Ny fotoana rehetra ilain'ny mpanafika dia ny fotoana sy ny antony manosika hiditra ao amin'ny tambajotranao. Ny anjarantsika anefa dia ny manakana azy tsy hanao anβizany, na fara faharatsiny, manasarotra araka izay tratra io asa io. Mila manomboka amin'ny famantarana ny fahalemena ao amin'ny Active Directory ianao (antsoina hoe AD) izay azon'ny mpanafika ampiasaina mba hidirana sy hivezivezena amin'ny tambajotra nefa tsy hita. Androany ato amin'ity lahatsoratra ity isika dia hijery ireo tondro risika izay maneho ny vulnerability efa misy ao amin'ny fiarovana cyber an'ny fikambananao, amin'ny fampiasana ny dashboard AD Varonis ho ohatra.
Ny mpanafika dia mampiasa tefy sasany amin'ny sehatra
Mampiasa teknika sy fahalemena isan-karazany ny mpanafika mba hidirana amin'ny tambajotran'ny orinasa sy hampitombo ny tombontsoa. Ny sasany amin'ireo vulnerabilitΓ© ireo dia fikaon-drafitra sehatra izay azo ovaina mora foana rehefa fantatra.
Ny dashboard AD dia hanairana anao avy hatrany raha toa ianao (na ny mpitantana ny rafitrao) dia tsy nanova ny tenimiafina KRBTGT tamin'ny volana lasa, na raha misy olona nanamarina tamin'ny kaonty Administrator naorina. Ireo kaonty roa ireo dia manome fidirana tsy misy fetra amin'ny tambajotrao: hiezaka ny hiditra amin'izy ireo ireo mpanafika mba hialana mora foana izay famerana amin'ny tombontsoa sy ny fahazoan-dΓ lana hidirana. Ary vokatr'izany dia mahazo miditra amin'izay angon-drakitra mahaliana azy izy ireo.
Mazava ho azy, azonao atao ny mahita ireo fahalemena ireo amin'ny tenanao: ohatra, mametraha fampahatsiahivana ny kalandrie hanamarina na hampandehanana script PowerShell hanangonana an'io fampahalalana io.
Havaozina ny dashboard Varonis ho azy mba hanomezana fahitana haingana sy famakafakana ireo metrika fototra izay manasongadina ireo fahalemena mety hitranga mba hahafahanao mandray fepetra haingana hamahana azy ireo.
3 Famantarana ny risika amin'ny sehatry ny sehatra fototra
Ity ambany ity dia misy widget maromaro hita ao amin'ny dashboard Varonis, ny fampiasana azy dia hanatsara ny fiarovana ny tambajotran'ny orinasa sy ny fotodrafitrasa IT amin'ny ankapobeny.
1. Isan'ny sehatra izay tsy niova ny tenimiafina kaonty Kerberos nandritra ny fotoana maharitra
Ny kaonty KRBTGT dia kaonty manokana amin'ny AD izay manasonia ny zava-drehetra . Ireo mpanafika izay mahazo fidirana amin'ny fanaraha-maso ny sehatra (DC) dia afaka mampiasa ity kaonty ity hamoronana , izay hanome azy ireo fahafahana miditra tsy misy fetra amin'ny rafitra rehetra ao amin'ny tambajotran'ny orinasa. Nifanena tamina toe-javatra iray izay, taorian'ny nahazoany Taratasy Volamena, dia nisy mpanafika afaka niditra tao amin'ny tambajotran'ny fikambanana nandritra ny roa taona. Raha tsy niova ny tenimiafina kaonty KRBTGT ao amin'ny orinasanao tao anatin'ny efapolo andro farany, dia hampandre anao momba izany ny widget.
Efa-polo andro dia mihoatra noho ny fotoana ampy ho an'ny mpanafika iray mahazo fidirana amin'ny tambajotra. Na izany aza, raha mampihatra sy manara-penitra ny fizotry ny fanovana ity tenimiafina ity tsy tapaka ianao, dia ho sarotra kokoa ho an'ny mpanafika ny hiditra ao amin'ny tambajotran'ny orinasanao.
Tsarovy fa araka ny fampiharana an'i Microsoft ny protocol Kerberos dia tsy maintsy KRBTGT.
Amin'ny ho avy, ity Widget AD ity dia hampahatsiahy anao ny fotoana hanovana indray ny tenimiafina KRBTGT ho an'ny sehatra rehetra ao amin'ny tambajotranao.
2. Isan'ny sehatra nampiasana vao haingana ny kaonty Administrator naorina
Araka ny - Omena kaonty roa ny mpitantana ny rafitra: ny voalohany dia kaonty ho an'ny fampiasana andavanandro, ary ny faharoa dia ho an'ny asa fitantanana kasaina. Midika izany fa tsy misy olona tokony hampiasa ny kaonty mpitantana default.
Ny kaonty mpitantana naorina dia matetika ampiasaina hanatsorana ny fizotran'ny fitantanana rafitra. Mety ho lasa fahazaran-dratsy izany, ka miteraka hacking. Raha mitranga ao amin'ny fikambananao izany, dia ho sarotra aminao ny manavaka ny fampiasana araka ny tokony ho izy an'ity kaonty ity sy ny fidirana mety hanimba.
Raha toa ka mampiseho zavatra hafa ankoatra ny aotra ny widget, dia misy olona tsy miasa tsara amin'ny kaonty administratif. Amin'ity tranga ity, tsy maintsy manao dingana ianao hanitsiana sy hamerana ny fidirana amin'ny kaonty mpitantana naorina.
Raha vantany vao nahazo sanda widget zero ianao ary tsy mampiasa an'io kaonty io intsony ny mpitantana ny rafitra amin'ny asany, dia amin'ny ho avy, ny fiovana rehetra amin'izany dia manondro ny mety ho fanafihana cyber.
3. Isan'ny sehatra tsy misy vondron'ny mpampiasa voaaro
Ny dikan-teny taloha an'ny AD dia nanohana karazana fanafenana malemy - RC4. Nijirika ny RC4 taona maro lasa izay ny hackers, ary asa tsy dia misy dikany loatra ho an'ny mpanafika ny mijirika kaonty izay mbola mampiasa RC4. Ny dikan-tenin'ny Active Directory nampidirina tao amin'ny Windows Server 2012 dia nampiditra karazana vondrona mpampiasa vaovao antsoina hoe Protected Users Group. Izy io dia manome fitaovana fiarovana fanampiny ary manakana ny fanamarinana ny mpampiasa amin'ny alΓ lan'ny encryption RC4.
Ity widget ity dia hampiseho raha misy sehatra ao amin'ny fikambanana tsy ampy vondrona toy izany mba hahafahanao manamboatra azy io, i.e. avelao ny vondrona mpampiasa arovana ary hampiasa izany hiarovana ny fotodrafitrasa.
Kendrena mora ho an'ny mpanafika
Ny kaonty mpampiasa no lasibatra voalohany ho an'ny mpanafika, manomboka amin'ny fiezahana hiditra an-tsehatra amin'ny fanohizana ny fitomboan'ny tombontsoa sy ny fanafenana ny asany. Mitady tanjona tsotra ao amin'ny tambazotranao ireo mpanafika mampiasa baiko fototra PowerShell izay sarotra fantarina matetika. Esory araka izay azo atao ny ankamaroan'ireo tanjona mora ireo amin'ny AD.
Ny mpanafika dia mitady mpampiasa manana tenimiafina tsy lany daty (na tsy mila tenimiafina), kaonty teknolojia izay mpitantana, ary kaonty mampiasa encryption RC4 lova.
Ny iray amin'ireo kaonty ireo dia na tsinontsinona idirana na tsy voara-maso amin'ny ankapobeny. Ny mpanafika dia afaka maka ireo kaonty ireo ary mivezivezy malalaka ao anatin'ny fotodrafitrasanao.
Raha vao miditra amin'ny faritry ny fiarovana ny mpanafika dia azo inoana fa hahazo kaonty iray farafahakeliny. Azonao atao ve ny manakana azy ireo tsy hahazo fidirana amin'ny angon-drakitra saro-pady alohan'ny hahitana sy voarakitra ilay fanafihana?
Ny dashboard Varonis AD dia hanondro kaonty mpampiasa marefo mba hahafahanao mamaha olana amin'ny fomba mavitrika. Arakaraky ny mahasarotra ny fidirana amin'ny tambajotrao, ny tsara kokoa ny fahafahanao manala ny mpanafika alohan'ny hahatongavany fahavoazana lehibe.
4 Famantarana loza lehibe ho an'ny kaonty mpampiasa
Ireto ambany ireto ny ohatra amin'ny Widget dashboard Varonis AD izay manasongadina ny kaonty mpampiasa marefo indrindra.
1. Isan'ny mpampiasa mavitrika manana tenimiafina tsy lany andro
Ho an'ny mpanafika rehetra mahazo fidirana amin'ny kaonty toy izany dia fahombiazana lehibe foana. Koa satria tsy lany daty mihitsy ny tenimiafina, dia manana toerana maharitra ao anatin'ny tambajotra ilay mpanafika, izay azo ampiasaina avy eo na hetsika ao anatinβny fotodrafitrasa.
Ny mpanafika dia manana lisitr'ireo fitambarana tenimiafina mpampiasa an-tapitrisany izay ampiasainy amin'ny fanafihana famenoana fahazoan-dΓ lana, ary ny mety ho
fa ny fitambaran'ny mpampiasa miaraka amin'ny tenimiafina "mandrakizay" dia ao anatin'ny iray amin'ireo lisitra ireo, lehibe lavitra noho ny aotra.
Mora ny mitantana ny kaonty misy tenimiafina tsy lany daty, saingy tsy azo antoka. Ampiasao ity widget ity hahitana ny kaonty rehetra manana tenimiafina toy izany. Ovao ity kira ity ary havaozy ny tenimiafinao.
Raha vantany vao napetraka ho aotra ny sandan'ity widget ity dia hiseho ao amin'ny dashboard ny kaonty vaovao noforonina miaraka amin'io tenimiafina io.
2. Isan'ny kaonty administratif miaraka amin'ny SPN
SPN (Service Principal Name) dia famantarana tokana amin'ny ohatra serivisy. Ity widget ity dia mampiseho ny isan'ny kaonty serivisy manana zon'ny mpitantana feno. Ny sandan'ny widget dia tsy maintsy aotra. Ny SPN manana zo ara-pitantanana dia mitranga satria ny fanomezana zo toy izany dia mety amin'ny mpivarotra rindrambaiko sy ny mpitantana ny fampiharana, saingy miteraka risika amin'ny fiarovana izany.
Ny fanomezana zo ara-pitantanana ny kaonty serivisy dia ahafahan'ny mpanafika mahazo fidirana feno amin'ny kaonty tsy ampiasaina. Midika izany fa ireo mpanafika manana kaonty SPN dia afaka miasa malalaka ao anatin'ny fotodrafitrasa nefa tsy misy fanaraha-maso ny asany.
Azonao atao ny mamaha ity olana ity amin'ny fanovana ny fahazoan-dΓ lana amin'ny kaonty serivisy. Ny kaonty toy izany dia tokony ho eo ambanin'ny fitsipiky ny tombontsoa faran'izay kely indrindra ary tsy misy afa-tsy ny fidirana izay tena ilaina amin'ny fampandehanana azy.
Amin'ny fampiasana an'io widget io dia azonao atao ny mamantatra ny SPN rehetra manana zo ara-pitantanana, manala ny tombontsoa toy izany, ary avy eo manara-maso ny SPN amin'ny alΓ lan'ny fitsipika mitovy amin'ny fidirana tsy misy tombontsoa.
Ny SPN vao miseho dia haseho eo amin'ny solaitrabe, ary ho afaka hanara-maso an'io dingana io ianao.
3. Isan'ny mpampiasa tsy mila fanamarinana mialoha ny Kerberos
Raha ny tokony ho izy, Kerberos dia mamadika ny tapakila fanamarinana amin'ny alΓ lan'ny fanafenana AES-256, izay mbola tsy vaky hatramin'izao.
Na izany aza, ny dikan-teny taloha an'ny Kerberos dia nampiasa RC4 encryption, izay mety ho tapaka ao anatin'ny minitra vitsy. Ity widget ity dia mampiseho izay kaonty mpampiasa mbola mampiasa RC4. Microsoft dia mbola manohana ny RC4 ho an'ny fampifanarahana mihemotra, saingy tsy midika izany fa tokony hampiasa izany amin'ny AD-nao ianao.
Raha vao fantatrao ny kaonty toy izany dia mila esorinao ny boaty "tsy mila fahazoan-dΓ lana mialoha Kerberos" ao amin'ny AD mba hanerena ny kaonty hampiasa encryption be pitsiny kokoa.
Mitaky fotoana be ny fitadiavana ireo kaonty ireo samirery, tsy misy ny dashboard Varonis AD. Raha ny zava-misy, ny fahafantarana ny kaonty rehetra izay ovaina hampiasa ny encryption RC4 dia asa sarotra kokoa.
Raha miova ny sandan'ny widget, dia mety manondro hetsika tsy ara-dalΓ na izany.
4. Isan'ny mpampiasa tsy misy tenimiafina
Mampiasa baiko fototra PowerShell ireo mpanafika mba hamakiana ny saina βPASSWD_NOTREQDβ avy amin'ny AD amin'ny fananana kaonty. Ny fampiasana an'io saina io dia manondro fa tsy misy fepetra takiana amin'ny tenimiafina na fepetra sarotra.
Mora ny mangalatra kaonty misy tenimiafina tsotra na tsy misy dikany? Eritrereto izao fa ny iray amin'ireo kaonty ireo dia mpitantana.
Ahoana raha ny iray amin'ireo rakitra tsiambaratelo an'arivony misokatra ho an'ny rehetra dia tatitra ara-bola ho avy?
Ny tsy firaharahiana ny fepetra takiana amin'ny tenimiafina dia lalana hitsin-dΓ lana hafa amin'ny fitantanana rafitra izay matetika nampiasaina taloha, saingy tsy azo ekena no tsy azo antoka ankehitriny.
Amboary ity olana ity amin'ny fanavaozana ny tenimiafina ho an'ireo kaonty ireo.
Ny fanaraha-maso ity widget ity amin'ny ho avy dia hanampy anao hisoroka ny kaonty tsy misy tenimiafina.
Varonis dia mamaha ny olana
Taloha, ny asa fanangonana sy famakafakana ireo metrika voalaza ato amin'ity lahatsoratra ity dia naharitra ora maro ary nitaky fahalalana lalina momba ny PowerShell, nitaky ny ekipan'ny fiarovana mba hanokana loharano ho an'ny asa toy izany isan-kerinandro na isam-bolana. Saingy ny fanangonana sy fanodinana an-tanana an'io fampahalalana io dia manome lohan'ny mpanafika hiditra sy hangalatra angon-drakitra.
Π‘ Handany andro iray hametrahana ny dashboard AD sy ny singa fanampiny ianao, hanangona ny vulnerability rehetra noresahina sy ny maro hafa. Amin'ny ho avy, mandritra ny fandidiana, dia havaozina ho azy ny tontonana fanaraha-maso rehefa miova ny toetry ny fotodrafitrasa.
Hazakazaka eo amin'ny mpanafika sy ny mpiaro foana ny fanaovana fanafihana an-tserasera, ny fanirian'ny mpanafika hangalatra angon-drakitra alohan'ny ahafahan'ny manampahaizana manokana momba ny fiarovana ny fidirana amin'izany. Ny fisavana mialoha ireo mpanafika sy ny hetsika tsy ara-dalΓ na ataon'izy ireo, miaraka amin'ny fiarovana an-tserasera matanjaka, no fanalahidin'ny fitazonana ny angon-drakitrao.
Source: www.habr.com