7 مؤشرات لمخاطر Active Directory الرئيسية في لوحة القيادة Varonis

كل ما يحتاجه المهاجم هو الوقت والتحفيز لاختراق شبكتك. لكن عملنا معك هو منعه من القيام بذلك ، أو على الأقل تعقيد هذه المهمة قدر الإمكان. يجب أن تبدأ بتحديد نقاط الضعف في Active Directory (المشار إليها فيما يلي باسم م) والتي يمكن للمهاجم استخدامها للوصول إلى الشبكة والتحرك فيها ، دون أن يتم اكتشافها. سننظر اليوم في هذه المقالة في مؤشرات المخاطر التي تعكس مواطن الضعف الموجودة في الدفاع الإلكتروني لمؤسستك ، وذلك باستخدام لوحة معلومات AD Varonis كمثال.

يستخدم المهاجمون تكوينات محددة في المجال

يستخدم المهاجمون العديد من الحيل ونقاط الضعف لاختراق شبكة الشركة وزيادة الامتيازات. بعض نقاط الضعف هذه هي معلمات تكوين المجال التي يمكن تغييرها بسهولة بعد تحديدها.

ستعلمك لوحة معلومات AD فورًا إذا لم تقم (أو مسؤولو النظام لديك) بتغيير كلمة مرور KRBTGT الشهر الماضي ، أو إذا قام شخص ما بالتصديق باستخدام حساب المسؤول الافتراضي (Administrator). يوفر هذان الحسابان وصولاً غير محدود إلى شبكتك: سيحاول المهاجمون الوصول إليها لتجاوز بحرية أي تمييز في الامتيازات وأذونات الوصول. ونتيجة لذلك ، للوصول إلى أي بيانات تهمهم.

بالطبع ، يمكنك اكتشاف هذه الثغرات الأمنية بنفسك: على سبيل المثال ، قم بتعيين تذكير للتقويم للتحقق أو قم بتشغيل برنامج PowerShell النصي لجمع هذه المعلومات.

يتم تحديث لوحة معلومات Varonis تلقائيًا لتوفير عرض وتحليل سريع للمقاييس الرئيسية التي تبرز نقاط الضعف المحتملة حتى تتمكن من اتخاذ إجراءات فورية.

3 مؤشرات المخاطر الرئيسية على مستوى المجال

يوجد أدناه عدد من الأدوات المصغّرة المتوفرة على لوحة معلومات Varonis ، والتي سيؤدي استخدامها إلى تعزيز حماية شبكة الشركة والبنية التحتية لتكنولوجيا المعلومات ككل بشكل كبير.

1. عدد المجالات التي لم تتغير كلمة مرور حساب Kerberos عليها بشكل كبير

حساب KRBTGT هو حساب خاص في AD يوقع جميع تذاكر Kerberos . يمكن للمهاجمين الذين يمكنهم الوصول إلى وحدة تحكم مجال (DC) استخدام هذا الحساب لإنشاء تذكرة ذهبية ، والتي ستمنحهم وصولاً غير محدود إلى أي نظام تقريبًا على شبكة الشركة. لقد واجهنا موقفًا ، بعد تلقي البطاقة الذهبية بنجاح ، تمكن المهاجم من الوصول إلى شبكة المنظمة لمدة عامين. إذا لم تتغير كلمة مرور حساب KRBTGT في شركتك على مدار الأربعين يومًا الماضية ، فستعلمك الأداة الذكية بهذا.

أربعون يومًا هي أكثر من وقت كافٍ للمهاجم للوصول إلى الشبكة. ومع ذلك ، إذا قمت بتوفير وتغيير عملية تغيير كلمة المرور هذه بشكل منتظم ، فسيؤدي ذلك إلى تعقيد مهمة المهاجم لاختراق شبكة الشركة بشكل كبير.


تذكر أنه وفقًا لتطبيق بروتوكول Kerberos بواسطة Microsoft ، يلزمك تغيير كلمة مرور KRBTGT مرتين.

في المستقبل ، ستذكرك الأداة AD هذه عندما يحين الوقت لتغيير كلمة مرور KRBTGT مرة أخرى لجميع المجالات على شبكتك.

2. عدد المجالات التي تستخدم مؤخرًا حساب المسؤول المضمن

وفقًا لمبدأ الامتيازات الأقل ، يتم توفير حسابين لمسؤولي النظام: الأول هو حساب للاستخدام اليومي ، والثاني مخصص للعمل الإداري المخطط. هذا يعني أنه لا ينبغي لأحد استخدام حساب المسؤول الافتراضي.

غالبًا ما يتم استخدام حساب المسؤول المضمن لتبسيط عملية إدارة النظام. هذا يمكن أن يكون عادة سيئة ، مما أدى إلى اختراق. إذا حدث هذا في مؤسستك ، فسيكون من الصعب عليك التمييز بين الاستخدام السليم لهذا الحساب وبين إمكانية الوصول إلى ضار.


إذا أظهرت الأداة أي شيء بخلاف الصفر ، فهذا يعني أن شخصًا ما لا يعمل بشكل صحيح مع الحسابات الإدارية. في هذه الحالة ، يجب اتخاذ تدابير لتصحيح وتقييد الوصول إلى حساب المسؤول المضمن.
بمجرد أن تحقق قيمة صفرية لعنصر واجهة المستخدم ولم يعد مسؤولو النظام يستخدمون هذا الحساب لعملهم ، فسيشير أي تغيير في المستقبل إلى هجوم سيبراني محتمل.

3. عدد المجالات التي لا توجد فيها مجموعة من المستخدمين المحميين (المستخدمين المحميين)

الإصدارات القديمة من AD دعمت نوعًا ضعيفًا من التشفير - RC4. قام المتسللون بتكسير RC4 قبل عدة سنوات ، والآن بالنسبة للمهاجمين لاقتحام حساب ما زال يستخدم RC4 هي مهمة تافهة. قدم إصدار Active Directory الذي تم تقديمه في Windows Server 2012 مجموعة من المستخدمين من نوع جديد يسمى مجموعة المستخدمين المحميين. يوفر أدوات أمان إضافية ويمنع مصادقة المستخدم باستخدام تشفير RC4.

ستوضح هذه الأداة المصغرة ما إذا كانت هناك مجموعة من هذا القبيل في أي مجال من مجالات المنظمة بحيث يمكنك إصلاحها ، أي تمكين مجموعة من المستخدمين المحميين ، واستخدامها لحماية البنية التحتية.

أهداف خفيفة للمهاجمين

حسابات المستخدمين هي الهدف رقم واحد للمهاجمين - من المحاولات الأولى لاختراق التصعيد المستمر للامتيازات وإخفاء تصرفاتهم. يبحث المهاجمون عن أهداف بسيطة على شبكتك باستخدام أوامر PowerShell الأساسية ، والتي يصعب اكتشافها غالبًا. قم بإزالة أكبر عدد ممكن من هذه الأهداف الخفيفة من م.

يبحث المهاجمون عن المستخدمين الذين لديهم كلمات مرور غير محدودة (أو لا يحتاجون إلى كلمات مرور) ، وحسابات تقنية للمسؤولين ، وحسابات تستخدم تشفير RC4 القديم.

أي من هذه الحسابات هو إما تافهة للوصول ، أو ، كقاعدة عامة ، لا يتم مراقبتها. يمكن للمهاجمين اختطاف هذه الحسابات والتحرك بحرية داخل البنية التحتية الخاصة بك.

بمجرد أن يخترق المهاجمون محيط الأمان ، فمن المحتمل أن يتمكنوا من الوصول إلى حساب واحد على الأقل. هل يمكنك منعهم من الوصول إلى البيانات الحساسة قبل اكتشاف الهجوم وإنهائه؟

ستشير لوحة معلومات Varonis AD إلى حسابات المستخدمين الضعيفة حتى تتمكن من حل المشكلات مسبقًا. كلما زادت صعوبة الوصول إلى شبكتك ، زادت فرصك في تحييد أحد المهاجمين قبل أن يلحق به أضرار جسيمة.

4 مؤشرات المخاطر الرئيسية لحسابات المستخدمين

فيما يلي أمثلة على الأدوات المصغّرة في لوحة معلومات Varonis AD التي تشير إلى حسابات المستخدمين الأكثر ضعفًا.

1. عدد المستخدمين النشطين بكلمات مرور لا تنتهي صلاحيتها أبدًا

بالنسبة لأي مهاجم ، فإن الوصول إلى هذا الحساب يعد دائمًا نجاحًا كبيرًا. نظرًا لأن كلمة المرور لا تنتهي أبدًا ، يحصل المهاجم على موطئ قدم دائم داخل الشبكة ، والذي يمكن استخدامه بعد ذلك لزيادة الامتيازات أو التنقل داخل البنية التحتية.
لدى المهاجمون قوائم بملايين مجموعات كلمة مرور المستخدم التي يستخدمونها في هجمات استبدال بيانات الاعتماد والاحتمالية
أن تركيبة المستخدم بكلمة المرور "الأبدية" موجودة في إحدى هذه القوائم ، أكثر من الصفر.

من السهل إدارة الحسابات التي تحتوي على كلمات مرور غير منتهية الصلاحية ، ولكنها غير آمنة. استخدم هذه الأداة للعثور على جميع الحسابات التي تحتوي على كلمات المرور هذه. تغيير هذا الإعداد وتحديث كلمة المرور.


بمجرد أن تصبح قيمة هذه الأداة صفرًا ، ستظهر أي حسابات جديدة تم إنشاؤها باستخدام كلمة المرور هذه على لوحة القيادة.

2. عدد الحسابات الإدارية مع SPN

SPN (الاسم الرئيسي للخدمة) هو معرف فريد لمثيل الخدمة. توضح هذه الأداة عدد حسابات الخدمة التي لها حقوق مسؤول كاملة. يجب أن تكون القيمة على عنصر واجهة المستخدم صفرا. يحدث SPN مع حقوق المسؤول لأن منح مثل هذه الحقوق مناسب لموفري البرامج ومسؤولي التطبيق ، ولكن هذا يشكل مخاطرة أمنية.

يتيح منح امتيازات مسؤول حساب خدمة للمهاجم إمكانية الوصول الكامل إلى حساب غير مستخدم. هذا يعني أن المهاجمين الذين لديهم حق الوصول إلى حسابات SPN يمكنهم التصرف بحرية داخل البنية التحتية وفي نفس الوقت تجنب مراقبة تصرفاتهم.

يمكنك حل هذه المشكلة عن طريق تغيير أذونات حسابات الخدمة. يجب أن تطيع مثل هذه الحسابات مبدأ الامتياز الأقل وأن يكون لها حق الوصول الضروري لعملهم فقط.


باستخدام هذه الأداة ، يمكنك العثور على جميع SPNs التي لديها حقوق المسؤول ، والقضاء على هذه الامتيازات ، والسيطرة بشكل أكبر على SPN ، مسترشدة بنفس مبدأ الوصول مع أقل الامتيازات.

سيتم عرض SPN الذي يظهر حديثًا على لوحة القيادة ، ويمكنك التحكم في هذه العملية.

3. عدد المستخدمين الذين لا يحتاجون إلى مصادقة Kerberos المسبقة

من الناحية المثالية ، يقوم Kerberos بتشفير بطاقة مصادقة باستخدام تشفير AES-256 ، والذي يظل بدون انقطاع حتى الآن.

ومع ذلك ، تستخدم الإصدارات الأقدم من Kerberos تشفير RC4 ، والذي يمكن الآن تصدعه في دقائق. تعرض هذه الأداة المصغرة حسابات المستخدمين التي لا تزال تستخدم RC4. لا تزال Microsoft تدعم RC4 للتوافق مع الإصدارات السابقة ، ولكن هذا لا يعني أنه يجب عليك استخدامه في إعلانك.


بعد العثور على مثل هذه الحسابات ، تحتاج إلى إلغاء تحديد مربع الاختيار "لا تحتاج إلى ترخيص Kerberos المسبق" في م ، بحيث تستخدم الحسابات تشفيرًا أكثر تعقيدًا.

إن الاكتشاف الذاتي لهذه الحسابات ، بدون لوحة المعلومات Varonis AD ، يستغرق وقتًا طويلاً. في الواقع ، يعد الإطلاع في الوقت المناسب على جميع الحسابات التي يتم تحريرها لاستخدام تشفير RC4 مهمة أكثر صعوبة.

إذا تغيرت القيمة على عنصر واجهة المستخدم ، فقد يشير ذلك إلى إجراءات غير قانونية.

4. عدد المستخدمين بدون كلمة مرور

يستخدم المهاجمون أوامر PowerShell الأساسية لقراءة علامة "PASSWD_NOTREQD" من خصائص AD في خصائص الحساب. استخدام هذه العلامة يعني أنه لا يوجد شرط لوجود أو تعقيد كلمة المرور.
ما مدى سهولة سرقة حساب بكلمة مرور بسيطة أو فارغة؟ الآن تخيل أن أحد هذه الحسابات هو المسؤول.


ماذا لو كان واحدًا من آلاف الملفات السرية المفتوحة للجميع هو تقرير مالي قادم؟

يعد تجاهل شرط إدخال كلمة المرور الإلزامية اختصارًا آخر لإدارة النظام والذي تم استخدامه غالبًا في الماضي ، ولكنه اليوم غير مقبول وغير آمن.

إصلاح هذه المشكلة عن طريق تحديث كلمات المرور لهذه الحسابات.

تساعدك مراقبة هذه الأداة في المستقبل على تجنب حسابات المستخدمين دون كلمة مرور.

فارونيس يساوي الاحتمالات

في الماضي ، استغرق عمل جمع المقاييس وتحليلها في المقالة عدة ساعات وتطلب معرفة متعمقة من PowerShell: كان على متخصصي الأمن تخصيص موارد لمثل هذه المهام كل أسبوع أو شهر. لكن التجميع اليدوي لهذه المعلومات ومعالجتها يمنح المهاجمين نقطة انطلاق للاختراق وسرقة البيانات.

مع Varonis ، ستقضي يومًا واحدًا لنشر لوحة معلومات AD ومكونات إضافية ، لجمع كل الثغرات المدروسة والعديد من نقاط الضعف الأخرى. في المستقبل ، أثناء التشغيل ، سيتم تحديث لوحة القيادة تلقائيًا مع تغير حالة البنية الأساسية.

إن إجراء الهجمات السيبرانية دائمًا هو سباق بين المهاجمين والمدافعين ، وهي رغبة المهاجم في سرقة البيانات قبل أن يتمكن خبراء الأمن من منع الوصول إليها. إن الاكتشاف المبكر للمجرمين الإلكترونيين وأعمالهم غير القانونية ، بالإضافة إلى الدفاع السيبراني القوي ، هو المفتاح لضمان أمان بياناتك.