشافها هو الخطوة الأولى لتأمينها، لكن الحسابات المُهمَلة أو غير المراقبة تعمل غالبًا في الخلفية دون أن يتم ملاحظتها.

هذه الحسابات المنسية تمثل مشكلة كبيرة، حيث لعبت دورًا محوريًا في بعض أخطر الانتهاكات الأمنية في السنوات الأخيرة. ففي هجوم SolarWinds 2020، على سبيل المثال، استغل المهاجمون حسابات خدمات مخترقة للتنقل عبر البيئات المستهدفة والوصول إلى الأنظمة الحساسة.

بمجرد حصول المهاجمين على موطئ قدم عبر التصيد الاحتيالي أو الهندسة الاجتماعية، تكون خطوتهم التالية عادةً هي البحث عن حسابات خدمات لاستغلالها واستخدامها لتصعيد الصلاحيات والانتقال جانبياً عبر الشبكة. لحسن الحظ، هناك عدة طرق يمكن للمدراء استخدامها لتحديد هذه الحسابات المنسية:

• استعلام AD عن الحسابات الممكّنة بـ SPN (Service Principal Name)، والتي تستخدمها الخدمات عادةً للمصادقة مع أنظمة أخرى.

• تصفية الحسابات ذات كلمات المرور غير المنتهية أو التي لم تقم بتسجيل الدخول لفترة طويلة.

• فحص المهام المجدولة والنصوص البرمجية بحثًا عن بيانات اعتماد مُشفّرة أو مضمنة تشير إلى حسابات غير مستخدمة.

• مراجعة تشوهات عضوية المجموعات، حيث قد تكون بعض حسابات الخدمات قد حصلت على صلاحيات مرتفعة مع مرور الوقت.

• إجراء تدقيق لـ Active Directory باستخدام أدوات مجانية مثل Specops Password Auditor.

مثال واقعي: برمجية خبيثة تستغل الحسابات المنسية

في أوائل عام 2024، اكتشف الباحثون الأمنيون شبكة من البرمجيات الخبيثة استهدفت أكثر من 130,000 جهاز عبر مهاجمة حسابات خدمات Microsoft 365 في حملة ضخمة لاختبار كلمات المرور. تمكن المهاجمون من تجاوز المصادقة متعددة العوامل (MFA) باستغلال آلية المصادقة الأساسية القديمة، التي لا تزال مفعّلة في العديد من البيئات. ونظرًا لأن هذه الهجمات لم تُطلق تنبيهات أمنية معتادة، لم تدرك العديد من المؤسسات أنها تعرضت للاختراق.

تراكم الصلاحيات يؤدي إلى تصعيد خفي

حتى الحسابات التي تم إنشاؤها في البداية بصلاحيات محدودة يمكن أن تصبح خطيرة مع مرور الوقت. يُعرف هذا السيناريو باسم “تراكم الصلاحيات” (Privilege Creep)، ويحدث عندما تكتسب الحسابات صلاحيات إضافية بسبب ترقيات النظام أو تغييرات الأدوار أو عضوية المجموعات المتداخلة. ما بدأ كحساب خدمة منخفض الخطورة يمكن أن يتحول إلى تهديد عالي التأثير قادر على الوصول إلى أنظمة حساسة دون أن يلاحظه أحد.

لذلك، يجب على فرق الأمن مراجعة أدوار حسابات الخدمات وصلاحياتها بانتظام. فإذا لم تتم إدارة الوصول بشكل نشط، حتى التكوينات ذات النوايا الحسنة قد تتحول إلى مخاطر.

أفضل الممارسات لتأمين حسابات خدمات AD

يتطلب إدارة حسابات خدمات AD بشكل آمن اتباع نهج منضبط. إليك بعض الممارسات الأساسية:

1. تطبيق مبدأ “أقل صلاحيات”: منح الحسابات فقط الصلاحيات الضرورية لعملها.

2. استخدام “الحسابات المدارة” (MSAs و gMSAs): توفر هذه الحسابات تدويرًا تلقائيًا لكلمات المرور ولا تسمح بتسجيلات دخول تفاعلية.

3. إجراء تدقيق منتظم: استخدام أدوات التدقيق المدمجة في AD أو أدوات خارجية لتتبع استخدام الحسابات.

4. فرض سياسات كلمات مرور قوية: تجنب كلمات المرور الضعيفة أو المُشفّرة في النصوص البرمجية.

5. تقييد الاستخدام: منع تسجيلات الدخول التفاعلية وتخصيص حساب فريد لكل خدمة.

6. تعطيل الحسابات غير المستخدمة: إيقاف الحسابات القديمة فورًا باستخدام استعلامات PowerShell.

7. فصل الأدوار: إنشاء حسابات منفصلة لكل وظيفة (تطبيقات، قواعد بيانات، مهام شبكية).

8. تفعيل المصادقة متعددة العوامل (MFA): في الحالات التي تتطلب استثناءات.

9. استخدام وحدات تنظيمية مخصصة (OUs): لتسهيل فرض السياسات ومراقبة الحسابات.

10. مراجعة التبعيات والصلاحيات: تعديل أو إيقاف الحسابات التي لم تعد بحاجة إلى نفس مستوى الوصول.

أتمتة إدارة حسابات خدمات AD

يمكن لأدوات مثل Specops Password Auditor إجراء فحوصات قراءة فقط لـ Active Directory للكشف عن الحسابات الضعيفة أو غير المستخدمة دون تغيير إعدادات AD. كما تساعد الأدوات مثل Specops Password Policy في أتمتة إدارة كلمات المرور وتطبيق أفضل الممارسات الأمنية.