Быйыл ачылган каалаган домен колдонуучуга домен администраторунун укуктарын алууга жана Active Directory (AD) жана башка туташкан хостторду бузууга мүмкүндүк берет. Бүгүн биз бул чабуул кандайча иштээрин жана аны кантип аныктоону айтып беребиз.
Бул чабуул кантип иштейт:
- Биржадан push эскертме функциясына жазылуу үчүн чабуулчу активдүү почта кутусу бар каалаган домен колдонуучунун эсебин алат.
- Чабуулчу Exchange серверин алдоо үчүн NTLM релесин колдонот: натыйжада Exchange сервери бузулган колдонуучунун компьютерине HTTP үстүнөн NTLM ыкмасын колдонуп туташат, андан кийин чабуулчу аны Exchange эсеп жазуулары менен LDAP аркылуу домен контроллерине аутентификациялоо үчүн колдонот.
- Чабуулчу артыкчылыктарын жогорулатуу үчүн бул Exchange каттоо эсебинин эсептик дайындарын колдонуу менен аяктайт. Бул акыркы кадамды зарыл уруксатты өзгөртүү үчүн мыйзамдуу мүмкүнчүлүгү бар кас администратор да аткарышы мүмкүн. Бул аракетти аныктоо үчүн эреже түзүү менен, сиз ушул жана ушул сыяктуу чабуулдардан корголосуз.
Андан кийин, чабуулчу, мисалы, домендеги бардык колдонуучулардын хэштелген сырсөздөрүн алуу үчүн DCSyncти иштете алат. Бул ага кол салуулардын ар кандай түрлөрүн ишке ашырууга мүмкүндүк берет - алтын билет чабуулдарынан хэш өткөрүүгө чейин.
Varonis изилдөө тобу бул чабуулдун векторун кылдат изилдеп, биздин кардарлар үчүн аны аныктоо жана ошол эле учурда алардын буга чейин бузулгандыгын текшерүү үчүн колдонмо даярдады.
Домендин артыкчылыктарын жогорулатууну аныктоо
В Объекттеги белгилүү уруксаттарга өзгөртүүлөрдү көзөмөлдөө үчүн ыңгайлаштырылган эреже түзүңүз. Ал домендеги кызыкчылык объектисине укуктарды жана уруксаттарды кошкондо иштетилет:
- Эреженин атын көрсөтүңүз
- Категорияны "Артыкчылыкты жогорулатуу" деп коюңуз
- Ресурстун түрүн "Бардык ресурс түрлөрү" деп коюңуз
- File Server = DirectoryServices
- Сизди кызыктырган доменди көрсөтүңүз, мисалы, аты менен
- AD объектисине уруксаттарды кошуу үчүн чыпка кошуңуз
- Жана "Бала объектилерде издөө" опциясын тандоосуз калтырууну унутпаңыз.
Ал эми азыр отчет: домен объектисине укуктардагы өзгөрүүлөрдү аныктоо
AD объектисинин уруксаттарына өзгөртүүлөр өтө сейрек кездешет, андыктан бул эскертүүгө себеп болгон нерселердин баары иликтенип чыгышы керек. Эреженин өзүн согушка киргизүүдөн мурун отчеттун сырткы көрүнүшүн жана мазмунун сынап көрүү да жакшы болмок.
Бул отчёт ошондой эле бул чабуул сизге мурдатан эле зыян келтиргендигин көрсөтөт:
Эреже иштетилгенден кийин, сиз DatAlert веб-интерфейси аркылуу бардык башка артыкчылыктарды жогорулатуу окуяларын изилдей аласыз:
Бул эрежени конфигурациялагандан кийин, коопсуздуктун ушул жана ушуга окшош түрлөрүнөн мониторинг жүргүзүп, коргой аласыз, AD каталог кызматтарынын объектилери менен болгон окуяларды иликтеп, бул маанилүү аялуучулукка кабылганыңызды аныктай аласыз.
Source: www.habr.com