Tişta ku êrîşkarek hewce dike dem û motîvasyon e ku têkeve nav tora we. Lê karê me ew e ku em wî ji vî karî nehêlin, an jî bi kêmanî em vî karî bi qasî ku dibe dijwar bikin. Pêdivî ye ku hûn bi destnîşankirina qelsiyên di Active Directory de dest pê bikin (ji vir şûnde wekî AD tê binav kirin) ku êrîşkar dikare bikar bîne da ku bigihîje û li dora torê bêyî ku were tespît kirin bigere. Îro di vê gotarê de em ê li nîşaneyên xetereyê binêrin ku qelsiyên heyî yên di berevaniya sîberê ya rêxistina we de nîşan didin, dashboarda AD Varonis wekî mînak bikar tînin.
Êrîşker di domanê de hin veavakirinan bikar tînin
Êrîşker cûrbecûr teknîk û qelsiyên jîr bikar tînin da ku bikevin nav torên pargîdanî û îmtiyazan zêde bikin. Hin ji van qelsiyan mîhengên veavakirina domainê ne ku gava ku werin nas kirin bi hêsanî têne guheztin.
Ger we (an jî rêvebirên pergala we) di meha borî de şîfreya KRBTGT neguherandibe, an heke kesek bi hesabê Rêvebirê çêkirî-ya xwerû verast kiribe, tabloya AD tavilê hişyar dike. Van her du hesaban gihîştina bêsînor ji tora we re peyda dikin: êrîşkar dê hewl bidin ku bigihîjin wan da ku bi hêsanî her qedexeyên di îmtiyaz û destûrên gihîştinê de derbas bikin. Û, wekî encamek, ew bigihîjin her daneya ku wan eleqedar dike.
Bê guman, hûn dikarin van qelsiyan bi xwe kifş bikin: Mînakî, bîranînek salnameyê saz bikin da ku skrîptek PowerShell-ê kontrol bike an bimeşîne da ku vê agahiyê berhev bike.
Tabloya Varonis tê nûve kirin otomatîk ji bo peydakirina bilez û analîzkirina metrîkên sereke yên ku qelsiyên potansiyel ronî dikin peyda bikin da ku hûn ji bo çareserkirina wan tevdîrên tavilê bavêjin.
3 Nîşaneyên Rîska Level Domain Key
Li jêr hejmarek widgetên li ser tabloya Varonis hene, karanîna wan dê bi tevahî parastina tora pargîdanî û binesaziya IT-ê bi girîngî zêde bike.
1. Hejmara domainên ku şîfreya hesabê Kerberos ji bo demek girîng nehatiye guhertin
Hesabê KRBTGT di AD de hesabek taybetî ye ku her tiştî îmze dike . Êrîşkerên ku xwe bigihînin kontrolkerek domainê (DC) dikarin vê hesabê bikar bînin da ku çêbikin , ku dê hema hema her pergalê li ser tora pargîdanî gihandina bêsînor bide wan. Em rastî rewşek hatin ku, piştî bidestxistina Bilêtek Zêrîn bi serfirazî, êrîşkarek du salan gihîştibû tora rêxistinê. Ger şîfreya hesabê KRBTGT di pargîdaniya we de di van çil rojên dawî de nehatibe guhertin, widget dê we li ser vê yekê agahdar bike.
Çil roj ji bo ku êrîşkar bigihîje torê ji wextê têrtir e. Lêbelê, heke hûn pêvajoya guheztina vê şîfreyê bi rêkûpêk bicîh bikin û standardîze bikin, ew ê ji bo êrîşkar têkeve tora pargîdaniya we pir dijwartir bike.
Bînin bîra xwe ku li gorî pêkanîna Microsoft-ê ya protokola Kerberos, divê hûn KRBTGT.
Di paşerojê de, ev widgeta AD-ê dê gava ku wextê guherandina şîfreya KRBTGT ji bo hemî domên li ser tora xwe dîsa were bîra we.
2. Hejmara domên ku hesabê Rêvebirê çêkirî vê dawiyê tê bikaranîn
Li gorî - Rêveberên pergalê bi du hesaban têne peyda kirin: ya yekem hesabek ji bo karanîna rojane ye, û ya duyemîn jî ji bo xebata îdarî ya plankirî ye. Ev tê vê wateyê ku divê kes hesabê rêveberê xwerû bikar neyîne.
Hesabê rêveberê çêkirî bi gelemperî ji bo hêsankirina pêvajoya rêveberiya pergalê tê bikar anîn. Ev dikare bibe adetek xirab, di encamê de hacking. Ger ev yek di rêxistina we de çêbibe, hûn ê di navbera karanîna rast a vê hesabê û gihîştina potansiyel a xerab de cûdahiyê bikin.
Ger widget ji bilî sifir tiştek din nîşan bide, wê hingê kesek bi hesabên îdarî re rast naxebite. Di vê rewşê de, divê hûn gavan bavêjin da ku hûn gihîştina hesabê rêveberê çêkirî rast bikin û sînordar bikin.
Gava ku we nirxek widgetê ya sifir bi dest xist û rêveberên pergalê êdî vê hesabê ji bo xebata xwe bikar neynin, wê hingê di pêşerojê de, her guhertinek li ser wê dê êrişek sîberek potansiyel nîşan bide.
3. Hejmara domên ku komeke Bikarhênerên Parastî ne
Guhertoyên kevntir ên AD piştgirî da celebek şîfrekirina qels - RC4. Hackeran gelek sal berê RC4 hack kirin, û naha ji bo êrîşkerek karekî pir hindik e ku hesabek ku hîn jî RC4 bikar tîne hack bike. Guhertoya Active Directory ya ku di Windows Server 2012 de hatî destnîşan kirin celebek nû ya koma bikarhêner a bi navê Koma Bikarhênerên Parastî destnîşan kir. Ew amûrên ewlehiyê yên din peyda dike û pêşî li pejirandina bikarhêner bi karanîna şîfrekirina RC4 digire.
Ev widget dê nîşan bide ger di nav rêxistinê de komek wusa wenda ye da ku hûn wê rast bikin, ango. komek bikarhênerên parastî çalak bikin û wê bikar bînin da ku binesaziyê biparêzin.
Ji bo êrîşkaran armancên hêsan
Hesabên bikarhêner ji bo êrîşkaran, ji hewildanên destwerdana destpêkê heya zêdekirina domdarkirina îmtiyazan û veşartina çalakiyên wan, hedefa yekem in. Êrîşker bi karanîna fermanên bingehîn ên PowerShell-ê ku bi gelemperî têne dîtin dijwar in li armancên hêsan ên li ser tora we digerin. Bi qasî ku gengaz be van armancên hêsan ji AD-ê derxînin.
Êrîşkar li bikarhênerên bi şîfreyên ku qet naqedin (an jî yên ku şîfreyan hewce nakin), hesabên teknolojiyê yên ku rêvebir in, û hesabên ku şîfrekirina mîrateya RC4 bikar tînin digerin.
Yek ji van hesaban ji bo gihîştinê ne hindik in an jî bi gelemperî nayên şopandin. Êrîşkar dikarin van hesaban bigirin û di nav binesaziya we de bi azadî tevbigerin.
Gava ku êrîşkar derbasî perimetra ewlehiyê bibin, ew ê îhtîmala ku bi kêmî ve yek hesabek bigihîjin. Ma hûn dikarin pêşî li wan bigirin ku ew bigihîjin daneyên hesas berî ku êrîş were tespît kirin û were girtin?
Tabloya Varonis AD dê hesabên bikarhêner ên xedar destnîşan bike da ku hûn dikarin bi proaktîf pirsgirêkan çareser bikin. Zehmettir e ku meriv têkeve tora we, ew qas şansê we çêtir e ku hûn êrîşkarek bêbandor bikin berî ku ew zirarek cidî bidin.
4 Ji bo Hesabên Bikarhêner Nîşaneyên Rîska sereke
Li jêr mînakên widgetên dashboarda Varonis AD hene ku hesabên bikarhêner ên herî xeternak ronî dikin.
1. Hejmara bikarhênerên çalak ên bi şîfreyên ku qet naqedin
Ji bo her êrîşkar ku bigihîje hesabek wusa her gav serkeftinek mezin e. Ji ber ku şîfre qet naqede, êrîşkar di nav torê de xwedan cîhek domdar e, ku paşê dikare were bikar anîn an tevgerên di nav binesaziyê de.
Êrîşker navnîşên bi mîlyonan berhevokên bikarhêner-şîfreya ku ew di êrîşên dagirtina pêbaweriyê de bikar tînin hene, û îhtîmalek heye ku
ku kombînasyona ji bo bikarhêner bi şîfreya "ebedî" di yek ji van lîsteyan de ye, ji sifirê pir mezintir e.
Hesabên bi şîfreyên neqediyayî têne birêvebirin hêsan in, lê ew ne ewle ne. Vê widgetê bikar bînin ku hemî hesabên ku şîfreyên weha hene bibînin. Vê mîhengê biguherînin û şîfreya xwe nûve bikin.
Dema ku nirxa vê widgetê li ser sifir were danîn, her hesabên nû yên ku bi wê şîfreyê hatine afirandin dê di dashboardê de xuya bibin.
2. Hejmara hesabên îdarî yên bi SPN
SPN (Navê Serek Karûbar) nasnameyek yekta ya mînakek karûbar e. Ev widget destnîşan dike ku çend hesabên karûbarê xwediyê mafên rêveberiyê yên tevahî ne. Nirxa li ser widgetê divê sifir be. SPN bi mafên îdarî pêk tê ji ber ku dayîna mafên weha ji bo firoşkarên nermalavê û rêvebirên serîlêdanê rehet e, lê ew xeterek ewlehiyê çêdike.
Danîna mafên îdarî ya hesabê karûbarê dihêle ku êrîşkar bi tevahî bigihîje hesabek ku nayê bikar anîn. Ev tê vê wateyê ku êrişkerên ku gihîştina hesabên SPN-ê dikarin bi serbestî di nav binesaziyê de bêyî şopandina çalakiyên wan tevbigerin.
Hûn dikarin vê pirsgirêkê bi guhertina destûrên li ser hesabên karûbarê çareser bikin. Hesabên weha divê di bin prensîba kêmtirîn îmtiyazê de bin û tenê gihîştina ku bi rastî ji bo xebata wan hewce ye hebe.
Bi karanîna vê widgetê, hûn dikarin hemî SPN-yên ku xwedan mafên îdarî ne, kifş bikin, îmtiyazên weha rakin, û dûv re SPN-ê bi karanîna heman prensîba gihîştina herî kêm îmtiyaz bişopînin.
SPN-ya ku nû xuya dibe dê li ser dashboardê were xuyang kirin, û hûn ê karibin vê pêvajoyê bişopînin.
3. Hejmara bikarhênerên ku pêwîstî bi pe-rastkirina Kerberos ne
Bi îdeal, Kerberos bilêta erêkirinê bi şîfrekirina AES-256 şîfre dike, ku heya roja îro neşikestî dimîne.
Lêbelê, guhertoyên kevntir ên Kerberos şîfrekirina RC4 bikar anîn, ku naha dikare di çend hûrdeman de were şikandin. Ev widget destnîşan dike ku kîjan hesabên bikarhêner hîn jî RC4 bikar tînin. Microsoft hîn jî ji bo lihevhatina paşverû RC4 piştgirî dike, lê ev nayê vê wateyê ku divê hûn wê di AD-ya xwe de bikar bînin.
Gava ku we hesabên weha nas kirin, hûn hewce ne ku qutiya kontrolê ya "pêdiviya pêşdestûrkirina Kerberos ne hewce ye" li AD-ê rakin da ku hesaban neçar bikin ku şîfrekirina tevlihevtir bikar bînin.
Vedîtina van hesaban bi serê xwe, bêyî tabloya Varonis AD, gelek wext digire. Di rastiyê de, hay ji hemî hesabên ku ji bo karanîna şîfrekirina RC4 têne guheztin karekî hîn dijwartir e.
Ger nirxa li ser widgetê biguhere, ev dibe ku çalakiya neqanûnî nîşan bide.
4. Hejmara bikarhênerên bê şîfre
Êrîşker emrên bingehîn ên PowerShell bikar tînin da ku ala "PASSWD_NOTREQD" ji AD-ê di taybetmendiyên hesabê de bixwînin. Bikaranîna vê alê destnîşan dike ku hewcedariyên şîfreyê an hewcedariyên tevliheviyê tune.
Dizîna hesabek bi şîfreyek hêsan an vala çiqas hêsan e? Naha bifikirin ku yek ji van hesaban rêveberek e.
Ger yek ji hezaran pelên nepenî yên ku ji her kesî re vekirî ye, raporek darayî ya pêşerojê be?
Ihmalkirina pêdiviya şîfreya mecbûrî kurtebirrek din a rêveberiya pergalê ye ku pir caran berê dihat bikar anîn, lê îro ne nayê pejirandin û ne ewledar e.
Vê pirsgirêkê bi nûvekirina şîfreyên van hesaban çareser bikin.
Şopandina vê widgetê di pêşerojê de dê ji we re bibe alîkar ku hûn ji hesabên bê şîfre dûr bisekinin.
Varonis şansê hevdu dike
Berê, xebata berhevkirin û analîzkirina metrîkên ku di vê gotarê de hatine destnîşan kirin gelek demjimêr dikişand û hewceyê zanîna kûr a PowerShell-ê bû, ku ji tîmên ewlehiyê re hewce dike ku her hefte an mehê çavkaniyan ji karên weha re veqetînin. Lê berhevkirin û hilanîna bi destan a vê agahiyê rê dide êrîşkaran ku bikevin nav û diziya daneyan.
С Hûn ê rojekê derbas bikin da ku tabloya AD-ê û hêmanên din bicîh bikin, hemî qelsiyên ku hatine nîqaş kirin û hêj bêtir berhev bikin. Di pêşerojê de, di dema xebatê de, dema ku rewşa binesaziyê diguhezîne panela çavdêriyê bixweber were nûve kirin.
Pêkanîna êrîşên sîber her gav pêşbaziyek di navbera êrîşkar û berevanan de ye, xwesteka êrîşkar ku daneyan dizîne berî ku pisporên ewlehiyê karibin gihîştina wê asteng bikin. Tespîtkirina zû ya êrîşkaran û çalakiyên wan ên neqanûnî, digel berevaniya sîberê ya bihêz, mifteya parastina daneyên we ye.
Source: www.habr.com