Солилцооны эмзэг байдал: Домэйн администраторт давуу эрх нэмэгдсэнийг хэрхэн илрүүлэх вэ

Энэ жил нээсэн Exchange дахь эмзэг байдал ямар ч домэйн хэрэглэгчдэд домэйн администраторын эрхийг олж авах, Active Directory (AD) болон бусад холбогдсон хостуудыг эвдэх боломжийг олгодог. Өнөөдөр бид энэ халдлага хэрхэн ажилладаг, хэрхэн илрүүлэх талаар танд хэлэх болно.

Энэ халдлага дараах байдалтай байна.

1. Халдагчид Exchange-ийн түлхэх мэдэгдлийн функцэд бүртгүүлэхийн тулд идэвхтэй шуудангийн хайрцагтай аливаа домэйн хэрэглэгчийн бүртгэлийг авдаг.
2. Халдагчид Exchange серверийг хууран мэхлэхийн тулд NTLM реле ашигладаг: Үүний үр дүнд Exchange сервер нь HTTP дээр NTLM аргыг ашиглан эвдэрсэн хэрэглэгчийн компьютерт холбогддог бөгөөд халдагчид дараа нь Exchange дансны итгэмжлэл бүхий LDAP-аар дамжуулан домэйн хянагч руу нэвтрэлт танихад ашигладаг.
3. Халдагчид өөрсдийн давуу эрхээ нэмэгдүүлэхийн тулд эдгээр Exchange дансны итгэмжлэлүүдийг ашиглан дуусгавар болно. Энэ сүүлчийн алхмыг шаардлагатай зөвшөөрлийн өөрчлөлтийг хийх хууль ёсны хандалттай дайсагнагч админ мөн хийж болно. Энэ үйлдлийг илрүүлэх дүрмийг бий болгосноор та энэ болон үүнтэй төстэй халдлагаас хамгаалагдах болно.

Үүний дараа халдагчид, жишээлбэл, домэйн дэх бүх хэрэглэгчдийн нууц үгийг авахын тулд DCSync-г ажиллуулж болно. Энэ нь түүнд алтан тасалбарын халдлагаас эхлээд хэш дамжуулалт хүртэл янз бүрийн төрлийн халдлагуудыг хэрэгжүүлэх боломжийг олгоно.

Варонисын судалгааны баг энэхүү халдлагын векторыг нарийвчлан судалж, үйлчлүүлэгчдэдээ үүнийг илрүүлэх гарын авлага бэлтгэж, нэгэн зэрэг халдсан эсэхийг шалгасан.

Домэйн давуу эрхийн өндөрлөг илрүүлэх

В DataAlert Объект дээрх тусгай зөвшөөрлийн өөрчлөлтийг хянах тусгай дүрэм үүсгэ. Энэ нь домэйн дэх сонирхлын объектод эрх, зөвшөөрөл нэмэх үед идэвхжих болно:

1. Дүрмийн нэрийг зааж өгнө үү
2. Ангилалыг "Эрх мэдлийг дээшлүүлэх" гэж тохируулна уу.
3. Нөөцийн төрлийг "Бүх нөөцийн төрөл" болгож тохируулна уу.
4. Файлын сервер = DirectoryServices
5. Өөрийн сонирхож буй домэйныг жишээ нь нэрээр нь зааж өгнө үү
6. AD объект дээр зөвшөөрөл нэмэхийн тулд шүүлтүүр нэмнэ үү
7. Мөн "Хүүхдийн объектуудаас хайх" сонголтыг сонгоогүй орхихоо бүү мартаарай.

Одоо тайлан: домэйн объектын эрхийн өөрчлөлтийг илрүүлэх

AD объект дээрх зөвшөөрлийн өөрчлөлт нь маш ховор байдаг тул энэ анхааруулгыг өдөөсөн аливаа зүйлийг судлах ёстой бөгөөд шалгах ёстой. Дүрмийг тулаанд оруулахаасаа өмнө тайлангийн харагдах байдал, агуулгыг туршиж үзэх нь зүйтэй юм.

Энэ тайланд таныг энэ халдлагад аль хэдийн өртсөн эсэхийг харуулах болно:

Дүрмийг идэвхжүүлсний дараа та DatAlert вэб интерфэйсийг ашиглан бусад бүх эрхийг нэмэгдүүлэх үйл явдлуудыг судалж болно:

Энэ дүрмийг тохируулсны дараа та эдгээр болон үүнтэй төстэй төрлийн аюулгүй байдлын эмзэг байдлыг хянаж, хамгаалж, AD лавлах үйлчилгээний объектуудтай үйл явдлуудыг судалж, энэ чухал эмзэг байдалд өртөмтгий эсэхийг тодорхойлох боломжтой.

Эх сурвалж: www.habr.com