Identity Security

Active Directory beveiliging: bescherming van de identiteitsinfrastructuur

📊 Operationeel 👥 Active Directory-beheerders, identity security-teams ⏱️ 30 min lezen
User SEAMLESS SSO No Prompt Kerberos Azure AD Apps Single Sign-On Experience No additional prompts | Domain-joined devices
Executive Summary

Active Directory is het hart van de identiteits- en toegangsvoorziening binnen veel Nederlandse overheidsorganisaties. Wie Active Directory onder controle krijgt, kan in principe het hele IT-landschap domineren: accounts overnemen, systemen uitschakelen, data wissen of manipuleren en zich onzichtbaar bewegen binnen het netwerk. Aanvallen richten zich daarom steeds vaker op het misbruiken van inloggegevens, het stelen van wachtwoord-hashes, het misbruiken van Kerberos-tickets, het uitvoeren van DCSync-aanvallen om de volledige directorydatabase te repliceren en het misleiden van protocollen zoals NTLM. Om dit te voorkomen is een volwassen AD-beveiligingsarchitectuur nodig, gebaseerd op Privileged Access Workstations voor alle hoogbevoegde beheertaken, een getierde beheerstructuur waarmee referenties niet ongecontroleerd tussen omgevingen kunnen lekken, verregaande hardening en isolatie van domain controllers, en aanvullende beschermingslagen zoals Kerberos-beveiliging, Credential Guard en Defender for Identity voor detectie van afwijkend gedrag. Organisaties die deze combinatie van preventieve, detectieve en responsieve maatregelen invoeren, verkleinen de kans op een catastrofale domeincompromittering drastisch. Een investering in de orde van honderd tot tweehonderdvijftig duizend euro is bescheiden in vergelijking met de kosten, reputatieschade en herstelinspanning van een volledig gecompromitteerd Active Directory-domein.

AD-beveiligingsarchitectuur in de praktijk

Active Directory-beveiliging begint met het fundamenteel scheiden van hoogbevoegde beheertaken van het dagelijkse kantoorgebruik. In veel organisaties loggen domeinbeheerders nog steeds met hun krachtige accounts in op gewone werkstations, webapplicaties en e-mail. Dit creëert een ideaal jachtterrein voor aanvallers: elke kwetsbare browserplug-in, phishingmail of onveilige WIFI-verbinding kan direct leiden tot het onderscheppen van een domeinbeheerderssessie. Het concept van Privileged Access Workstations (PAW) doorbreekt dit patroon door beheeractiviteiten uitsluitend toe te staan vanaf speciaal geharde, strikt beheerde werkstations die fysiek en logisch gescheiden zijn van reguliere kantoorwerkplekken. Op deze PAW’s worden alleen de strikt noodzakelijke beheertools geïnstalleerd, wordt het aanvalsoppervlak geminimaliseerd en worden sterke hardeningprofielen toegepast. Denk aan het uitschakelen van ongebruikte services, het blokkeren van internettoegang, het afdwingen van multi-factor-authenticatie en het continu loggen van beheeractiviteiten.

Naast PAW’s is een getierde beheerarchitectuur een tweede pijler onder een veilig Active Directory-landschap. Binnen deze architectuur worden verschillende vertrouwensniveaus onderscheiden, vaak aangeduid als Tier 0, Tier 1 en Tier 2. Tier 0 omvat de meest kritieke identiteits- en autorisatiecomponenten, zoals domain controllers, identity providers en sleutelbeheersystemen. Tier 1 bevat servers en bedrijfskritische applicaties, terwijl Tier 2 uitwerkstations en overige eindpunten bestaat. Beheerdersaccounts worden strikt aan één tier gekoppeld en mogen niet worden gebruikt op systemen uit een lagere tier. Hierdoor wordt het veel moeilijker voor een aanvaller om via een gekaapt werkstation met een hoogbevoegd account op te klimmen naar de domeinlaag. Deze scheiding vereist heldere procedures, technische afdwinging via groepsbeleid en regelmatige controles op naleving, maar levert een enorme reductie van het risico op credential-theft en laterale beweging op.

Domain controllers zelf verdienen een aparte, zeer terughoudende beveiligingsaanpak. Zij vormen het kloppend hart van de directoryservice en bevatten alle geheimen die een aanvaller nodig heeft om het domein over te nemen. Een robuuste hardeningstrategie omvat het beperken van fysieke en logische toegang tot een kleine, gecontroleerde groep beheerders, het plaatsen van domain controllers in streng afgeschermde netwerksegmenten en het beperken van binnenkomende beheerprotocollen tot een minimum. Uitgebreide auditlogging is essentieel om verdacht gedrag, zoals het onverwacht uitrollen van nieuwe groepsbeleidsinstellingen of wijzigingen in kritieke beveiligingsgroepen, tijdig te signaleren. Daarnaast moeten organisaties processen inrichten voor het periodiek wijzigen van het KRBTGT-wachtwoord, waarmee de sleutels worden vernieuwd die Kerberos-tickets ondertekenen. Een zorgvuldig uitgevoerde rotatie – bijvoorbeeld twee keer per jaar, met duidelijke draaiboeken en testscenario’s – maakt misbruik van gestolen of vervalste Kerberos-tickets (zoals golden tickets) aanzienlijk lastiger.

Moderne dreigingen richten zich niet alleen op wachtwoorden, maar ook op de onderliggende authenticatiemechanismen. Daarom zijn aanvullende beschermingslagen nodig, zoals het inzetten van de groep Beschermde Gebruikers en het afdwingen van sterke versleuteling (bijvoorbeeld AES) voor Kerberos-tickets. In combinatie met technieken als Windows Defender Credential Guard kan worden voorkomen dat inloggegevens en tokens eenvoudig uit het geheugen van een werkstation worden gelezen. Credential Guard maakt gebruik van virtualisatie-gebaseerde beveiliging om gevoelige gegevens in een geĂŻsoleerde omgeving te bewaren, waardoor klassieke pass-the-hash-aanvallen aanzienlijk worden bemoeilijkt. Dit vraagt om zorgvuldige planning, omdat niet elke legacyapplicatie probleemloos met deze moderne beveiligingsopties samenwerkt, maar de winst in weerbaarheid is in de meeste omgevingen aanzienlijk.

Tot slot is detectie en respons een onmisbare component van een volwassen AD-beveiligingsarchitectuur. Oplossingen zoals Microsoft Defender for Identity analyseren inlogpatronen, domeincontrollerverkeer en directoryaanroepen om verdachte activiteiten te herkennen. Denk aan ongebruikelijke DCSync-achtige verzoeken die de volledige directorydatabase proberen te kopiëren, afwijkende aanmeldlocaties voor beheerdersaccounts, plotselinge escalaties van privileges of het gebruik van bekende aanvalstechnieken zoals golden tickets en pass-the-hash. Door deze signalen vroegtijdig te detecteren en te koppelen aan heldere responsprocedures – bijvoorbeeld het onmiddellijk blokkeren van betrokken accounts, het isoleren van verdachte systemen en het starten van forensisch onderzoek – kunnen organisaties een opkomende aanval in de AD-laag stoppen voordat deze uitgroeit tot een organisatiebreed incident. Samen zorgen PAW’s, getierde administratie, geharde domain controllers, aanvullende identiteitsbescherming en geavanceerde monitoring voor een robuuste verdedigingslinie rond Active Directory, passend bij de hoge betrouwbaarheidseisen van de Nederlandse publieke sector.

Conclusie

Een veilig ingerichte Active Directory-omgeving is een absolute randvoorwaarde voor betrouwbare digitale dienstverlening binnen de Nederlandse overheid. Door privileged beheer te isoleren op speciaal geharde werkstations, een getierde beheerarchitectuur in te voeren, domain controllers maximaal te hardenen en aanvullende beschermingslagen voor Kerberos- en NTLM-gegevens te implementeren, wordt het voor aanvallers veel moeilijker om zich een weg naar domeinbeheerdersrechten te banen. In combinatie met oplossingen als Defender for Identity, die afwijkend aanmeld- en replicatiegedrag vroegtijdig aan het licht brengen, ontstaat een sluitend geheel van preventieve en detectieve maatregelen. De benodigde investering – grofweg honderd tot tweehonderdvijftig duizend euro voor ontwerp, implementatie, tooling en trainingen – is aanzienlijk, maar staat in geen verhouding tot de directe en indirecte schade van een volledig gecompromitteerd domein. Organisaties die nu bewust kiezen voor een volwassen AD-beveiligingsarchitectuur, verkleinen hun risico op langdurige verstoringen, gegevensverlies en reputatieschade en leggen een solide fundament onder hun verdere cloud- en moderniseringsstrategie.

Executive Aanbevelingen
  • Zorg dat alle hoogbevoegde beheerders uitsluitend werken vanaf speciaal geharde Privileged Access Workstations, die strikt gescheiden zijn van reguliere kantoorwerkplekken.
  • Voer een getierde beheerarchitectuur in waarin beheerdersaccounts per tier gescheiden zijn en nooit worden gebruikt op systemen met een lager vertrouwensniveau.
  • Harden alle domain controllers door toegang, netwerksegmentatie, logging en configuratie strak te standaardiseren en regelmatig te laten controleren.
  • Implementeer Microsoft Defender for Identity of een vergelijkbare oplossing om verdachte aanmeldingen, DCSync-aanvallen en laterale beweging in Active Directory vroegtijdig te detecteren.
  • Roteer het KRBTGT-wachtwoord periodiek volgens een geformaliseerd draaiboek om misbruik van gestolen of vervalste Kerberos-tickets zo moeilijk mogelijk te maken.
Active Directory AD-beveiliging Domain Controllers