በቫሮኒስ ዳሽቦርድ ውስጥ 7 ቁልፍ ንቁ የማውጫ ስጋት ጠቋሚዎች

አጥቂ የሚያስፈልገው ወደ አውታረ መረብዎ ለመግባት ጊዜ እና ተነሳሽነት ብቻ ነው። ነገር ግን የእኛ ስራ ይህን እንዳያደርግ መከልከል ወይም ቢያንስ ይህን ተግባር በተቻለ መጠን ከባድ ማድረግ ነው. አጥቂው ሳይታወቅ በኔትወርኩ ውስጥ ለመግባት እና ለመዘዋወር የሚጠቀምባቸውን በActive Directory (ከዚህ በኋላ AD ይባላል) ድክመቶችን በመለየት መጀመር አለቦት። ዛሬ በዚህ ጽሑፍ ውስጥ የኤዲ ቫሮኒስ ዳሽቦርድን እንደ ምሳሌ በመጠቀም በድርጅትዎ የሳይበር መከላከያ ውስጥ ያሉትን ድክመቶች የሚያንፀባርቁ የአደጋ አመልካቾችን እንመለከታለን።

አጥቂዎች በጎራው ውስጥ የተወሰኑ ውቅሮችን ይጠቀማሉ

አጥቂዎች የድርጅት ኔትወርኮችን ዘልቀው ለመግባት እና ልዩ መብቶችን ለመጨመር የተለያዩ ብልህ ቴክኒኮችን እና ተጋላጭነቶችን ይጠቀማሉ። ከእነዚህ ተጋላጭነቶች መካከል አንዳንዶቹ ከታወቁ በኋላ በቀላሉ ሊለወጡ የሚችሉ የጎራ ውቅረት ቅንጅቶች ናቸው።

ባለፈው ወር እርስዎ (ወይም የስርዓት አስተዳዳሪዎችዎ) የKRBTGT ይለፍ ቃል ካልቀየሩ ወይም የሆነ ሰው በነባሪ አብሮ በተሰራው የአስተዳዳሪ መለያ ካረጋገጠ የ AD ዳሽቦርዱ ወዲያውኑ ያሳውቅዎታል። እነዚህ ሁለት መለያዎች ወደ አውታረ መረብዎ ያልተገደበ መዳረሻ ይሰጣሉ፡ አጥቂዎች ማንኛውንም የመብት ገደቦችን በቀላሉ ለማለፍ እና ፍቃዶችን ለመድረስ እነርሱን ለማግኘት ይሞክራሉ። እና፣ በውጤቱም፣ የሚፈልጓቸውን ማንኛውንም ውሂብ መዳረሻ ያገኛሉ።

በእርግጥ እነዚህን ድክመቶች እራስዎ ማግኘት ይችላሉ፡ ለምሳሌ፡ ይህንን መረጃ ለመሰብሰብ የPowerShell ስክሪፕት ለመፈተሽ ወይም ለማሄድ የቀን መቁጠሪያ አስታዋሽ ያዘጋጁ።

የቫሮኒስ ዳሽቦርድ እየተዘመነ ነው። በራስ-ሰር ሊሆኑ የሚችሉ ተጋላጭነቶችን የሚያጎሉ ቁልፍ መለኪያዎችን ፈጣን ታይነት እና ትንተና ለማቅረብ ፈጣን እርምጃ እንዲወስዱ።

3 ቁልፍ የጎራ ደረጃ ስጋት ጠቋሚዎች

ከታች በቫሮኒስ ዳሽቦርድ ላይ የሚገኙ በርካታ መግብሮች አሉ, አጠቃቀሙ የኮርፖሬት ኔትወርክን እና የአይቲ መሠረተ ልማትን በአጠቃላይ ጥበቃን በእጅጉ ይጨምራል.

1. የከርቤሮስ መለያ ይለፍ ቃል ለተወሰነ ጊዜ ያልተቀየረባቸው የጎራዎች ብዛት

የKRBTGT መለያ ሁሉንም ነገር የሚፈርም በAD ውስጥ ያለ ልዩ መለያ ነው። የከርቤሮስ ቲኬቶች . የጎራ መቆጣጠሪያ (ዲሲ) መዳረሻ የሚያገኙ አጥቂዎች ይህን መለያ ለመፍጠር ሊጠቀሙበት ይችላሉ። ወርቃማ ትኬት, ይህም በኮርፖሬት አውታረመረብ ውስጥ ለሚገኙ ማናቸውም ስርዓቶች ያልተገደበ መዳረሻ ይሰጣቸዋል. አንድ አጥቂ በተሳካ ሁኔታ ወርቃማ ቲኬት ካገኘ በኋላ ለሁለት ዓመታት የድርጅቱን አውታረመረብ ማግኘት የቻለበት ሁኔታ አጋጥሞናል። በድርጅትዎ ውስጥ ያለው የKRBTGT መለያ ይለፍ ቃል ባለፉት አርባ ቀናት ውስጥ ካልተቀየረ መግብር ስለዚህ ጉዳይ ያሳውቅዎታል።

አጥቂ ወደ አውታረ መረቡ ለመድረስ አርባ ቀናት ከበቂ በላይ ነው። ነገር ግን፣ ይህንን የይለፍ ቃል በየጊዜው የመቀየር ሂደትን ተግባራዊ ካደረጉ እና ደረጃውን የጠበቀ ከሆነ፣ አጥቂ ወደ ኮርፖሬት አውታረ መረብዎ ለመግባት የበለጠ ከባድ ያደርገዋል።

ያስታውሱ የማይክሮሶፍት የከርቤሮስ ፕሮቶኮል አተገባበር መሰረት እርስዎ ማድረግ አለብዎት የይለፍ ቃል ሁለት ጊዜ ቀይር KRBTGT

ለወደፊቱ፣ ይህ AD መግብር በአውታረ መረብዎ ላይ ላሉት ሁሉም ጎራዎች የKRBTGT ይለፍ ቃል እንደገና ለመቀየር ጊዜው ሲደርስ ያስታውሰዎታል።

2. አብሮ የተሰራው የአስተዳዳሪ መለያ በቅርብ ጊዜ ጥቅም ላይ የዋለባቸው የጎራዎች ብዛት

እንደ አነስተኛ መብት መርህ - የስርዓት አስተዳዳሪዎች በሁለት ሂሳቦች ይሰጣሉ-የመጀመሪያው ለዕለታዊ አጠቃቀም መለያ ነው, ሁለተኛው ደግሞ ለታቀደው የአስተዳደር ስራ ነው. ይህ ማለት ማንም ሰው ነባሪውን የአስተዳዳሪ መለያ መጠቀም የለበትም.

አብሮ የተሰራው የአስተዳዳሪ መለያ ብዙውን ጊዜ የስርዓት አስተዳደር ሂደቱን ለማቃለል ያገለግላል. ይህ መጥፎ ልማድ ሊሆን ይችላል, በዚህም ምክንያት ለጠለፋ. ይህ በድርጅትዎ ውስጥ ከተከሰተ፣ ይህን መለያ በአግባቡ መጠቀም እና ተንኮል-አዘል መዳረሻ መካከል ያለውን ልዩነት ለመለየት ይቸገራሉ።

መግብር ከዜሮ ውጭ ሌላ ነገር ካሳየ አንድ ሰው ከአስተዳደር መለያዎች ጋር በትክክል እየሰራ አይደለም። በዚህ አጋጣሚ አብሮ የተሰራውን የአስተዳዳሪ መለያን ለማረም እና መዳረሻን ለመገደብ እርምጃዎችን መውሰድ አለቦት።
አንዴ የዜሮ መግብር ዋጋ ካገኙ እና የስርዓት አስተዳዳሪዎች ይህንን መለያ ለስራዎቻቸው አይጠቀሙበትም ፣ ከዚያ ለወደፊቱ ፣ በእሱ ላይ የሚደረግ ማንኛውም ለውጥ የሳይበር ጥቃትን ያሳያል።

3. የተጠበቁ ተጠቃሚዎች ቡድን የሌላቸው የጎራዎች ብዛት

የቆዩ የ AD ስሪቶች ደካማ የምስጠራ አይነትን ይደግፋሉ - RC4። ሰርጎ ገቦች RC4ን ከብዙ አመታት በፊት ጠልፈዋል፣ እና አሁን ለአጥቂ አሁንም RC4ን እየተጠቀመ ያለውን አካውንት መጥለፍ በጣም ቀላል ስራ ነው። በዊንዶውስ አገልጋይ 2012 የተዋወቀው የአክቲቭ ዳይሬክተሩ ስሪት የተጠበቀ የተጠቃሚዎች ቡድን የሚባል አዲስ አይነት የተጠቃሚ ቡድን አስተዋውቋል። ተጨማሪ የደህንነት መሳሪያዎችን ያቀርባል እና RC4 ምስጠራን በመጠቀም የተጠቃሚውን ማረጋገጥ ይከላከላል.

ይህ መግብር እርስዎ ለማስተካከል እንዲችሉ በድርጅቱ ውስጥ ያለ ማንኛውም ጎራ ከጎደለው መሆኑን ያሳያል። የተጠበቁ ተጠቃሚዎችን ቡድን ማንቃት እና መሠረተ ልማትን ለመጠበቅ ይጠቀሙበት።

ለአጥቂዎች ቀላል ኢላማዎች

የተጠቃሚ መለያዎች የአጥቂዎች ቁጥር አንድ ኢላማዎች ናቸው፣ ከመጀመሪያዎቹ የጣልቃ ገብነት ሙከራዎች እስከ ቀጣይነት ያለው ልዩ መብቶች እና ተግባራቶቻቸውን መደበቅ። አጥቂዎች በአውታረ መረብዎ ላይ ቀላል ኢላማዎችን ይፈልጋሉ ይህም ብዙውን ጊዜ ለመለየት አስቸጋሪ የሆኑትን መሰረታዊ የPowerShell ትዕዛዞችን በመጠቀም ነው። እነዚህን ቀላል ኢላማዎች በተቻለ መጠን ከAD ያስወግዱ።

አጥቂዎች ጊዜያቸው የማያልፍ የይለፍ ቃሎች (ወይም የይለፍ ቃል የማያስፈልጋቸው)፣ የቴክኖሎጂ አካውንቶች አስተዳዳሪዎች እና የቆየ RC4 ምስጠራ የሚጠቀሙ መለያዎችን ይፈልጋሉ።

ከእነዚህ መለያዎች ውስጥ ማንኛቸውም ለመድረስ ቀላል ናቸው ወይም በአጠቃላይ ክትትል አይደረግባቸውም። አጥቂዎች እነዚህን መለያዎች ተቆጣጥረው በመሠረተ ልማትዎ ውስጥ በነፃነት መንቀሳቀስ ይችላሉ።

አንዴ አጥቂዎች ወደ የደህንነት ዙሪያ ከገቡ፣ ቢያንስ አንድ መለያ መዳረሻ ሊያገኙ ይችላሉ። ጥቃቱ ከመገኘቱ እና ከመያዙ በፊት ሚስጥራዊነት ያለው መረጃን እንዳያገኙ ልታስቆማቸው ትችላለህ?

ችግሮችን በንቃት መፍታት እንዲችሉ የቫሮኒስ AD ዳሽቦርዱ ተጋላጭ የተጠቃሚ መለያዎችን ይጠቁማል። ወደ አውታረ መረብዎ ለመግባት በጣም አስቸጋሪ በሆነ መጠን አጥቂን ከባድ ጉዳት ከማድረሱ በፊት ገለልተኛ የማድረጉ እድሎች የተሻለ ይሆናል።

ለተጠቃሚ መለያዎች 4 ቁልፍ የአደጋ ጠቋሚዎች

ከታች ያሉት በጣም ተጋላጭ የሆኑትን የተጠቃሚ መለያዎች የሚያጎሉ የVaronis AD ዳሽቦርድ መግብሮች ምሳሌዎች አሉ።

1. የይለፍ ቃሎች ያላቸው የነቁ ተጠቃሚዎች ቁጥር የማያልቁ

ለማንኛውም አጥቂ እንደዚህ አይነት መለያ መድረስ ሁልጊዜም ትልቅ ስኬት ነው። የይለፍ ቃሉ መቼም የማያልቅ በመሆኑ አጥቂው በኔትወርኩ ውስጥ ቋሚ የሆነ ቦታ አለው፣ ከዚያ በኋላ ጥቅም ላይ ሊውል ይችላል። ልዩ መብት ማሳደግ ወይም በመሠረተ ልማት ውስጥ ያሉ እንቅስቃሴዎች.
አጥቂዎች በሚሊዮኖች የሚቆጠሩ የተጠቃሚ-የይለፍ ቃል ውህደቶች በማረጋገጫ ጥቃቶች ላይ የሚጠቀሙባቸው ዝርዝሮች አሏቸው፣ እና እድላቸውም ይህ ነው።
ለተጠቃሚው "ዘላለማዊ" ይለፍ ቃል ያለው ጥምረት ከነዚህ ዝርዝሮች ውስጥ በአንዱ ውስጥ ነው, ከዜሮ የበለጠ.

ጊዜያቸው ያለፈባቸው የይለፍ ቃሎች ያላቸው መለያዎች ለማስተዳደር ቀላል ናቸው፣ ግን ደህንነታቸው የተጠበቀ አይደሉም። እንደዚህ አይነት የይለፍ ቃሎች ያላቸውን ሁሉንም መለያዎች ለማግኘት ይህን መግብር ይጠቀሙ። ይህን ቅንብር ይቀይሩ እና የይለፍ ቃልዎን ያዘምኑ።

አንዴ የዚህ መግብር ዋጋ ወደ ዜሮ ከተዋቀረ ማንኛውም በይለፍ ቃል የተፈጠሩ አዲስ መለያዎች በዳሽቦርዱ ውስጥ ይታያሉ።

2. ከ SPN ጋር የአስተዳደር ሂሳቦች ብዛት

SPN (የአገልግሎት ዋና ስም) የአገልግሎት ምሳሌ ልዩ መለያ ነው። ይህ መግብር ምን ያህል የአገልግሎት መለያዎች ሙሉ የአስተዳዳሪ መብቶች እንዳላቸው ያሳያል። በመግብር ላይ ያለው ዋጋ ዜሮ መሆን አለበት። ኤስፒኤን ከአስተዳደር መብቶች ጋር ይከሰታል ምክንያቱም እንደዚህ ያሉ መብቶችን መስጠት ለሶፍትዌር አቅራቢዎች እና አፕሊኬሽኖች አስተዳዳሪዎች ምቹ ነው ፣ ግን የደህንነት አደጋን ያስከትላል።

የአገልግሎቱ መለያ አስተዳደራዊ መብቶችን መስጠት አጥቂው ጥቅም ላይ ያልዋለውን መለያ ሙሉ በሙሉ እንዲያገኝ ያስችለዋል። ይህ ማለት የ SPN አካውንት ያላቸው አጥቂዎች እንቅስቃሴዎቻቸውን ሳይቆጣጠሩ በመሠረተ ልማት ውስጥ በነፃነት ሊሠሩ ይችላሉ.

በአገልግሎት መለያዎች ላይ ፈቃዶችን በመቀየር ይህንን ችግር መፍታት ይችላሉ። እንደነዚህ ዓይነቶቹ መለያዎች ለትንሽ መብት መርህ ተገዢ መሆን አለባቸው እና ለሥራቸው በትክክል አስፈላጊ የሆነውን መዳረሻ ብቻ ማግኘት አለባቸው.

ይህን መግብር በመጠቀም፣ ሁሉንም የአስተዳደር መብቶች ያላቸውን SPNዎች ማግኘት፣ እነዚህን መብቶች ማስወገድ እና ከዚያ አነስተኛ መብት ያለው ተመሳሳይ መርህ በመጠቀም SPNዎችን መከታተል ይችላሉ።

አዲስ የሚታየው SPN በዳሽቦርዱ ላይ ይታያል፣ እና ይህን ሂደት መከታተል ይችላሉ።

3. የከርቤሮስ ቅድመ-ማረጋገጫ የማይፈልጉ የተጠቃሚዎች ብዛት

በሐሳብ ደረጃ፣ ከርቤሮስ የማረጋገጫ ትኬቱን AES-256 ምስጠራን በመጠቀም ኢንክሪፕት ያደርጋል፣ ይህም እስከ ዛሬ ድረስ ሊሰበር አይችልም።

ነገር ግን፣ የቆዩ የከርቤሮስ ስሪቶች RC4 ምስጠራን ተጠቅመዋል፣ ይህም በደቂቃዎች ውስጥ ሊሰበር ይችላል። ይህ መግብር የትኛዎቹ የተጠቃሚ መለያዎች አሁንም RC4 እየተጠቀሙ እንደሆኑ ያሳያል። ማይክሮሶፍት አሁንም RC4ን ለኋላ ተኳኋኝነት ይደግፋል፣ ይህ ማለት ግን በእርስዎ AD ውስጥ መጠቀም አለብዎት ማለት አይደለም።

እንደዚህ አይነት መለያዎችን አንዴ ካወቁ በኋላ መለያዎቹ ይበልጥ የተራቀቀ ምስጠራን እንዲጠቀሙ ለማስገደድ በ AD ውስጥ ያለውን "የ Kerberos ቅድመ ፍቃድ አያስፈልግም" የሚለውን ሳጥን ምልክት ያንሱ።

ያለ Varonis AD ዳሽቦርድ እነዚህን መለያዎች በራስዎ ማግኘት ብዙ ጊዜ ይወስዳል። እንደ እውነቱ ከሆነ የ RC4 ምስጠራን ለመጠቀም የተስተካከሉ መለያዎችን ማወቅ የበለጠ ከባድ ስራ ነው።

በመግብሩ ላይ ያለው እሴት ከተቀየረ፣ ይህ ህገወጥ እንቅስቃሴን ሊያመለክት ይችላል።

4. የይለፍ ቃል የሌላቸው የተጠቃሚዎች ብዛት

አጥቂዎች የ"PASSWD_NOTRQD" ባንዲራ ከመለያ ንብረቶች ውስጥ ለማንበብ መሰረታዊ የPowerShell ትዕዛዞችን ይጠቀማሉ። ይህንን ባንዲራ መጠቀም ምንም የይለፍ ቃል መስፈርቶች ወይም ውስብስብነት መስፈርቶች አለመኖራቸውን ያመለክታል።
በቀላል ወይም ባዶ የይለፍ ቃል መለያን መስረቅ ምን ያህል ቀላል ነው? አሁን ከእነዚህ መለያዎች ውስጥ አንዱ አስተዳዳሪ እንደሆነ አስብ።

ለሁሉም ሰው ክፍት ከሆኑት በሺዎች ከሚቆጠሩት ሚስጥራዊ ፋይሎች አንዱ መጪ የፋይናንስ ሪፖርት ከሆነስ?

የግዴታ የይለፍ ቃል መስፈርቱን ችላ ማለት ሌላ የስርዓት አስተዳደር አቋራጭ ሲሆን ከዚህ ቀደም ብዙ ጊዜ ጥቅም ላይ ይውል የነበረ ቢሆንም ዛሬ ተቀባይነትም ሆነ ደህንነቱ የተጠበቀ አይደለም።

ለእነዚህ መለያዎች የይለፍ ቃሎችን በማዘመን ይህንን ችግር ያስተካክሉ።

ይህንን መግብር ለወደፊቱ መከታተል የይለፍ ቃል ከሌለ መለያዎችን ለማስወገድ ይረዳዎታል።

ቫሮኒስ ዕድሉን ያሸንፋል

ቀደም ባሉት ጊዜያት በዚህ ጽሑፍ ውስጥ የተገለጹትን መለኪያዎች የመሰብሰብ እና የመተንተን ሥራ ብዙ ሰዓታትን የፈጀ እና ስለ ፓወር ሼል ጥልቅ እውቀት የሚጠይቅ በመሆኑ የደህንነት ቡድኖች በየሳምንቱ ወይም በየወሩ ለእንደዚህ ያሉ ተግባራት ሀብቶችን እንዲመድቡ ይጠይቅ ነበር። ነገር ግን እነዚህን መረጃዎች በእጅ መሰብሰብ እና ማቀናበር ለአጥቂዎች ሰርጎ መግባት እና መረጃን ለመስረቅ ጅምር ይሰጣል።

С Ronሮኒስ የ AD ዳሽቦርድን እና ተጨማሪ ክፍሎችን ለማሰማራት አንድ ቀን ታጠፋለህ፣ ሁሉንም የተብራራውን ድክመቶች ለመሰብሰብ እና ሌሎች ብዙ። ለወደፊቱ, በሚሠራበት ጊዜ, የመሠረተ ልማት ሁኔታ ሲቀየር የክትትል ፓነል በራስ-ሰር ይዘምናል.

የሳይበር ጥቃቶችን መፈጸም ሁል ጊዜ በአጥቂዎች እና በተከላካዮች መካከል የሚደረግ ውድድር ነው፣የደህንነት ስፔሻሊስቶች መረጃውን ከመዝጋታቸው በፊት አጥቂው ለመስረቅ ያለው ፍላጎት ነው። አጥቂዎችን እና ህገወጥ ተግባራቶቻቸውን ቀድሞ ማወቅ ከጠንካራ የሳይበር መከላከያዎች ጋር ተዳምሮ የመረጃዎን ደህንነት ለመጠበቅ ቁልፉ ነው።

ምንጭ: hab.com