Chan eil a dhìth air neach-ionnsaigh ach ùine agus brosnachadh airson briseadh a-steach don lìonra agad. Ach is e an obair againn casg a chuir air bho bhith a’ dèanamh seo, no co-dhiù an obair seo a dhèanamh cho duilich sa ghabhas. Feumaidh tu tòiseachadh le bhith a 'comharrachadh laigsean ann an Active Directory (air an ainmeachadh an-seo mar AD) a dh'fhaodas neach-ionnsaigh a chleachdadh gus faighinn a-steach agus gluasad timcheall an lìonra gun a bhith air a lorg. An-diugh san artaigil seo seallaidh sinn ri comharran cunnairt a tha a’ nochdadh so-leòntachd a th’ ann an-dràsta ann an dìon saidhbear na buidhne agad, a’ cleachdadh deas-bhòrd AD Varonis mar eisimpleir.
Bidh luchd-ionnsaigh a’ cleachdadh rèiteachaidhean sònraichte san raon
Bidh luchd-ionnsaigh a’ cleachdadh measgachadh de dhòighean snasail agus so-leòntachd gus a dhol a-steach do lìonraidhean corporra agus sochairean àrdachadh. Tha cuid de na so-leòntachd sin nan suidheachaidhean rèiteachaidh fearainn a ghabhas atharrachadh gu furasta aon uair ‘s gu bheil iad air an comharrachadh.
Bheir deas-bhòrd AD fios dhut sa bhad mura h-eil thu fhèin (no luchd-rianachd an t-siostaim agad) air am facal-faire KRBBTT atharrachadh air a’ mhìos a chaidh, no ma tha cuideigin air dearbhadh leis a’ chunntas Rianaire bunaiteach a chaidh a thogail a-steach. Tha an dà chunntas seo a’ toirt cothrom gun chrìoch don lìonra agad: feuchaidh luchd-ionnsaigh ri faighinn thuca gus faighinn seachad air bacadh sam bith air sochairean agus ceadan ruigsinneachd. Agus, mar thoradh air an sin, gheibh iad cothrom air dàta sam bith anns a bheil ùidh aca.
Gu dearbh, gheibh thu a-mach na so-leòntachd sin thu fhèin: mar eisimpleir, suidhich cuimhneachan mìosachain gus sgrùdadh a dhèanamh no ruith sgriobt PowerShell gus am fiosrachadh seo a chruinneachadh.
Tha deas-bhòrd Varonis ga ùrachadh gu fèin-ghluasadach gus faicsinneachd luath a thoirt seachad agus mion-sgrùdadh air prìomh mheatrics a tha a’ soilleireachadh so-leòntachd a dh’ fhaodadh a bhith agad gus an urrainn dhut a dhol an gnìomh sa bhad gus dèiligeadh riutha.
3 Prìomh Chomharran Cunnairt Ìre Fearainn
Gu h-ìosal tha grunn widgets rim faighinn air deas-bhòrd Varonis, agus cuiridh an cleachdadh gu mòr ri dìon an lìonra corporra agus bun-structar IT gu h-iomlan.
1. Àireamh de raointean airson nach deach facal-faire cunntas Kerberos atharrachadh airson ùine mhòr
Tha an cunntas KRBBTT na chunntas sònraichte ann an AD a tha a’ soidhnigeadh a h-uile càil . Faodaidh luchd-ionnsaigh a gheibh cothrom air rianadair àrainn (DC) an cunntas seo a chleachdadh airson cruthachadh , a bheir dhaibh cothrom gun chrìoch air cha mhòr siostam sam bith air an lìonra corporra. Thachair sinn ri suidheachadh far an robh cothrom aig neach-ionnsaigh air lìonra na buidhne airson dà bhliadhna às deidh dha Tiogaid Òir fhaighinn gu soirbheachail. Mura deach am facal-faire cunntas KRBBTT sa chompanaidh agad atharrachadh anns an dà fhichead latha a dh’ fhalbh, bheir am widget fios dhut mu dheidhinn seo.
Tha dà fhichead latha nas fhaide na ùine gu leòr airson neach-ionnsaigh faighinn chun lìonra. Ach, ma chuireas tu an gnìomh agus a nì thu gnàthachadh air a’ phròiseas airson am facal-faire seo atharrachadh gu cunbhalach, nì e tòrr nas duilghe do neach-ionnsaigh briseadh a-steach don lìonra corporra agad.
Cuimhnich, a rèir mar a chuir Microsoft an gnìomh protocol Kerberos, feumaidh tu KRBBTT.
Anns an àm ri teachd, cuiridh am widget AD seo nad chuimhne nuair a tha an t-àm ann am facal-faire KRBBTT atharrachadh a-rithist airson a h-uile raon air an lìonra agad.
2. Àireamh de raointean far an deach an cunntas Rianadair a chaidh a thogail a-steach a chleachdadh o chionn ghoirid
A rèir - tha dà chunntas air an toirt do luchd-rianachd an t-siostaim: tha a’ chiad fhear na chunntas airson cleachdadh làitheil, agus an dàrna fear airson obair rianachd dealbhaichte. Tha seo a’ ciallachadh nach bu chòir do dhuine sam bith an cunntas rianadair bunaiteach a chleachdadh.
Bidh an cunntas rianadair togte gu tric air a chleachdadh gus pròiseas rianachd an t-siostaim a dhèanamh nas sìmplidhe. Faodaidh seo a bhith na dhroch chleachdadh, agus mar thoradh air sin bidh hacking. Ma thachras seo sa bhuidheann agad, bidh duilgheadas agad eadar-dhealachadh a dhèanamh eadar cleachdadh ceart a’ chunntais seo agus ruigsinneachd droch-rùnach.
Ma tha am widget a’ sealltainn rud sam bith ach neoni, chan eil cuideigin ag obair gu ceart le cunntasan rianachd. Anns a 'chùis seo, feumaidh tu ceumannan a ghabhail gus ruigsinneachd air a' chunntas rianadair togte a cheartachadh agus a chuingealachadh.
Aon uair ‘s gu bheil thu air luach widget de neoni a choileanadh agus nach bi luchd-rianachd an t-siostaim a’ cleachdadh a ’chunntas seo tuilleadh airson an cuid obrach, an uairsin san àm ri teachd, bidh atharrachadh sam bith air a’ nochdadh ionnsaigh saidhbear a dh’ fhaodadh a bhith ann.
3. Àireamh de raointean aig nach eil buidheann de Luchd-cleachdaidh Dìon
Bha dreachan nas sine de AD a’ toirt taic do sheòrsa crioptachaidh lag - RC4. Rinn hackers grèim air RC4 o chionn mòran bhliadhnaichean, agus a-nis is e obair gu math beag a th’ ann dha neach-ionnsaigh cunntas a tha fhathast a’ cleachdadh RC4 a sheacadh. Thug an dreach de Active Directory a chaidh a thoirt a-steach ann an Windows Server 2012 a-steach seòrsa ùr de bhuidheann luchd-cleachdaidh ris an canar Buidheann Luchd-cleachdaidh Dìon. Bidh e a’ toirt seachad innealan tèarainteachd a bharrachd agus a’ cur casg air dearbhadh luchd-cleachdaidh a’ cleachdadh crioptachadh RC4.
Seallaidh a’ widget seo a bheil àrainn sam bith sa bhuidheann a’ call a leithid de bhuidheann gus an urrainn dhut a chàradh, i.e. comas a thoirt do bhuidheann de luchd-cleachdaidh dìonta agus a chleachdadh gus am bun-structair a dhìon.
Targaidean furasta airson luchd-ionnsaigh
Is e cunntasan luchd-cleachdaidh am prìomh thargaid airson luchd-ionnsaigh, bho oidhirpean sàrachaidh tùsail gu àrdachadh leantainneach air sochairean agus a bhith a’ falach an gnìomhan. Bidh luchd-ionnsaigh a’ coimhead airson targaidean sìmplidh air an lìonra agad a’ cleachdadh òrdughan PowerShell bunaiteach a tha gu tric duilich an lorg. Thoir air falbh nas urrainn de na targaidean furasta sin bho AD.
Tha luchd-ionnsaigh a’ coimhead airson luchd-cleachdaidh aig a bheil faclan-faire nach eil a’ tighinn gu crìch (no aig nach eil feum air faclan-faire), cunntasan teicneòlais a tha nan rianadairean, agus cunntasan a chleachdas crioptachadh RC4 dìleab.
Tha gin de na cunntasan sin glè bheag airson faighinn a-steach no sa chumantas chan eilear gan sgrùdadh. Faodaidh luchd-ionnsaigh na cunntasan sin a ghabhail thairis agus gluasad gu saor taobh a-staigh do bhun-structair.
Cho luath ‘s a thèid luchd-ionnsaigh a-steach don iomall tèarainteachd, tha coltas ann gum faigh iad cothrom air co-dhiù aon chunntas. An urrainn dhut stad a chuir orra bho bhith a’ faighinn cothrom air dàta mothachail mus lorgar agus mus lorgar an ionnsaigh?
Comharraichidh deas-bhòrd Varonis AD cunntasan luchd-cleachdaidh so-leònte gus an urrainn dhut duilgheadasan fhuasgladh gu for-ghnìomhach. Mar as duilghe a tha e a dhol a-steach don lìonra agad, is ann as fheàrr a bhios an cothrom agad neach-ionnsaigh a neodachadh mus dèan iad cron mòr.
4 Prìomh Chomharran Cunnairt airson Cunntasan Luchd-cleachdaidh
Gu h-ìosal tha eisimpleirean de widgets deas-bhòrd Varonis AD a tha a’ soilleireachadh na cunntasan cleachdaiche as so-leònte.
1. Àireamh de luchd-cleachdaidh gnìomhach le faclan-faire nach eil a 'tighinn gu crìch
Tha e an-còmhnaidh air leth soirbheachail gum faigh neach-ionnsaigh sam bith cothrom air a leithid de chunntas. Leis nach tig am facal-faire gu crìch gu bràth, tha àite maireannach aig an neach-ionnsaigh taobh a-staigh an lìonra, a dh’ fhaodar a chleachdadh an uairsin airson no gluasadan taobh a-staigh a’ bhun-structair.
Tha liostaichean aig luchd-ionnsaigh de mhilleanan de choimeasgaidhean facal-faire neach-cleachdaidh a bhios iad a’ cleachdadh ann an ionnsaighean lìonadh creideas, agus tha coltas ann gum bi
gu bheil an cothlamadh airson an neach-cleachdaidh leis an fhacal-fhaire “sìorraidh” ann an aon de na liostaichean sin, fada nas motha na neoni.
Tha cunntasan le faclan-faire nach eil a’ tighinn gu crìch furasta an riaghladh, ach chan eil iad tèarainte. Cleachd am widget seo gus a h-uile cunntas aig a bheil faclan-faire mar sin a lorg. Atharraich an suidheachadh seo agus ùraich am facal-faire agad.
Aon uair ‘s gu bheil luach a’ widget seo air a shuidheachadh gu neoni, nochdaidh cunntasan ùra sam bith a thèid a chruthachadh leis an fhacal-fhaire sin air an deas-bhòrd.
2. Àireamh de chunntasan rianachd le SPN
Tha SPN (Ainm Prìomh Seirbheis) na aithnichear sònraichte airson eisimpleir seirbheis. Tha am widget seo a’ sealltainn cia mheud cunntas seirbheis aig a bheil làn chòraichean rianachd. Feumaidh an luach air a’ widget a bhith neoni. Tha SPN le còraichean rianachd a’ tachairt leis gu bheil buileachadh nan còraichean sin goireasach dha luchd-reic bathar-bog agus luchd-rianachd thagraidhean, ach tha e na chunnart tèarainteachd.
Le bhith a’ toirt còirichean rianachd cunntas seirbheis leigidh neach-ionnsaigh làn chothrom fhaighinn air cunntas nach eilear ga chleachdadh. Tha seo a’ ciallachadh gum faod luchd-ionnsaigh aig a bheil cothrom air cunntasan SPN obrachadh gu saor taobh a-staigh a’ bhun-structair gun a bhith a’ cumail sùil air na gnìomhan aca.
Faodaidh tu a’ chùis seo fhuasgladh le bhith ag atharrachadh nan ceadan air cunntasan seirbheis. Bu chòir na cunntasan sin a bhith fo smachd prionnsapal an t-sochair as lugha agus chan eil aca ach an ruigsinneachd a tha riatanach airson an obrachadh.
A’ cleachdadh a’ widget seo, ’s urrainn dhut a h-uile SPN aig a bheil còraichean rianachd a lorg, na sochairean sin a thoirt air falbh, agus an uairsin sùil a chumail air SPNan a’ cleachdadh an aon phrionnsapal airson an t-slighe-steach as lugha sochair.
Thèid an SPN a tha a’ nochdadh às ùr a thaisbeanadh air an deas-bhòrd, agus bidh e comasach dhut sùil a chumail air a’ phròiseas seo.
3. Àireamh de luchd-cleachdaidh nach eil feum air Kerberos ro-dhearbhadh
Mas fheàrr, bidh Kerberos a’ cuairteachadh an tiogaid dearbhaidh a’ cleachdadh crioptachadh AES-256, a tha fhathast do-chreidsinneach chun an latha an-diugh.
Ach, chleachd tionndaidhean nas sine de Kerberos crioptachadh RC4, a dh'fhaodar a bhriseadh a-nis ann am mionaidean. Tha am widget seo a’ sealltainn dè na cunntasan cleachdaiche a tha fhathast a’ cleachdadh RC4. Tha Microsoft fhathast a’ toirt taic do RC4 airson co-chòrdalachd air ais, ach chan eil sin a’ ciallachadh gum bu chòir dhut a chleachdadh nad AD.
Aon uair ‘s gu bheil thu air na cunntasan sin a chomharrachadh, feumaidh tu am bogsa sgrùdaidh “chan eil feum air ro-ùghdarrachadh Kerberos” ann an AD gus toirt air na cunntasan crioptachadh nas ionnsaichte a chleachdadh.
Bheir e tòrr ùine a bhith a’ faighinn a-mach na cunntasan sin leat fhèin, às aonais deas-bhòrd Varonis AD. Ann an da-rìribh, tha e eadhon nas duilghe a bhith mothachail air a h-uile cunntas a tha air a dheasachadh gus crioptachadh RC4 a chleachdadh.
Ma dh’ atharraicheas an luach air a’ widget, dh’ fhaodadh seo gnìomhachd mì-laghail a chomharrachadh.
4. Àireamh de luchd-cleachdaidh gun facal-faire
Bidh luchd-ionnsaigh a’ cleachdadh òrdughan PowerShell bunaiteach gus a’ bhratach “PASSWD_NOTREQD” a leughadh bho AD ann an togalaichean cunntais. Tha cleachdadh a’ bhratach seo a’ nochdadh nach eil riatanasan facal-faire no riatanasan iom-fhillteachd ann.
Dè cho furasta ‘s a tha e cunntas a ghoid le facal-faire sìmplidh no falamh? A-nis smaoinich gu bheil aon de na cunntasan sin na rianadair.
Dè ma tha aon de na mìltean de fhaidhlichean dìomhair a tha fosgailte don h-uile duine na aithisg ionmhais a tha ri thighinn?
Le bhith a’ seachnadh an riatanas facal-faire èigneachail tha ath-ghoirid rianachd siostam eile a chaidh a chleachdadh gu tric san àm a dh’ fhalbh, ach nach eil iomchaidh no sàbhailte an-diugh.
Ceartaich a’ chùis seo le bhith ag ùrachadh nam faclan-faire airson nan cunntasan seo.
Cuidichidh sùil air a’ widget seo san àm ri teachd thu gus cunntasan a sheachnadh gun fhacal-faire.
Tha Varonis a’ dèanamh coimeas eadar na cothroman
San àm a dh’ fhalbh, thug an obair a bhith a’ tional agus a’ mion-sgrùdadh na meatrach a tha air a mhìneachadh san artaigil seo mòran uairean a thìde agus bha feum air eòlas domhainn air PowerShell, ag iarraidh air sgiobaidhean tèarainteachd goireasan a riarachadh gu gnìomhan mar sin gach seachdain no mìos. Ach tha cruinneachadh agus giullachd an fhiosrachaidh seo le làimh a’ toirt deagh thoiseach tòiseachaidh do luchd-ionnsaigh gus dàta a shìoladh agus a ghoid.
С Caithidh tu aon latha gus an deas-bhòrd AD agus pàirtean a bharrachd a chuir a-steach, cruinnich na so-leòntachd a chaidh a dheasbad agus mòran a bharrachd. Anns an àm ri teachd, rè obrachadh, thèid am pannal sgrùdaidh ùrachadh gu fèin-ghluasadach mar a bhios staid a’ bhun-structair ag atharrachadh.
Tha a bhith a’ dèanamh ionnsaighean saidhbear an-còmhnaidh na rèis eadar luchd-ionnsaigh agus luchd-dìon, miann an neach-ionnsaigh dàta a ghoid mus urrainn do eòlaichean tèarainteachd casg a chuir air ruigsinneachd air. Is e lorg tràth air luchd-ionnsaigh agus an gnìomhan mì-laghail, còmhla ri dìonan làidir saidhbear, an dòigh as fheàrr air an dàta agad a chumail sàbhailte.
Source: www.habr.com