Chan eil a dhìth air neach-ionnsaigh ach ùine agus brosnachadh airson briseadh a-steach don lìonra agad. Ach is e an obair againn casg a chuir air bho bhith a’ dèanamh seo, no co-dhiù an obair seo a dhèanamh cho duilich sa ghabhas. Feumaidh tu tòiseachadh le bhith a 'comharrachadh laigsean ann an Active Directory (air an ainmeachadh an-seo mar AD) a dh'fhaodas neach-ionnsaigh a chleachdadh gus faighinn a-steach agus gluasad timcheall an lìonra gun a bhith air a lorg. An-diugh san artaigil seo seallaidh sinn ri comharran cunnairt a tha a’ nochdadh so-leòntachd a th’ ann an-dràsta ann an dìon saidhbear na buidhne agad, a’ cleachdadh deas-bhòrd AD Varonis mar eisimpleir.
Bidh luchd-ionnsaigh a’ cleachdadh rèiteachaidhean sònraichte san raon
Bidh luchd-ionnsaigh a’ cleachdadh measgachadh de dhòighean snasail agus so-leòntachd gus a dhol a-steach do lìonraidhean corporra agus sochairean àrdachadh. Tha cuid de na so-leòntachd sin nan suidheachaidhean rèiteachaidh fearainn a ghabhas atharrachadh gu furasta aon uair ‘s gu bheil iad air an comharrachadh.
Bheir deas-bhòrd AD fios dhut sa bhad mura h-eil thu fhèin (no luchd-rianachd an t-siostaim agad) air am facal-faire KRBBTT atharrachadh air a’ mhìos a chaidh, no ma tha cuideigin air dearbhadh leis a’ chunntas Rianaire bunaiteach a chaidh a thogail a-steach. Tha an dà chunntas seo a’ toirt cothrom gun chrìoch don lìonra agad: feuchaidh luchd-ionnsaigh ri faighinn thuca gus faighinn seachad air bacadh sam bith air sochairean agus ceadan ruigsinneachd. Agus, mar thoradh air an sin, gheibh iad cothrom air dàta sam bith anns a bheil ùidh aca.
Gu dearbh, gheibh thu a-mach na so-leòntachd sin thu fhèin: mar eisimpleir, suidhich cuimhneachan mìosachain gus sgrùdadh a dhèanamh no ruith sgriobt PowerShell gus am fiosrachadh seo a chruinneachadh.
Tha deas-bhòrd Varonis ga ùrachadh gu fèin-ghluasadach gus faicsinneachd luath a thoirt seachad agus mion-sgrùdadh air prìomh mheatrics a tha a’ soilleireachadh so-leòntachd a dh’ fhaodadh a bhith agad gus an urrainn dhut a dhol an gnìomh sa bhad gus dèiligeadh riutha.
3 Prìomh Chomharran Cunnairt Ìre Fearainn
Gu h-ìosal tha grunn widgets rim faighinn air deas-bhòrd Varonis, agus cuiridh an cleachdadh gu mòr ri dìon an lìonra corporra agus bun-structar IT gu h-iomlan.
1. Àireamh de raointean airson nach deach facal-faire cunntas Kerberos atharrachadh airson ùine mhòr
Tha an cunntas KRBBTT na chunntas sònraichte ann an AD a tha a’ soidhnigeadh a h-uile càil
Tha dà fhichead latha nas fhaide na ùine gu leòr airson neach-ionnsaigh faighinn chun lìonra. Ach, ma chuireas tu an gnìomh agus a nì thu gnàthachadh air a’ phròiseas airson am facal-faire seo atharrachadh gu cunbhalach, nì e tòrr nas duilghe do neach-ionnsaigh briseadh a-steach don lìonra corporra agad.
Cuimhnich, a rèir mar a chuir Microsoft an gnìomh protocol Kerberos, feumaidh tu
Anns an àm ri teachd, cuiridh am widget AD seo nad chuimhne nuair a tha an t-àm ann am facal-faire KRBBTT atharrachadh a-rithist airson a h-uile raon air an lìonra agad.
2. Àireamh de raointean far an deach an cunntas Rianadair a chaidh a thogail a-steach a chleachdadh o chionn ghoirid
A rèir
Bidh an cunntas rianadair togte gu tric air a chleachdadh gus pròiseas rianachd an t-siostaim a dhèanamh nas sìmplidhe. Faodaidh seo a bhith na dhroch chleachdadh, agus mar thoradh air sin bidh hacking. Ma thachras seo sa bhuidheann agad, bidh duilgheadas agad eadar-dhealachadh a dhèanamh eadar cleachdadh ceart a’ chunntais seo agus ruigsinneachd droch-rùnach.
Ma tha am widget a’ sealltainn rud sam bith ach neoni, chan eil cuideigin ag obair gu ceart le cunntasan rianachd. Anns a 'chùis seo, feumaidh tu ceumannan a ghabhail gus ruigsinneachd air a' chunntas rianadair togte a cheartachadh agus a chuingealachadh.
Aon uair ‘s gu bheil thu air luach widget de neoni a choileanadh agus nach bi luchd-rianachd an t-siostaim a’ cleachdadh a ’chunntas seo tuilleadh airson an cuid obrach, an uairsin san àm ri teachd, bidh atharrachadh sam bith air a’ nochdadh ionnsaigh saidhbear a dh’ fhaodadh a bhith ann.
3. Àireamh de raointean aig nach eil buidheann de Luchd-cleachdaidh Dìon
Bha dreachan nas sine de AD a’ toirt taic do sheòrsa crioptachaidh lag - RC4. Rinn hackers grèim air RC4 o chionn mòran bhliadhnaichean, agus a-nis is e obair gu math beag a th’ ann dha neach-ionnsaigh cunntas a tha fhathast a’ cleachdadh RC4 a sheacadh. Thug an dreach de Active Directory a chaidh a thoirt a-steach ann an Windows Server 2012 a-steach seòrsa ùr de bhuidheann luchd-cleachdaidh ris an canar Buidheann Luchd-cleachdaidh Dìon. Bidh e a’ toirt seachad innealan tèarainteachd a bharrachd agus a’ cur casg air dearbhadh luchd-cleachdaidh a’ cleachdadh crioptachadh RC4.
Seallaidh a’ widget seo a bheil àrainn sam bith sa bhuidheann a’ call a leithid de bhuidheann gus an urrainn dhut a chàradh, i.e. comas a thoirt do bhuidheann de luchd-cleachdaidh dìonta agus a chleachdadh gus am bun-structair a dhìon.
Targaidean furasta airson luchd-ionnsaigh
Is e cunntasan luchd-cleachdaidh am prìomh thargaid airson luchd-ionnsaigh, bho oidhirpean sàrachaidh tùsail gu àrdachadh leantainneach air sochairean agus a bhith a’ falach an gnìomhan. Bidh luchd-ionnsaigh a’ coimhead airson targaidean sìmplidh air an lìonra agad a’ cleachdadh òrdughan PowerShell bunaiteach a tha gu tric duilich an lorg. Thoir air falbh nas urrainn de na targaidean furasta sin bho AD.
Tha luchd-ionnsaigh a’ coimhead airson luchd-cleachdaidh aig a bheil faclan-faire nach eil a’ tighinn gu crìch (no aig nach eil feum air faclan-faire), cunntasan teicneòlais a tha nan rianadairean, agus cunntasan a chleachdas crioptachadh RC4 dìleab.
Tha gin de na cunntasan sin glè bheag airson faighinn a-steach no sa chumantas chan eilear gan sgrùdadh. Faodaidh luchd-ionnsaigh na cunntasan sin a ghabhail thairis agus gluasad gu saor taobh a-staigh do bhun-structair.
Cho luath ‘s a thèid luchd-ionnsaigh a-steach don iomall tèarainteachd, tha coltas ann gum faigh iad cothrom air co-dhiù aon chunntas. An urrainn dhut stad a chuir orra bho bhith a’ faighinn cothrom air dàta mothachail mus lorgar agus mus lorgar an ionnsaigh?
Comharraichidh deas-bhòrd Varonis AD cunntasan luchd-cleachdaidh so-leònte gus an urrainn dhut duilgheadasan fhuasgladh gu for-ghnìomhach. Mar as duilghe a tha e a dhol a-steach don lìonra agad, is ann as fheàrr a bhios an cothrom agad neach-ionnsaigh a neodachadh mus dèan iad cron mòr.
4 Prìomh Chomharran Cunnairt airson Cunntasan Luchd-cleachdaidh
Gu h-ìosal tha eisimpleirean de widgets deas-bhòrd Varonis AD a tha a’ soilleireachadh na cunntasan cleachdaiche as so-leònte.
1. Àireamh de luchd-cleachdaidh gnìomhach le faclan-faire nach eil a 'tighinn gu crìch
Tha e an-còmhnaidh air leth soirbheachail gum faigh neach-ionnsaigh sam bith cothrom air a leithid de chunntas. Leis nach tig am facal-faire gu crìch gu bràth, tha àite maireannach aig an neach-ionnsaigh taobh a-staigh an lìonra, a dh’ fhaodar a chleachdadh an uairsin airson
Tha liostaichean aig luchd-ionnsaigh de mhilleanan de choimeasgaidhean facal-faire neach-cleachdaidh a bhios iad a’ cleachdadh ann an ionnsaighean lìonadh creideas, agus tha coltas ann gum bi
gu bheil an cothlamadh airson an neach-cleachdaidh leis an fhacal-fhaire “sìorraidh” ann an aon de na liostaichean sin, fada nas motha na neoni.
Tha cunntasan le faclan-faire nach eil a’ tighinn gu crìch furasta an riaghladh, ach chan eil iad tèarainte. Cleachd am widget seo gus a h-uile cunntas aig a bheil faclan-faire mar sin a lorg. Atharraich an suidheachadh seo agus ùraich am facal-faire agad.
Aon uair ‘s gu bheil luach a’ widget seo air a shuidheachadh gu neoni, nochdaidh cunntasan ùra sam bith a thèid a chruthachadh leis an fhacal-fhaire sin air an deas-bhòrd.
2. Àireamh de chunntasan rianachd le SPN
Tha SPN (Ainm Prìomh Seirbheis) na aithnichear sònraichte airson eisimpleir seirbheis. Tha am widget seo a’ sealltainn cia mheud cunntas seirbheis aig a bheil làn chòraichean rianachd. Feumaidh an luach air a’ widget a bhith neoni. Tha SPN le còraichean rianachd a’ tachairt leis gu bheil buileachadh nan còraichean sin goireasach dha luchd-reic bathar-bog agus luchd-rianachd thagraidhean, ach tha e na chunnart tèarainteachd.
Le bhith a’ toirt còirichean rianachd cunntas seirbheis leigidh neach-ionnsaigh làn chothrom fhaighinn air cunntas nach eilear ga chleachdadh. Tha seo a’ ciallachadh gum faod luchd-ionnsaigh aig a bheil cothrom air cunntasan SPN obrachadh gu saor taobh a-staigh a’ bhun-structair gun a bhith a’ cumail sùil air na gnìomhan aca.
Faodaidh tu a’ chùis seo fhuasgladh le bhith ag atharrachadh nan ceadan air cunntasan seirbheis. Bu chòir na cunntasan sin a bhith fo smachd prionnsapal an t-sochair as lugha agus chan eil aca ach an ruigsinneachd a tha riatanach airson an obrachadh.
A’ cleachdadh a’ widget seo, ’s urrainn dhut a h-uile SPN aig a bheil còraichean rianachd a lorg, na sochairean sin a thoirt air falbh, agus an uairsin sùil a chumail air SPNan a’ cleachdadh an aon phrionnsapal airson an t-slighe-steach as lugha sochair.
Thèid an SPN a tha a’ nochdadh às ùr a thaisbeanadh air an deas-bhòrd, agus bidh e comasach dhut sùil a chumail air a’ phròiseas seo.
3. Àireamh de luchd-cleachdaidh nach eil feum air Kerberos ro-dhearbhadh
Mas fheàrr, bidh Kerberos a’ cuairteachadh an tiogaid dearbhaidh a’ cleachdadh crioptachadh AES-256, a tha fhathast do-chreidsinneach chun an latha an-diugh.
Ach, chleachd tionndaidhean nas sine de Kerberos crioptachadh RC4, a dh'fhaodar a bhriseadh a-nis ann am mionaidean. Tha am widget seo a’ sealltainn dè na cunntasan cleachdaiche a tha fhathast a’ cleachdadh RC4. Tha Microsoft fhathast a’ toirt taic do RC4 airson co-chòrdalachd air ais, ach chan eil sin a’ ciallachadh gum bu chòir dhut a chleachdadh nad AD.
Aon uair ‘s gu bheil thu air na cunntasan sin a chomharrachadh, feumaidh tu am bogsa sgrùdaidh “chan eil feum air ro-ùghdarrachadh Kerberos” ann an AD gus toirt air na cunntasan crioptachadh nas ionnsaichte a chleachdadh.
Bheir e tòrr ùine a bhith a’ faighinn a-mach na cunntasan sin leat fhèin, às aonais deas-bhòrd Varonis AD. Ann an da-rìribh, tha e eadhon nas duilghe a bhith mothachail air a h-uile cunntas a tha air a dheasachadh gus crioptachadh RC4 a chleachdadh.
Ma dh’ atharraicheas an luach air a’ widget, dh’ fhaodadh seo gnìomhachd mì-laghail a chomharrachadh.
4. Àireamh de luchd-cleachdaidh gun facal-faire
Bidh luchd-ionnsaigh a’ cleachdadh òrdughan PowerShell bunaiteach gus a’ bhratach “PASSWD_NOTREQD” a leughadh bho AD ann an togalaichean cunntais. Tha cleachdadh a’ bhratach seo a’ nochdadh nach eil riatanasan facal-faire no riatanasan iom-fhillteachd ann.
Dè cho furasta ‘s a tha e cunntas a ghoid le facal-faire sìmplidh no falamh? A-nis smaoinich gu bheil aon de na cunntasan sin na rianadair.
Dè ma tha aon de na mìltean de fhaidhlichean dìomhair a tha fosgailte don h-uile duine na aithisg ionmhais a tha ri thighinn?
Le bhith a’ seachnadh an riatanas facal-faire èigneachail tha ath-ghoirid rianachd siostam eile a chaidh a chleachdadh gu tric san àm a dh’ fhalbh, ach nach eil iomchaidh no sàbhailte an-diugh.
Ceartaich a’ chùis seo le bhith ag ùrachadh nam faclan-faire airson nan cunntasan seo.
Cuidichidh sùil air a’ widget seo san àm ri teachd thu gus cunntasan a sheachnadh gun fhacal-faire.
Tha Varonis a’ dèanamh coimeas eadar na cothroman
San àm a dh’ fhalbh, thug an obair a bhith a’ tional agus a’ mion-sgrùdadh na meatrach a tha air a mhìneachadh san artaigil seo mòran uairean a thìde agus bha feum air eòlas domhainn air PowerShell, ag iarraidh air sgiobaidhean tèarainteachd goireasan a riarachadh gu gnìomhan mar sin gach seachdain no mìos. Ach tha cruinneachadh agus giullachd an fhiosrachaidh seo le làimh a’ toirt deagh thoiseach tòiseachaidh do luchd-ionnsaigh gus dàta a shìoladh agus a ghoid.
С
Tha a bhith a’ dèanamh ionnsaighean saidhbear an-còmhnaidh na rèis eadar luchd-ionnsaigh agus luchd-dìon, miann an neach-ionnsaigh dàta a ghoid mus urrainn do eòlaichean tèarainteachd casg a chuir air ruigsinneachd air. Is e lorg tràth air luchd-ionnsaigh agus an gnìomhan mì-laghail, còmhla ri dìonan làidir saidhbear, an dòigh as fheàrr air an dàta agad a chumail sàbhailte.
Source: www.habr.com