Níl de dhíth ar ionsaitheoir ach am agus spreagadh chun briseadh isteach i do líonra. Ach is é an post atá againn ná cosc a chur air seo a dhéanamh, nó ar a laghad an tasc seo a dhéanamh chomh deacair agus is féidir. Ní mór duit tosú trí laigí a aithint san Eolaire Gníomhach (dá ngairfear AD anseo feasta) is féidir le hionsaitheoir a úsáid chun rochtain a fháil agus bogadh timpeall an líonra gan a bheith faoi deara. Sa lá atá inniu san Airteagal seo féachfaimid ar tháscairí riosca a léiríonn leochaileachtaí atá ann cheana i gcibearchosaint d’eagraíochta, ag baint úsáide as an painéal AD Varonis mar shampla.
Úsáideann ionsaitheoirí cumraíochtaí áirithe san fhearann
Úsáideann ionsaitheoirí teicnící cliste éagsúla agus leochaileachtaí chun dul i ngleic le líonraí corparáideacha agus chun pribhléidí a mhéadú. Is paraiméadair chumraíochta fearainn iad cuid de na leochaileachtaí seo ar féidir iad a athrú go héasca nuair a aithnítear iad.
Cuirfidh an painéal AD ar an eolas tú láithreach mura bhfuil tú (nó do riarthóirí córais) tar éis an focal faire KRBBTT a athrú le mí anuas, nó má tá duine éigin tar éis fíordheimhniú a dhéanamh leis an gcuntas Riarthóra réamhshocraithe ionsuite. Soláthraíonn an dá chuntas seo rochtain neamhtheoranta ar do líonra: déanfaidh ionsaitheoirí iarracht rochtain a fháil orthu chun aon srianta i bpribhléidí agus ceadanna rochtana a sheachaint. Agus, mar thoradh air sin, faigheann siad rochtain ar aon sonraí ar spéis leo iad.
Ar ndóigh, is féidir leat na leochaileachtaí seo a fháil amach duit féin: mar shampla, socraigh meabhrúchán féilire chun script PowerShell a sheiceáil nó a reáchtáil chun an fhaisnéis seo a bhailiú.
Tá painéal Varonis á nuashonrú go huathoibríoch chun infheictheacht agus anailís thapa a sholáthar ar phríomhmhéadracht a aibhsíonn leochaileachtaí féideartha ionas gur féidir leat gníomhú láithreach chun aghaidh a thabhairt orthu.
3 Príomhtháscairí Riosca Leibhéal Fearainn
Anseo thíos tá roinnt giuirléidí atá ar fáil ar an deais Varonis, a gcuirfidh úsáid a bhaint astu go mór le cosaint an ghréasáin chorparáidigh agus an bhonneagair TF ina iomláine.
1. Líon na bhfearann nach bhfuil focal faire an chuntais Kerberos athraithe ina leith le tréimhse shuntasach ama
Is cuntas speisialta in AD é an cuntas KRBBTT a shíníonn gach rud . Is féidir le hionsaitheoirí a fhaigheann rochtain ar rialaitheoir fearainn (DC) an cuntas seo a úsáid chun a chruthú , a thabharfaidh rochtain gan teorainn dóibh ar beagnach aon chóras ar an líonra corparáideach. Thángamar ar chás ina raibh rochtain ag ionsaitheoir ar líonra na heagraíochta ar feadh dhá bhliain tar éis Ticéad Órga a fháil go rathúil. Murar athraíodh pasfhocal an chuntais KRBBTT i do chuideachta le daichead lá anuas, cuirfidh an ghiuirléid é sin in iúl duit.
Tá daichead lá níos mó ná a dhóthain ama ag ionsaitheoir rochtain a fháil ar an líonra. Mar sin féin, má dhéanann tú an próiseas chun an focal faire seo a athrú go rialta a fhorfheidhmiú agus a chaighdeánú, beidh sé i bhfad níos deacra d'ionsaitheoir briseadh isteach i do líonra corparáideach.
Cuimhnigh, de réir fhorfheidhmiú Microsoft ar phrótacal Kerberos, ní mór duit KRBBTT.
Amach anseo, meabhróidh an ghiuirléid AD seo duit nuair a bheidh sé in am an pasfhocal KRBBTT a athrú arís do gach fearann ar do líonra.
2. Líon na bhfearann inar úsáideadh an cuntas Riarthóra ionsuite le déanaí
De réir — cuirtear dhá chuntas ar fáil do riarthóirí córais: is cuntas é an chéad cheann a úsáidtear go laethúil, agus an dara ceann le haghaidh obair riaracháin atá beartaithe. Ciallaíonn sé seo nár cheart d'aon duine an cuntas riarthóra réamhshocraithe a úsáid.
Is minic a úsáidtear an cuntas riarthóra ionsuite chun an próiseas riaracháin córais a shimpliú. Is féidir seo a bheith ina droch-nós, a eascraíonn i hacking. Má tharlaíonn sé seo i d’eagraíocht, beidh deacracht agat idirdhealú a dhéanamh idir úsáid cheart an chuntais seo agus rochtain a d’fhéadfadh a bheith mailíseach.
Má thaispeánann an ghiuirléid rud ar bith seachas nialas, ansin níl duine éigin ag obair i gceart le cuntais riaracháin. Sa chás seo, ní mór duit céimeanna a ghlacadh chun rochtain ar an gcuntas riarthóra ionsuite a cheartú agus a theorannú.
Nuair a bheidh luach giuirléidí de nialas bainte amach agat agus nach n-úsáideann riarthóirí córais an cuntas seo dá gcuid oibre a thuilleadh, ansin sa todhchaí, léireoidh aon athrú air cibear-ionsaí féideartha.
3. Líon na bhfearann nach bhfuil grúpa Úsáideoirí Cosanta acu
Thacaigh leaganacha níos sine de AD le cineál criptithe lag - RC4. Hackers hacked RC4 blianta fada ó shin, agus anois tá sé ina tasc an-fánach do ionsaitheoir a hack cuntas atá fós ag baint úsáide as RC4. Thug an leagan den Eolaire Gníomhach a tugadh isteach i Windows Server 2012 isteach cineál nua grúpa úsáideoirí ar a dtugtar an Grúpa Úsáideoirí Cosanta. Soláthraíonn sé uirlisí slándála breise agus cuireann sé cosc ar fhíordheimhniú úsáideoirí ag baint úsáide as criptiú RC4.
Léireoidh an ghiuirléid seo má tá grúpa dá leithéid in easnamh ar aon fhearann san eagraíocht ionas gur féidir leat é a dheisiú, i.e. grúpa úsáideoirí cosanta a chumasú agus é a úsáid chun an bonneagar a chosaint.
Spriocanna éasca do ionsaitheoirí
Is iad cuntais úsáideoirí an príomhsprioc d’ionsaitheoirí, ó iarrachtaí ionsáite tosaigh go méadú leanúnach ar phribhléidí agus ceilt a gcuid gníomhaíochtaí. Lorgaíonn ionsaitheoirí spriocanna simplí ar do líonra ag baint úsáide as orduithe PowerShell bunúsacha atá deacair a bhrath go minic. Bain oiread agus is féidir de na spriocanna éasca seo as AD.
Tá ionsaitheoirí ag lorg úsáideoirí a bhfuil pasfhocail nach dtéann in éag riamh (nó nach dteastaíonn pasfhocail uathu), cuntais teicneolaíochta ar riarthóirí iad, agus cuntais a úsáideann criptiú RC4 oidhreachta.
Is fánach rochtain a fháil ar aon cheann de na cuntais seo nó de ghnáth ní dhéantar monatóireacht orthu. Is féidir le hionsaitheoirí na cuntais seo a ghlacadh ar láimh agus gluaiseacht faoi shaoirse laistigh de do bhonneagar.
A luaithe a théann ionsaitheoirí isteach in imlíne na slándála, is dócha go bhfaighidh siad rochtain ar chuntas amháin ar a laghad. An féidir leat iad a stopadh ó rochtain a fháil ar shonraí íogaire sula ndéanann tú an t-ionsaí a bhrath agus a mhaolú?
Léireoidh an deais Varonis AD cuntais úsáideora leochaileacha ionas gur féidir leat fadhbanna a réiteach go réamhghníomhach. Dá dheacra a bhíonn sé dul i bhfód ar do líonra, is amhlaidh is fearr a bheidh an seans agat ionsaitheoir a neodrú sula ndéanfaidh sé damáiste tromchúiseach.
4 Príomhtháscairí Riosca do Chuntais Úsáideoirí
Anseo thíos tá samplaí de ghiuirléidí deais Varonis AD a leagann béim ar na cuntais úsáideora is leochailí.
1. Líon na n-úsáideoirí gníomhacha a bhfuil pasfhocail acu nach dtéann in éag choíche
Is iontach an rath i gcónaí d’aon ionsaitheoir rochtain a fháil ar a leithéid de chuntas. Toisc nach dtéann an pasfhocal in éag choíche, tá bonn buan ag an ionsaitheoir laistigh den líonra, ar féidir é a úsáid ansin chun nó gluaiseachtaí laistigh den bhonneagar.
Tá liostaí ag ionsaitheoirí de na milliúin teaglaim úsáideora-phasfhocail a úsáideann siad in ionsaithe líonta inchreidte, agus is é an dóchúlacht go mbeidh
go bhfuil an teaglaim don úsáideoir leis an bhfocal faire “síoraí” i gceann de na liostaí seo, i bhfad níos mó ná nialas.
Is furasta cuntais a bhfuil pasfhocail nach bhfuil imithe in éag a bhainistiú, ach níl siad slán. Bain úsáid as an ngiuirléid seo chun gach cuntas a bhfuil pasfhocail dá leithéid acu a aimsiú. Athraigh an socrú seo agus nuashonraigh do phasfhocal.
Nuair a bheidh luach an ghiuirléid seo socraithe go nialas, beidh aon chuntais nua a chruthaítear leis an bhfocal faire sin le feiceáil ar an deais.
2. Líon na gcuntas riaracháin le SPN
Is aitheantóir uathúil é SPN (Ainm an Phríomhoide Seirbhíse) ar chás seirbhíse. Taispeánann an ghiuirléid seo cé mhéad cuntas seirbhíse a bhfuil cearta iomlána riarthóra acu. Ní mór an luach ar an ngiuirléid a bheith nialas. Tarlaíonn SPN le cearta riaracháin toisc go bhfuil sé áisiúil cearta den sórt sin a dheonú do dhíoltóirí bogearraí agus riarthóirí feidhmchlár, ach tá riosca slándála ag baint leis.
Má thugtar cearta riaracháin don chuntas seirbhíse ceadaítear d’ionsaitheoir rochtain iomlán a fháil ar chuntas nach bhfuil in úsáid. Ciallaíonn sé seo gur féidir le hionsaitheoirí a bhfuil rochtain acu ar chuntais SPN oibriú faoi shaoirse laistigh den bhonneagar gan monatóireacht a dhéanamh ar a gcuid gníomhaíochtaí.
Is féidir leat an fhadhb seo a réiteach trí na ceadanna ar chuntais seirbhíse a athrú. Ba cheart go mbeadh cuntais den sórt sin faoi réir phrionsabal na pribhléide is lú agus nach mbeadh acu ach an rochtain atá riachtanach chun iad a oibriú.
Trí úsáid a bhaint as an ngiuirléid seo, is féidir leat gach SPN a bhfuil cearta riaracháin acu a bhrath, a leithéid de phribhléidí a bhaint, agus ansin monatóireacht a dhéanamh ar SPNanna ag baint úsáide as prionsabal na rochtana is lú pribhléid.
Taispeánfar an SPN nuachumtha ar an deais, agus beidh tú in ann monatóireacht a dhéanamh ar an bpróiseas seo.
3. Líon na n-úsáideoirí nach dteastaíonn réamhfhíordheimhniú Kerberos uathu
Go hidéalach, criptíonn Kerberos an ticéad fíordheimhnithe ag baint úsáide as criptiú AES-256, rud nach féidir a bhriseadh go dtí an lá inniu.
Mar sin féin, d'úsáid leaganacha níos sine de Kerberos criptiú RC4, is féidir a bhriseadh anois i nóiméid. Taispeánann an ghiuirléid seo cé na cuntais úsáideora atá fós ag baint úsáide as RC4. Tacaíonn Microsoft le RC4 fós le haghaidh comhoiriúnacht ar gcúl, ach ní chiallaíonn sé sin gur chóir duit é a úsáid i do AD.
Nuair a bheidh cuntais den sórt sin aitheanta agat, ní mór duit an ticbhosca "ní gá réamhúdarú Kerberos" in AD a dhíthiceáil chun iallach a chur ar na cuntais criptiúchán níos casta a úsáid.
Tógann sé go leor ama na cuntais seo a fháil amach duit féin, gan painéal Varonis AD. I ndáiríre, tá sé níos deacra fós a bheith ar an eolas faoi na cuntais go léir atá curtha in eagar chun criptiú RC4 a úsáid.
Má thagann athrú ar an luach ar an ngiuirléid, seans go léiríonn sé seo gníomhaíocht mhídhleathach.
4. Líon na n-úsáideoirí gan focal faire
Úsáideann ionsaitheoirí orduithe PowerShell bunúsacha chun an bhratach “PASSWD_NOTREQD” ó AD a léamh in airíonna cuntais. Léiríonn úsáid na brataí seo nach bhfuil aon riachtanais pasfhocail nó ceanglais castachta ann.
Cé chomh héasca is atá sé cuntas a ghoid le pasfhocal simplí nó bán? Anois samhlaigh gur riarthóir ceann de na cuntais seo.
Cad a tharlaíonn má tá tuarascáil airgeadais le teacht ar cheann de na mílte comhad rúnda atá oscailte do chách?
Is aicearra riaracháin córais eile é neamhaird a dhéanamh den riachtanas pasfhocail éigeantach a úsáideadh go minic san am a chuaigh thart, ach nach bhfuil inghlactha ná sábháilte inniu.
Deisigh an cheist seo trí na pasfhocail do na cuntais seo a nuashonrú.
Cabhróidh monatóireacht a dhéanamh ar an ngiuirléid seo leat amach anseo cuntais a sheachaint gan focal faire.
Déanann Varonis fiú na corrlaigh
San am atá caite, thóg an obair a bhaineann le bailiú agus anailís a dhéanamh ar na méadrachtaí a thuairiscítear san Airteagal seo go leor uaireanta agus bhí eolas domhain ag teastáil ar PowerShell, rud a d'éiligh ar fhoirne slándála acmhainní a leithdháileadh ar thascanna den sórt sin gach seachtain nó mí. Ach tugann bailiú agus próiseáil láimhe na faisnéise seo deis d’ionsaitheoirí sonraí a insíothlú agus a ghoid.
С Beidh tú a chaitheamh lá amháin a imscaradh an painéal AD agus comhpháirteanna breise, a bhailiú go léir na leochaileachtaí a pléadh agus go leor eile. Sa todhchaí, le linn oibriú, déanfar an painéal monatóireachta a nuashonrú go huathoibríoch de réir mar a athraíonn staid an bhonneagair.
Is rás idir ionsaitheoirí agus cosantóirí é cibear-ionsaithe a dhéanamh i gcónaí, fonn an ionsaitheora sonraí a ghoid sula bhféadfaidh speisialtóirí slándála bac a chur ar rochtain air. Is í an eochair chun do shonraí a choinneáil sábháilte ná ionsaitheoirí agus a ngníomhaíochtaí mídhleathacha a bhrath go luath, mar aon le cibearchosaintí láidre.
Foinse: will.com