8. DC

Domain Controller

1. Scope

De scope van deze pentest omvat alle aspecten van het beheren, beveiligen en monitoren van Azure Domain Controllers binnen uw cloud- en hybride omgeving. Het onderzoek richt zich specifiek op kritieke beveiligingsgebieden die betrekking hebben op identiteitsbeheer, authenticatie, netwerk- en domeinbeveiliging, compute resources, en logging & monitoring.

Daarnaast wordt rekening gehouden met relevante compliance-eisen en industrienormen, zodat de resultaten direct kunnen worden ingezet om de algemene beveiligingspositie te verbeteren.

1.1 Identiteitsbeheer en Authenticatie

In het kader van identiteitsbeheer en authenticatie richt de pentest zich met name op de configuratie van Active Directory (zowel Azure AD als on-premises AD in hybride scenario’s) en de processen rondom gebruikers- en serviceaccounts. Hierbij wordt beoordeeld in hoeverre accounts te veel rechten hebben (overprivilege) en of de wachtwoord- en MFA-vereisten adequaat zijn.

  • Active Directory-instellingen: De test omvat een grondige analyse van de synchronisatie-instellingen tussen Azure AD en on-premises AD. Hierbij worden de configuratie van Azure AD Connect, de frequentie van replicatie en de beveiliging van de synchronisatiekanalen beoordeeld. Tevens wordt gekeken of er onnodige replicatiepaden bestaan die extra risico’s met zich meebrengen.

  • Gebruikersbeheer: De pentest verifieert of gebruikersaccounts correct zijn gesegmenteerd, bijvoorbeeld via Role-Based Access Control (RBAC). Verouderde, ongebruikte of gedeelde accounts kunnen een grote zwakke plek vormen. Er wordt beoordeeld of deze accounts strikt worden beheerd, tijdig worden opgeruimd en of hun machtigingen in lijn zijn met de operationele noodzaak.

  • Multi-Factor Authentication (MFA): Het onderzoek richt zich op de afdwinging van MFA, met speciale nadruk op de accounts met verhoogde rechten (Global Administrators, Domain Admins, etc.). Indien MFA niet verplicht is ingesteld, wordt geëvalueerd wat de achterliggende reden is en welke risico’s hierdoor ontstaan.

  • Gastgebruikers: Gastgebruikers (bijvoorbeeld via Azure B2B) worden geanalyseerd op mogelijke escalatierisico’s. De nadruk ligt op de autorisaties die gastgebruikers krijgen bij het benaderen van kritieke domeinresources, en of er strikte beleidsregels gelden (zoals just-in-time of time-based access).

  • Legacy Authentication: Verouderde protocollen (zoals NTLM) en klassieke Kerberos-configuraties kunnen gevoelig zijn voor pass-the-hash en andere geavanceerde aanvallen. De test onderzoekt in hoeverre deze legacy-methoden nog actief zijn en of er een beleid bestaat voor uitfasering of mitigatie.

  • Serviceaccounts: Ook serviceaccounts, die vaak worden gebruikt door applicaties of externe integraties, kunnen een zwak punt vormen indien zij te ruime rechten hebben of als hun wachtwoordbeleid zwak is. De pentest controleert of deze accounts zijn afgeschermd, of wachtwoorden regelmatig worden gewijzigd en of er adequate logging bestaat rondom hun activiteiten.

1.2 Netwerk- en Domeinbeveiliging

Netwerk- en domeinbeveiliging vormen de tweede pijler van de pentest. Hierbij gaat het niet alleen om de toegangsregels in Azure, maar ook om hoe de domeincontrollers in het netwerk zijn gesegmenteerd en beschermd tegen interne en externe bedreigingen.

  • Domeincontroller-toegang: De test onderzoekt of er duidelijke restricties gelden voor domeincontroller-VMs, bijvoorbeeld op basis van IP-whitelisting of NSGs (Network Security Groups). Onbeperkte netwerktoegang tot ADC’s kan immers leiden tot grootschalige compromittering van de gehele omgeving.

  • Firewallregels: Er wordt beoordeeld of de firewall- en security group-regels rond Azure VNets en subnetten correct zijn geconfigureerd. Daarbij wordt zowel inbound als outbound verkeer geanalyseerd om na te gaan of er onnodige poorten openstaan of dat er ongeautoriseerde protocollen worden toegestaan.

  • LDAP en LDAPS: LDAP-verkeer (poorten 389 en 636) moet altijd adequaat worden beveiligd via SSL/TLS (LDAPS). Onbeveiligde LDAP-poorten vormen een groot risico voor man-in-the-middle-aanvallen en afluisteren van gevoelige inloggegevens. De pentest valideert daarom of LDAP strikt is uitgeschakeld of naar LDAPS is gemigreerd.

  • DNS-beveiliging: DNS-configuraties kunnen een gateway vormen voor DNS-spoofing, cache poisoning en man-in-the-middle-aanvallen. De pentest controleert of DNSSEC of andere verificatiemechanismen zijn ingeschakeld en of er adequate logging bestaat om verdachte DNS-verzoeken te detecteren.

1.3 Beveiliging van Compute Resources

De beveiliging van compute resources draait om de onderliggende virtuele machines die de domeincontrollers hosten. Hier is het van cruciaal belang om best practices te volgen rond hardening, patchmanagement en toegangsrestricties.

  • Virtuele domeincontrollers: Er wordt geverifieerd in hoeverre RDP- en PowerShell-toegang is beperkt tot strikt noodzakelijke gebruikers. De test kijkt bovendien naar de toegepaste OS- en softwarepatches, evenals de configuratie van anti-malware, Defender for Cloud-instellingen en andere endpoint-beveiligingsmaatregelen.

  • Hardening van domeincontroller-VMs: De pentest hanteert beveiligingsstandaarden (bijv. CIS Benchmarks en Microsoft Security Baselines) om te controleren of het besturingssysteem en de domeincontroller-rollen voldoende zijn gehard. Denk hierbij aan het uitschakelen van onnodige services, het configureren van beveiligde cryptografische protocollen en het implementeren van geavanceerde audit policies.

  • Snapshot-beveiliging: Het maken van snapshots en back-ups van domeincontrollers kan nuttig zijn voor noodherstel, maar vormt eveneens een risico indien onbevoegden toegang tot deze snapshots krijgen. De test beoordeelt of snapshots veilig worden opgeslagen, welke toegangsrechten er gelden en of er encryptie is toegepast.

1.4 Logging en Monitoring

Logging en monitoring zijn essentieel om beveiligingsincidenten te detecteren en te analyseren. De pentest kijkt naar de configuratie van audit- en monitoringsystemen, evenals de integratie met SIEM-oplossingen.

  • Auditing van domeinactiviteiten: Een robuuste auditconfiguratie is onmisbaar om verdachte gebeurtenissen te detecteren. De test verifieert of wijzigingen in Group Policies, privilege-escalaties, brute-force-aanvallen en kritieke aanmeldingen worden vastgelegd en of deze logs centraal worden verzameld.

  • Integratie met SIEM-oplossingen: Azure Sentinel of andere SIEM-oplossingen kunnen veel voordeel bieden bij het samenvoegen en analyseren van logbestanden. De pentest onderzoekt hoe deze systemen zijn geconfigureerd, of er real-time alerts en detectieregels actief zijn en hoe incidentrespons wordt gecoördineerd.

  • Logretentie: Met het oog op compliance (o.a. GDPR, ISO 27001) en forensische analyse is het cruciaal dat logs voldoende lang bewaard blijven en veilig worden opgeslagen. De test kijkt naar de retentieperioden en nagaat of verouderde logs adequaat worden gearchiveerd of vernietigd.

2. Rules of Engagement

Voor de uitvoering van de pentest zijn duidelijke afspraken nodig om de risico’s voor productieomgevingen te minimaliseren en om te voldoen aan alle relevante wet- en regelgeving. In deze sectie worden de voorwaarden en verantwoordelijkheden uiteengezet.

2.1 Beperkingen en Afstemming

  • De pentest zal worden uitgevoerd binnen vooraf afgesproken vensters om impact op de dagelijkse operatie te reduceren. Eventuele uitloop of wijziging van de testplanning zal tijdig worden gecommuniceerd.

  • Mochten er tests zijn die mogelijk verstorend kunnen werken, dan wordt hiervoor expliciete schriftelijke toestemming gevraagd. Denk bijvoorbeeld aan DDoS-simulaties of zeer intensieve vulnerability scanning.

  • Waar mogelijk worden kritieke systemen getest in een aparte sandbox- of stagingomgeving. Indien productieomgevingen moeten worden getest, zal worden nagegaan of passende back-outplannen beschikbaar zijn.

2.2 Communicatie en Incidentbeheer

  • Bij het aantreffen van een kritieke kwetsbaarheid of een incident dat onbedoelde schade kan veroorzaken, volgt onmiddellijke melding. De escalatieprocedures worden vooraf vastgesteld, zodat direct de juiste contactpersonen en verantwoordelijken worden geïnformeerd.

  • De testpartijen werken nauw samen met uw beveiligings- en IT-teams om snel te reageren op eventuele beveiligingsproblemen en om lessons learned te documenteren in het eindrapport.

2.3 Juridische en Compliance-aspecten

  • Voorafgaand aan de start van de pentest is een schriftelijke goedkeuring vereist, waarin de doelstellingen en reikwijdte van de test expliciet staan omschreven. Dit document maakt deel uit van de contractuele overeenkomsten tussen de testende partij en uw organisatie.

  • De pentest is ontworpen om te voldoen aan relevante normen en richtlijnen, zoals de AVG (GDPR), ISO 27001, NIST SP 800-53 en lokale wet- en regelgeving. Er wordt nauwlettend op toegezien dat tijdens de test geen onrechtmatige gegevensverwerking plaatsvindt en dat de privacy van gebruikers gewaarborgd blijft.

3. Methodologie

De algemene aanpak is gebaseerd op erkende beveiligingsraamwerken zoals NIST SP 800-53, MITRE ATT&CK en de CIS Benchmarks, maar specifiek aangepast aan de karakteristieken en services van Azure. Hierdoor is de test zowel grondig als relevant voor uw technische infrastructuur.

3.1 Reconnaissance

In deze fase wordt informatie verzameld over de infrastructuur, zowel via publieke bronnen (OSINT) als via interne verkenning van domeincontrollers en gebruikersgroepen.

  • Externe evaluatie: Public-facing diensten, subdomeinen, DNS-records en metadata die zichtbaar zijn op internet worden onderzocht. Zo kan bijvoorbeeld worden vastgesteld of er oude of onbedoeld blootgestelde Azure-AD-diensten actief zijn.

  • Interne analyse: Op interne systemen wordt een inventarisatie gedaan van domeincontrollers, gebruikersgroepen, serviceaccounts, Group Policy Objects (GPO’s) en trust-relaties. Op basis hiervan kan een aanvaller in kaart brengen waar de grootste kans op privilege-escalatie ligt.

  • OSINT: Er wordt gebruikgemaakt van openbare bronnen, zoals social media, IT-forums en lekdatabases, om na te gaan of er reeds bekende (vermoedelijk gecompromitteerde) inloggegevens of andere aanknopingspunten te vinden zijn.

3.2 Beveiligingstesten

Op basis van de informatie uit de reconnaissance worden gerichte aanvallen en tests uitgevoerd om de weerbaarheid van de omgeving te meten. Hierbij wordt gebruikgemaakt van zowel geautomatiseerde scanningstools als handmatige penetratietests door ervaren security-experts.

Identiteitsbeheer

  • Wachtwoordbeleid: Er wordt onderzocht of de wachtwoordlengte, complexiteitsvereisten en rotatiebeleid van de organisatie voldoen aan de aanbevolen standaarden. Hierbij wordt specifiek gekeken naar het beleid voor beheerders- en serviceaccounts, aangezien deze doorgaans een hoger risico met zich meebrengen.

  • Misbruik van gastgebruikers: Aan de hand van simulaties wordt beoordeeld of gastgebruikers toegang kunnen verkrijgen tot gevoelige systemen of data door zwakke configuraties. Ook wordt nagegaan in hoeverre monitoring en alerting hierop zijn ingericht.

  • Azure AD Conditional Access Policies: Conditional Access vormt een belangrijke schil voor het afdwingen van contextafhankelijke MFA en toegangsbeperkingen. De test evalueert of er hiaten bestaan in de beleidstoepassing, bijvoorbeeld door uitzonderingen voor specifieke gebruikers of apparaten.

  • Credential stuffing tests: Met uitdrukkelijke goedkeuring van uw organisatie worden verouderde of bekende wachtwoordlijsten ingezet om te verifiëren of gebruikersaccounts kwetsbaar zijn voor brute-force of credential stuffing. Indien nodig wordt de aanval voortijdig afgebroken om onbedoelde verstoringen te voorkomen.

Netwerkconfiguratie

  • Poortbeheer: De test gaat na of essentiële poorten correct zijn afgesloten en of de ADC’s alleen benaderbaar zijn via de strikt noodzakelijke protocollen. Onnodige open poorten kunnen namelijk een pad vormen voor ongeautoriseerde toegang.

  • VPN en netwerksegmentatie: Goede segmentatie is van cruciaal belang om te voorkomen dat een aanval op één onderdeel van het netwerk kan overslaan naar de domeincontrollers. De pentest beoordeelt of Azure VNets, subnetten en eventuele site-to-site VPN-verbindingen correct zijn ingeregeld.

  • DNS-poisoning tests: Door middel van DNS-aanvalsscenario’s wordt nagegaan of er sprake is van zwakke configuraties die kunnen leiden tot verkeerde IP-resolutie, waardoor gebruikers nietsvermoedend inloggegevens naar een malafide server kunnen sturen.

Domeincontroller-specifieke tests

  • Kerberos- en NTLM-aanvallen: Zowel Kerberos (bijv. pass-the-ticket, kerberoasting) als NTLM (bijv. pass-the-hash) worden onderzocht op mogelijke escalatieroutes. Als blijkt dat NTLM nog actief is, wordt beoordeeld of dit strikt noodzakelijk is of dat het uitfaseren hiervan mogelijk is.

  • Privilege-escalatie: De pentest test specifiek op het verwerven van domeinbeheerderrechten, bijvoorbeeld door het misbruiken van kwetsbaar geconfigureerde GPO’s of misbruik van service principal names. Dit soort scenario’s laat zien hoe ver een aanvaller kan komen als een initiële accountcompromittering lukt.

  • GPO-beveiliging: Group Policy Objects spelen een cruciale rol bij het afdwingen van beveiligingsinstellingen. Fouten of onveilige instellingen in GPO’s kunnen leiden tot het ongezien wijzigen van firewallregels, wachtwoordbeleid of inlogscripts. De pentest verifieert of GPO’s correct zijn afgestemd op het principe van least privilege.

  • Replication attacks (DCSync): DCSync-aanvallen maken misbruik van de replicatierollen van domeincontrollers om wachtwoord-hashes van andere accounts te bemachtigen. De pentest controleert of de bijbehorende Active Directory-permissies juist zijn afgeschermd en of logging en monitoring eventueel misbruik kunnen detecteren.

Continuïteit en Back-ups

  • Herstelbeveiliging: De test richt zich op de beveiligingsmaatregelen die zijn toegepast op back-ups en snapshots. Toegang tot deze data kan immers leiden tot het herstellen van een compromis in een later stadium, of tot het achterhalen van kritieke wachtwoord-hashes.

  • Ransomware-simulatie: Hoewel een volledige ransomware-aanvalsimulatie zeer impactvol kan zijn, worden wel deelaspecten getest, zoals de integriteit van back-upsystemen en de snelheid van detectie. De pentest beoordeelt of versleutelde domeincontroller-VMs binnen redelijke tijd hersteld kunnen worden, en of de logging voldoende is om de oorzaak te achterhalen.

Door deze uitgebreide en stapsgewijze benadering ondersteund door best practices en erkende beveiligingsraamwerken, biedt de pentest een volledig inzicht in de huidige staat van je Azure Domain Controllers. De resultaten zullen resulteren in een gestructureerd rapport met aanbevelingen op het gebied van beleid, configuratie en incidentrespons. Hiermee kun je gericht werken aan het verhogen van de maturiteit van uw identiteits- en domeinbeveiliging, het minimaliseren van risico’s en het waarborgen van compliance.

Previous7. Beveiligingstools en LoggingNext9. Tools en technieken

Last updated