Duk abin da maharin ke buƙata shine lokaci da kuzari don shiga cikin hanyar sadarwar ku. Amma aikinmu shi ne mu hana shi yin haka, ko kuma a ce a sa wannan aiki ya yi wahala sosai. Kuna buƙatar farawa da gano rauni a cikin Active Directory (wanda ake kira AD) wanda maharin zai iya amfani da shi don samun dama da kewaya hanyar sadarwa ba tare da an gano shi ba. A yau a cikin wannan labarin za mu kalli alamun haɗari waɗanda ke nuna raunin da ke akwai a cikin tsaron yanar gizo na ƙungiyar ku, ta amfani da dashboard AD Varonis a matsayin misali.
Maharan suna amfani da wasu ƙa'idodi a cikin yankin
Maharan suna amfani da dabaru daban-daban na wayo da lahani don kutsa kai cikin cibiyoyin sadarwa da haɓaka gata. Wasu daga cikin waɗannan lahani sune saitunan saitin yanki waɗanda za'a iya canza su cikin sauƙi da zarar an gano su.
Dashboard ɗin AD zai faɗakar da kai nan da nan idan ku (ko masu kula da tsarin ku) ba ku canza kalmar wucewa ta KRBTGT ba a cikin watan da ya gabata, ko kuma idan wani ya inganta tare da tsohuwar asusun Gudanarwa. Waɗannan asusu guda biyu suna ba da dama ga hanyar sadarwar ku mara iyaka: maharan za su yi ƙoƙarin samun damar yin amfani da su don keɓance kowane hani a cikin gata da izini cikin sauƙi. Kuma, a sakamakon haka, suna samun damar yin amfani da duk bayanan da ke sha'awar su.
Tabbas, zaku iya gano waɗannan raunin da kanku: misali, saita tunatarwar kalanda don bincika ko gudanar da rubutun PowerShell don tattara wannan bayanin.
Ana sabunta dashboard na Varonis ta atomatik don samar da ganuwa cikin sauri da kuma nazarin ma'auni masu mahimmanci waɗanda ke nuna yuwuwar raunin da za ku iya ɗaukar matakin gaggawa don magance su.
Maɓalli 3 Maɓalli na Matsayin Haɗarin Yanki
A ƙasa akwai adadin widget din da ake samu akan dashboard ɗin Varonis, wanda amfani da su zai haɓaka kariyar cibiyar sadarwar kamfanoni da kayan aikin IT gaba ɗaya.
1. Yawan wuraren da ba a canza kalmar sirrin asusun Kerberos na wani ɗan lokaci mai mahimmanci ba
Asusun KRBTGT wani asusu ne na musamman a cikin AD wanda ke sanya hannu akan komai . Maharan da suka sami dama ga mai sarrafa yanki (DC) na iya amfani da wannan asusu don ƙirƙira , wanda zai ba su damar shiga mara iyaka zuwa kusan kowane tsarin da ke kan hanyar sadarwar kamfanoni. Mun ci karo da wani yanayi inda, bayan samun nasarar samun Tikitin Zinare, wani maharin ya samu damar shiga cibiyar sadarwar kungiyar tsawon shekaru biyu. Idan ba a canza kalmar sirri ta asusun KRBTGT a cikin kamfanin ku ba a cikin kwanaki arba'in da suka gabata, widget din zai sanar da ku game da wannan.
Kwanaki arba'in sun fi isasshen lokacin da maharin ya sami damar shiga hanyar sadarwa. Koyaya, idan kun aiwatar da daidaita tsarin canza wannan kalmar sirri akai-akai, zai sa ya zama da wahala ga mai hari ya shiga cibiyar sadarwar ku.
Ka tuna cewa bisa ga aiwatar da Microsoft na ƙa'idar Kerberos, dole ne ku KRBTGT.
Nan gaba, wannan AD widget din zai tunatar da ku lokacin da lokaci ya yi da za ku sake canza kalmar wucewa ta KRBTGT ga duk wuraren da ke kan hanyar sadarwar ku.
2. Yawan wuraren da aka gina ginanniyar asusun Gudanarwa kwanan nan
A cewar - Ana ba da masu gudanar da tsarin tare da asusun guda biyu: na farko shine asusun don amfanin yau da kullum, na biyu kuma don aikin gudanarwa da aka tsara. Wannan yana nufin cewa babu wanda ya isa ya yi amfani da tsoffin asusun gudanarwa.
Ana yawan amfani da ginanniyar asusun mai gudanarwa don sauƙaƙa tsarin gudanar da tsarin. Wannan zai iya zama mummunar dabi'a, yana haifar da hacking. Idan wannan ya faru a cikin ƙungiyar ku, za ku sami matsala wajen bambancewa tsakanin amfani da wannan asusun daidai da yiwuwar shiga mara kyau.
Idan widget din ya nuna wani abu banda sifili, to wani ba ya aiki daidai da asusun gudanarwa. A wannan yanayin, dole ne ka ɗauki matakai don gyara da iyakance isa ga ginanniyar asusun gudanarwa.
Da zarar kun sami darajar widget din sifili kuma masu kula da tsarin ba za su sake amfani da wannan asusu don aikinsu ba, to nan gaba, duk wani canji zuwa gare shi zai nuna yiwuwar harin yanar gizo.
3. Yawan wuraren da ba su da ƙungiyar Masu Amfani da Kariya
Tsofaffin nau'ikan AD suna goyan bayan nau'in ɓoye mai rauni - RC4. Hackers sun yi kutse a RC4 shekaru da yawa da suka gabata, kuma yanzu aiki ne maras muhimmanci ga maharin ya yi kutse a asusu wanda har yanzu yana amfani da RC4. Sigar Active Directory da aka gabatar a cikin Windows Server 2012 ya gabatar da sabon nau'in rukunin masu amfani da ake kira Rukunin Masu Amfani da Kare. Yana ba da ƙarin kayan aikin tsaro kuma yana hana amincin mai amfani ta amfani da ɓoyayyen RC4.
Wannan widget din zai nuna idan kowane yanki a cikin kungiyar ya ɓace irin wannan rukunin don ku iya gyara shi, watau. ba da damar ƙungiyar masu amfani masu kariya da amfani da shi don kare abubuwan more rayuwa.
Maƙasudai masu sauƙi ga maharan
Asusun masu amfani sune manufa ta ɗaya ga maharan, tun daga yunƙurin kutsawa na farko zuwa ci gaba da haɓaka gata da ɓoye ayyukansu. Mahara suna neman sauƙaƙan manufa akan hanyar sadarwar ku ta amfani da ainihin umarnin PowerShell waɗanda galibi suna da wahalar ganowa. Cire yawancin waɗannan maƙasudai masu sauƙi daga AD gwargwadon iko.
Maharan suna neman masu amfani da kalmomin shiga mara ƙarewa (ko waɗanda ba sa buƙatar kalmar sirri), asusun fasaha waɗanda ke gudanarwa, da asusun da ke amfani da ɓoyayyen RC4 na gado.
Kowane ɗayan waɗannan asusun ko dai ba su da mahimmanci don shiga ko kuma gabaɗaya ba a kula da su. Mahara suna iya karɓar waɗannan asusu kuma suyi tafiya cikin yardar kaina cikin abubuwan more rayuwa.
Da zarar maharan sun shiga kewayen tsaro, za su iya samun damar shiga aƙalla asusu ɗaya. Shin za ku iya hana su samun damar yin amfani da bayanai masu mahimmanci kafin a gano da kuma ƙunshi harin?
Dashboard ɗin Varonis AD zai nuna maƙasudin asusun mai amfani don ku iya magance matsalolin a hankali. Mafi wahalar shiga hanyar sadarwar ku, mafi kyawun damar ku na kawar da maharin kafin ya yi mummunar lalacewa.
4 Maɓallin Haɗarin Maɓalli don Lissafin Mai amfani
A ƙasa akwai misalan widget ɗin dashboard na Varonis AD waɗanda ke haskaka mafi ƙarancin asusun mai amfani.
1. Yawan masu amfani da kalmomin shiga waɗanda ba su ƙarewa ba
Ga duk wani maharan samun damar shiga irin wannan asusu shine babban nasara koyaushe. Tun da kalmar sirri ba ta ƙare ba, maharin yana da madaidaicin kafa a cikin hanyar sadarwar, wanda za'a iya amfani dashi ko motsi a cikin kayayyakin more rayuwa.
Maharan suna da jerin sunayen miliyoyin masu amfani da kalmar sirri da suke amfani da su wajen kai hari na sirri, kuma da alama hakan shine.
cewa haɗin ga mai amfani tare da kalmar wucewa ta "madawwami" yana cikin ɗayan waɗannan jerin, wanda ya fi sifili.
Asusu tare da kalmomin shiga marasa ƙarewa suna da sauƙin sarrafawa, amma ba su da tsaro. Yi amfani da wannan widget din don nemo duk asusu masu irin waɗannan kalmomin shiga. Canja wannan saitin kuma sabunta kalmar sirrinku.
Da zarar an saita darajar wannan widget din zuwa sifili, duk wani sabon asusun da aka kirkira tare da kalmar sirri zai bayyana a cikin dashboard.
2. Yawan asusun gudanarwa tare da SPN
SPN (Sunan Babban Sabis) shine keɓaɓɓen mai gano misalin sabis. Wannan widget din yana nuna adadin asusun sabis na da cikakken haƙƙin gudanarwa. Dole ne ƙimar da ke kan widget ɗin ta zama sifili. SPN tare da haƙƙin gudanarwa yana faruwa saboda ba da irin waɗannan haƙƙoƙin ya dace ga masu siyar da software da masu gudanar da aikace-aikacen, amma yana haifar da haɗarin tsaro.
Ba da haƙƙin gudanarwa na asusun sabis yana bawa maharin damar samun cikakken damar shiga asusun da ba a amfani da shi. Wannan yana nufin cewa maharan da ke da damar yin amfani da asusun SPN na iya yin aiki cikin yardar kaina a cikin ababen more rayuwa ba tare da kula da ayyukansu ba.
Kuna iya warware wannan matsalar ta canza izini akan asusun sabis. Irin waɗannan asusun ya kamata su kasance ƙarƙashin ƙa'idar mafi ƙarancin gata kuma suna da damar kawai wanda ke da mahimmanci don aikin su.
Yin amfani da wannan widget din, zaku iya gano duk SPNs waɗanda ke da haƙƙin gudanarwa, cire irin wannan gata, sannan saka idanu SPNs ta amfani da ƙa'ida ɗaya na mafi ƙarancin gata.
Za a nuna sabon SPN a kan dashboard, kuma za ku iya saka idanu akan wannan tsari.
3. Yawan masu amfani waɗanda ba sa buƙatar tantancewar Kerberos
Da kyau, Kerberos yana ɓoye tikitin tantancewa ta amfani da boye-boye AES-256, wanda ya kasance ba zai karye ba har yau.
Koyaya, tsoffin nau'ikan Kerberos sun yi amfani da ɓoyayyen RC4, wanda yanzu ana iya karyewa cikin mintuna. Wannan widget din yana nuna waɗanne asusun mai amfani ke amfani da RC4. Microsoft har yanzu yana goyan bayan RC4 don dacewa da baya, amma wannan baya nufin yakamata kuyi amfani dashi a cikin AD ɗin ku.
Da zarar kun gano irin waɗannan asusun, kuna buƙatar cire alamar "ba ya buƙatar izinin farko na Kerberos" a cikin AD don tilasta wa asusun yin amfani da ɓoyayyen ɓoyayyen ɓoyayye.
Gano waɗannan asusun da kanku, ba tare da dashboard ɗin Varonis AD ba, yana ɗaukar lokaci mai yawa. A zahiri, sanin duk asusun da aka gyara don amfani da boye-boye na RC4 babban aiki ne mai wahala.
Idan darajar widget din ta canza, wannan na iya nuna ayyukan haram.
4. Yawan masu amfani da kalmar sirri
Maharan suna amfani da ainihin umarnin PowerShell don karanta tutar "PASSWD_NOTRQD" daga AD a cikin kaddarorin asusu. Amfani da wannan tuta yana nuna cewa babu buƙatun kalmar sirri ko ƙaƙƙarfan buƙatun.
Yaya sauƙin sata asusu tare da kalmar sirri mai sauƙi ko mara kyau? Yanzu yi tunanin cewa ɗayan waɗannan asusun shine mai gudanarwa.
Idan ɗayan dubban fayilolin sirri da aka buɗe wa kowa fa rahoton kuɗi ne mai zuwa?
Yin watsi da buƙatun kalmar sirri na dole wata gajeriyar hanyar sarrafa tsarin ce wacce aka saba amfani da ita a baya, amma ba karɓuwa ko aminci a yau.
Gyara wannan batu ta hanyar sabunta kalmomin shiga na waɗannan asusun.
Kula da wannan widget din nan gaba zai taimake ka ka guje wa asusu ba tare da kalmar sirri ba.
Varonis yana da ban sha'awa
A baya, aikin tattarawa da nazarin ma'auni da aka bayyana a cikin wannan labarin ya ɗauki sa'o'i da yawa kuma yana buƙatar zurfin ilimin PowerShell, yana buƙatar ƙungiyoyin tsaro su ware albarkatun ga irin waɗannan ayyuka kowane mako ko wata. Amma tattarawa da sarrafa waɗannan bayanan da hannu yana ba maharan damar fara kutsawa da satar bayanai.
С Za ku yi amfani da rana ɗaya don tura dashboard ɗin AD da ƙarin abubuwan haɗin gwiwa, tattara duk raunin da aka tattauna da ƙari mai yawa. A nan gaba, yayin aiki, za a sabunta kwamitin sa ido ta atomatik yayin da yanayin abubuwan more rayuwa ke canzawa.
Kai hare-hare ta yanar gizo a kodayaushe tsere ne tsakanin maharan da masu kare kai, burin maharin na satar bayanai kafin kwararrun tsaro su toshe hanyar shiga. Gano maharan da wuri da ayyukansu na haram, haɗe da kariyar yanar gizo mai ƙarfi, shine mabuɗin kiyaye bayanan ku.
source: www.habr.com