Zehfbûna Veguheztinê: Meriv Çawa Bilindbûna Desthilatdariya Rêvebirê Domainê Teşhîs Dike

Îsal hat dîtin lawazbûna di Exchange destûrê dide her bikarhênerek domainê ku mafên rêveberê domainê bi dest bixe û Pelrêça Active (AD) û mêvandarên din ên girêdayî bi dest bixe. Îro em ê ji we re vebêjin ka ev êrîş çawa dixebite û meriv wê çawa bibîne.

Ev êrîş çawa dixebite:

1. Êrîşkarek hesabê her bikarhênerek domainê bi qutiyek posteyê çalak digire da ku bibe abonetiya taybetmendiya ragihandina push ji Exchange.
2. Êrîşkar releya NTLM bikar tîne da ku servera Exchange bixapîne: Wekî encamek, servera Exchange bi komputera bikarhênerê tawîzkar re bi karanîna rêbaza NTLM-ya HTTP-ê ve girêdide, ku êrîşkar wê hingê bikar tîne da ku bi LDAP-ê ve bi pêbaweriyên hesabê Exchange ve bi kontrolkerê domainê verast bike.
3. Êrîşkar dawî li van pêbaweriyên hesabê Exchange bikar tîne da ku îmtiyazên xwe zêde bike. Vê gavê paşîn jî dikare ji hêla rêveberek dijmin ve were kirin ku jixwe xwedan gihîştina rewa ye ku guhartina destûrê ya pêwîst bike. Bi afirandina qaîdeyek ji bo tespîtkirina vê çalakiyê, hûn ê ji vê û êrîşên mîna wan werin parastin.

Dûv re, êrîşkarek dikare, mînakî, DCSync-ê bixebitîne da ku şîfreyên heşdî yên hemî bikarhênerên di domanê de bigire. Ev ê bihêle ku ew cûrbecûr êrîşan pêk bîne - ji êrîşên bilêtên zêrîn bigire heya veguheztina hash.

Tîma lêkolînê ya Varonis ev vektora êrîşê bi hûrgulî lêkolîn kiriye û ji xerîdarên me re rêbernameyek amade kiriye da ku wê kifş bikin û di heman demê de kontrol bikin ka ew berê tawîz bûne an na.

Tespîtkirina Zêdebûna Taybetmendiya Domainê

В DataAlert Rêgezek xwerû biafirînin da ku guheztinên destûrên taybetî yên li ser tiştekê bişopînin. Dema ku maf û destûrên li cîhekî balkêş li domainê zêde bike dê were xebitandin:

1. Navê rêbazê diyar bikin
2. Kategoriyê bike "Balbûna îmtiyazê"
3. Tîpa çavkaniyê li "Hemû cureyên çavkaniyê" saz bike
4. Pêşkêşkara Pelê = Servîsên Directory
5. Domaina ku hûn jê re eleqedar in diyar bikin, mînakî, bi navê
6. Parzûnek zêde bikin da ku destûrên li ser tiştek AD zêde bikin
7. Û ji bîr nekin ku vebijarka "Lêgerîna li tiştên zarokan" nehilbijartî bihêlin.

Û naha rapor: tespîtkirina guheztinên mafên li ser tiştek domainê

Guhertinên destûrên li ser tiştek AD-ê pir kêm in, ji ber vê yekê her tiştê ku vê hişyariyê derxistiye divê û divê were lêkolîn kirin. Di heman demê de dê ramanek baş be ku meriv xuyang û naveroka raporê ceribandin berî ku hukmê xwe bike şer.

Ev rapor di heman demê de dê nîşan bide ku hûn ji berê ve ji hêla vê êrîşê ve hatî tawîz kirin:

Dema ku qaîdeyek were çalak kirin, hûn dikarin hemî bûyerên din ên zêdekirina îmtiyazê bi karanîna navgîniya webê ya DatAlert lêkolîn bikin:

Gava ku hûn vê qaîdeyê mîheng bikin, hûn dikarin li hember van û celebên mîna qelsiyên ewlehiyê çavdêrî bikin û biparêzin, bûyeran bi tiştên karûbarên pelrêça AD-ê re lêkolîn bikin, û diyar bikin ka hûn ji vê qelsiya krîtîk re guncan in.

Source: www.habr.com