کنترلر دامنه یا Domain Controller، سروری است که به ریکوئستهای احراز هویت پاسخ میدهد و کاربرها را در یک شبکهی کامپیوتری اعتبارسنجی میکند. ایجاد دامنه، یک روش سلسلهمراتبی برای مرتبکردن و دستهبندی کاربران و کامپیوترهایی است که روی یک شبکهی مشترک با هم تعامل میکنند. کنترلر دامنه، تمام دادههای این کاربران و کامپیوترها را مرتب و ایمن نگه میدارد.
میتوانید دامین کنترلر (DC) را صندوقچهای تصور کنید که تمام کلیدهای قلمرو پادشاهی شما، یعنی اکتیو دایرکتوری (AC)، در آن قرار دارد. با وجود این که مهاجمان تکنیکها و روشهای زیادی برای کسب دسترسی سطح بالا به شبکه، از جمله حمله به خود کنترلر دامین را امتحان میکنند، شما نهتنها میتوانید Domain Controller را از دست مهاجمان ایمن نگه دارید، بلکه میتوانید از آن برای شناسایی حملات سایبری در حال رخدادن روی شبکهی خود استفاده کنید.
کارکرد اصلی دامین کنترلر چیست؟
مسئولیت اصلی کنترلکننده دامنه، احراز هویت و اعتبارسنجی دسترسی کاربران به شبکه است. وقتی کاربران به دامنه خود لاگین میکنند، کنترلکننده دامنه یوزرنیم، پسورد و دیگر اطلاعات هویتی آنها را بررسی میکند و بر اساس آنها، برای دادن یا ندادن دسترسی به آن کاربر، تصمیم میگیرد.
مایکروسافت اکتیو دایرکتوری یا Microsoft AzureAD دو مثال شناختهشده از کنترل کنندههای دامنه هستند، و معادل لینوکسی پرطرفدار آن نیز Samba است.
چرا کنترل کننده دامنه مهم است؟
کنترل کنندههای دامنه حاوی دادههایی هستند که براساس آنها برای دسترسی یا عدم دسترسی کاربران به شبکهی شما تصمیمگیری میشود و در واقع مرجع اعتبارسنجی دسترسی کاربران است. برای مثال دادههایی مانند Group Policies (سیاستهای گروهی) و نام تمام کامپیوترهای شبکه، در این سرور نگهداری میشود. تمام اطلاعاتی که یک مهاجم برای واردکردن آسیب جدی به دادهها و شبکهی شما نیاز دارد روی کنترلکننده دامنه قرار دارند؛ همین مساله باعث میشود که حین یک حمله سایبری، کنترلکننده دامنه هدف اصلی باشد.
تفاوت کنترل کننده دامنه با اکتیو دایرکتوری
در یک جمله، رابطهی اکتیو دایرکتوری با کنترلکننده دامنه، مثل رابطه ماشین و موتور ماشین است.
اکتیو دایرکتوری یک نوع دامنه یا Domain است، و کنترل کننده دامنه یک سرور مهم روی آن دامنه است. درست مثل این که انواع مختلفی از ماشینها وجود دارند، و هر ماشین به یک نوع موتور خاص برای کارکردن نیاز دارد. هر دامنهای یک کنترلکننده دامنه نیاز دارد، ولی هر دامنهای اکتیو دایرکتوری نیست.
آیا من به کنترل کننده دامنه نیاز دارم؟
اگر بخواهیم یک جواب کلی و کوتاه به این سوال بدهیم، باید بگوییم بله! هر کسبوکاری – چه بزرگ چه کوچک – که دادههای مشتریان را روی شبکهی خود ذخیره میکند، به یک کنترلکننده دامنه برای بهبود امنیت شبکهی خود نیاز دارد. البته ممکن است استثناهایی هم وجود داشته باشد؛ برای مثال بعضی کسبوکارها فقط از راهکارهای CRM و پرداخت ابری استفاده میکنند. در این موارد، وظیفهی ایمنکردن و حفاظت از دادههای مشتریان، بر عهدهی سرویس ابری است.
سوال مهمی که باید از خود بپرسید این است که « دادههای مشتریان من کجا قرار دارند و چه کسانی میتوانند به آنها دسترسی داشته باشند؟»
پاسخ این سوال مشخص میکند که برای ایمنسازی دادههای خود به یک دامنه – و در نتیجه کنترلکننده دامنه – نیاز دارید یا نه!
مزایای کنترلکننده دامنه
• مدیریت مرکزی کاربران
• امکان اشتراکگذاری منابع مانند فایلها و پرینترها
• پیکربندی یکپارچهی ریداندنسی
• امکان توزیع و تکثیر در شبکههای بزرگ
• رمزگذاری دادههای کاربران
• امکان هاردنینگ و قرنطینه شبکه برای بهبود امنیت
معایب کنترلکننده دامنه
• هدف اصلی حملات سایبری
• امکان هکشدن
• لزوم رسیدگی به کاربران و سیستمعاملها برای پایدارماندن، حفظ امنیت و بهروزبودن
• از کار افتادن شبکه در صورت از کار افتادن کنترلر دامین
ا نیازمندیهای سختافزاری و/یا نرمافزاری
چگونه یک کنترل کننده دامنه ایجاد کنیم؟
- یک سرور مستقل را به عنوان کنترلکننده دامنه پیکربندی کنید.
- اگر از Azure AD به عنوان کنترلکننده دامنه استفاده میکنید، این قدم را نادیده بگیرید!
- در غیر این صورت، سرور کنترلکننده دامنه باید فقط و فقط به عنوان کنترلکننده دامنه عمل کند.
- هم دسترسی فیزیکی و هم دسترسی از راه دور به DC را تا جای ممکن محدود کنید.
- در صورت امکان، دیسک را رمزگذاری کنید (برای مثال با بیت لاکر).
- برای دادن دسترسی به ادمینهای سیستم که مسئول مدیریت اکتیو دایرکتوری هستند، از GPO (آبجکتهای سیاست گروهی) استفاده کنید و به هیچ کاربر دیگری، چه از طریق کنسول و چه از طریق سرویسهای ترمینال، اجازه لاگین ندهید.
- پیکربندی کنترلکننده دامنه را به صورت استاندارد درآورید تا بتوانید در پیکربندیهای آینده نیز، دوباره از آن استفاده کنید.
ایجاد یک کنترلکننده دامنهی ایمن و پایدار به این معنی نیست که تا ابد ایمن هستید! مهاجمان باز هم تلاش میکنند Domain Controller را هک کنند و با این کار سطح دسترسی خود را بالا ببرند یا به سیستمهای بیشتری در شبکهی شما دسترسی پیدا کنند. بنابراین باید راهکار مناسبی برای مانیتورکردن اکتیودایرکتوری در نظر بگیرید تا بتوانید تغییرات انجام شده در GPO که سیاستها را نقض میکنند، حملاتی که به Kerberos انجام میشوند، تلاشهایی که برای افزایش دسترسی صورت میگیرند و مواردی از این دست را شناسایی کنید.