攻击者需要的只是时间和动机来渗透您的网络。 但是我们与您的合作是防止他执行此操作,或者至少使该任务复杂化。 您需要首先确定Active Directory(以下称为AD)中的弱点,攻击者可以利用这些弱点来获取访问权限并在网络中四处移动,而未被发现。 今天,在本文中,我们将以AD Varonis仪表板为例,研究反映贵组织网络防御中现有漏洞的风险指标。
攻击者在域中使用特定的配置
攻击者使用许多技巧和漏洞来渗透公司网络并增加特权。 这些漏洞中的一些是域配置参数,在识别它们之后可以轻松更改。
如果您(或您的系统管理员)上个月没有更改KRBTGT密码,或者有人通过内置的默认管理员帐户(管理员)进行了身份验证,则AD仪表板会立即通知您。 这两个帐户提供对您的网络的无限访问权限:攻击者将尝试获取对它们的访问权限,以自由绕过特权和访问权限之间的任何区别。 因此,可以访问他们感兴趣的任何数据。
当然,您可以自己检测到这些漏洞:例如,设置日历提醒以进行验证或运行PowerShell脚本来收集此信息。
Varonis仪表板会
自动更新,以快速查看和分析突出显示潜在漏洞的关键指标,因此您可以立即采取行动。
域级别的3个关键风险指标
以下是Varonis仪表板上可用的许多小部件,这些小部件的使用将显着增强对整个公司网络和IT基础结构的保护。
1. Kerberos帐户密码没有显着更改的域数KRBTGT帐户是AD中的特殊帐户,用于对所有
Kerberos票证进行签名。 获得域控制器(DC)访问权限的攻击者可以使用此帐户创建
黄金票 ,这将使他们不受限制地访问公司网络上的几乎所有系统。 我们面临的情况是,攻击者成功获得金票后,便可以访问组织的网络两年。 如果您公司中的KRBTGT帐户的密码在最近四十天内没有更改,则该小部件将通知您。
对于攻击者而言,四十天足够的时间来访问网络。 但是,如果您定期提供并标准化更改密码的过程,这将使攻击者渗透到公司网络的任务大大复杂化。
请记住,根据Microsoft实施的Kerberos协议,您需要两次
更改 KRBTGT
密码 。
将来,此AD小部件将提醒您何时该为网络上的所有域再次更改KRBTGT密码。
2.最近使用内置管理员帐户的域数根据
最小特权原则,为系统管理员提供了两个帐户:第一个帐户用于日常使用,第二个帐户用于计划的管理工作。 这意味着没有人可以使用默认的管理员帐户。
内置管理员帐户通常用于简化系统管理过程。 这可能是一个坏习惯,从而导致黑客入侵。 如果这在您的组织中发生,那么您将很难区分此帐户的正确使用与潜在的恶意访问。
如果窗口小部件显示的非零值,则表示某人无法正确使用管理帐户。 在这种情况下,您必须采取措施纠正和限制对内置管理员帐户的访问。
一旦您将小部件的价值设置为零,并且系统管理员不再使用该帐户进行工作,那么将来,如果对其进行任何更改,都将表明潜在的网络攻击。
3.没有受保护的用户(受保护的用户)组的域数AD的旧版本支持弱加密类型-RC4。 黑客很多年前破解了RC4,现在,对于攻击者来说,破解仍然使用RC4的帐户是一项微不足道的任务。 Windows Server 2012中引入的Active Directory版本引入了一组新类型的用户,称为“受保护的用户组”。 它提供了其他安全工具,并阻止了使用RC4加密的用户身份验证。
此小部件将演示在组织的任何域中是否没有这样的组,以便您可以对其进行修复,即 启用安全的用户组并使用它来保护基础结构。
攻击者的轻目标
用户帐户是攻击者的第一大目标-从首次尝试渗透到不断升级的特权并隐藏其行为。 攻击者使用基本的PowerShell命令在网络上寻找简单目标,这些目标通常很难检测到。 尽可能多地从AD移除这些轻目标。
攻击者将寻找没有限制密码的用户(或不需要密码的用户),作为管理员的技术帐户以及使用旧RC4加密的帐户。
这些帐户中的任何一个都不容易访问,或者通常不会受到监视。 攻击者可以劫持这些帐户并在基础架构内自由移动。
一旦攻击者侵入安全范围,他们就有可能获得至少一个帐户的访问权限。 在检测并终止攻击之前,是否可以阻止它们访问敏感数据?
Varonis AD仪表板将指向易受攻击的用户帐户,以便您可以提前解决问题。 进入您的网络越困难,则在攻击者造成严重破坏之前抵消其攻击的可能性就越大。
用户帐户的4个关键风险指标
以下是Varonis AD仪表板中指示最易受攻击的用户帐户的窗口小部件示例。
1.具有永不过期密码的活动用户数对于任何攻击者而言,访问此类帐户始终是一个巨大的成功。 由于密码永不过期,因此攻击者会在网络内获得永久性立足点,然后可用于
增加特权或在基础架构内移动。
攻击者拥有可用于凭据替换攻击的数百万个用户密码组合的列表,以及
用户使用“永恒”密码的组合在这些列表之一中,远远超过了零。
密码未过期的帐户易于管理,但不安全。 使用此小部件可查找具有这些密码的所有帐户。 更改此设置并更新密码。
一旦此小部件的值变为零,使用此密码创建的任何新帐户都将出现在仪表板上。
2.具有SPN的管理帐户的数量SPN(服务主体名称)是服务实例的唯一标识符。 此小部件显示有多少个具有完全管理员权限的服务帐户。 小部件上的值必须为零。 出现具有管理员权限的SPN是因为授予此类权限对于软件提供商和应用程序管理员来说很方便,但这会带来安全风险。
通过授予服务帐户管理员特权,攻击者可以完全访问未使用的帐户。 这意味着有权访问SPN帐户的攻击者可以在基础结构内部自由采取行动,同时避免监视其行为。
您可以通过更改服务帐户的权限来解决此问题。 此类帐户必须遵守最小特权原则,并且仅具有其工作真正必需的访问权限。
使用此小部件,您可以找到具有管理员权限的所有SPN,消除此类特权并进一步控制SPN,并遵循具有最少特权的相同访问原则。
新出现的SPN将显示在仪表板上,您可以控制此过程。
3.不需要Kerberos预身份验证的用户数理想情况下,Kerberos使用AES-256加密对身份验证票进行加密,该身份票至今仍未中断。
但是,较早版本的Kerberos使用RC4加密,现在可以在几分钟内破解它。 此小部件显示哪些用户帐户仍在使用RC4。 Microsoft仍支持RC4以实现向后兼容性,但这并不意味着您应该在AD中使用它。
找到此类帐户后,您需要清除AD中的“不需要Kerberos预授权”复选框,以便这些帐户使用更复杂的加密。
在没有Varonis AD仪表板的情况下,这些帐户的自我发现非常耗时。 实际上,及时通知所有经过编辑以使用RC4加密的帐户是一项更加困难的任务。
如果窗口小部件上的值更改,则可能表明存在非法操作。
4.没有密码的用户数攻击者使用基本的PowerShell命令从帐户属性中的AD属性读取“ PASSWD_NOTREQD”标志。 使用此标志意味着不需要密码的存在或复杂性。
使用简单密码或空白密码窃取帐户有多容易? 现在,假设这些帐户之一是管理员。
如果向所有人开放的数千个机密文件之一是即将发布的财务报告,该怎么办?
忽略强制密码输入要求是过去经常使用的系统管理的另一种快捷方式,但是今天它是不可接受且不安全的。
通过更新这些帐户的密码来解决此问题。
将来监视此小部件将有助于您避免使用没有密码的用户帐户。
Varonis赔率均等
过去,收集和分析文章中的指标的工作耗时数小时,并且需要对PowerShell的深入了解:安全专家必须每周或每月为此类任务分配资源。 但是,手动收集和处理此信息为攻击者提供了渗透和数据盗窃的先机。
使用
Varonis,您将花费一天的时间来部署AD仪表板和其他组件,以收集所有考虑的漏洞和许多其他漏洞。 将来,在操作过程中,仪表板将随着基础结构状态的变化而自动更新。
进行网络攻击始终是攻击者和防御者之间的竞赛,攻击者希望在安全专家阻止访问之前窃取数据。 尽早发现网络犯罪分子及其非法行为,再加上强大的网络防御能力,是确保数据安全的关键。