ප්රහාරකයෙකුට අවශ්ය වන්නේ ඔබේ ජාලයට ඇතුල් වීමට කාලය සහ පෙළඹවීම පමණි. නමුත් අපගේ කාර්යය වන්නේ ඔහු මෙය කිරීම වැළැක්වීම හෝ අවම වශයෙන් මෙම කාර්යය හැකි තරම් අපහසු කිරීමයි. ප්රහාරකයෙකුට ප්රවේශය ලබා ගැනීමට සහ අනාවරණය නොවී ජාලය වටා ගමන් කිරීමට භාවිතා කළ හැකි Active Directory හි දුර්වලතා හඳුනා ගැනීමෙන් ඔබ ආරම්භ කළ යුතුය (මෙතැන් සිට AD ලෙස හැඳින්වේ). අද මෙම ලිපියෙන් අපි AD Varonis උපකරණ පුවරුව උදාහරණයක් ලෙස භාවිතා කරමින් ඔබේ සංවිධානයේ සයිබර් ආරක්ෂණයේ පවතින දුර්වලතා පිළිබිඹු කරන අවදානම් දර්ශක දෙස බලමු.
ප්රහාරකයන් වසම තුළ යම් යම් වින්යාසයන් භාවිත කරයි
ප්රහාරකයින් ආයතනික ජාලවලට විනිවිද යාමට සහ වරප්රසාද තීව්ර කිරීමට විවිධ දක්ෂ ශිල්පීය ක්රම සහ දුර්වලතා භාවිතා කරයි. මෙම දුර්වලතා වලින් සමහරක් වසම් වින්යාස සැකසුම් වන අතර ඒවා හඳුනාගත් පසු පහසුවෙන් වෙනස් කළ හැක.
ඔබ (හෝ ඔබේ පද්ධති පරිපාලකයින්) පසුගිය මාසය තුළ KRBTGT මුරපදය වෙනස් නොකළේ නම්, හෝ පෙරනිමියෙන් ගොඩනඟන ලද පරිපාලක ගිණුම සමඟ යමෙකු සත්යාපනය කර ඇත්නම්, AD උපකරණ පුවරුව ඔබට වහාම දැනුම් දෙනු ඇත. මෙම ගිණුම් දෙක ඔබගේ ජාලයට අසීමිත ප්රවේශයක් සපයයි: ප්රහාරකයින් වරප්රසාද සහ ප්රවේශ අවසරවල ඇති ඕනෑම සීමාවක් පහසුවෙන් මග හැරීමට ඒවාට ප්රවේශය ලබා ගැනීමට උත්සාහ කරයි. තවද, ප්රතිඵලයක් වශයෙන්, ඔවුන් කැමති ඕනෑම දත්තයකට ප්රවේශය ලබා ගනී.
ඇත්ත වශයෙන්ම, ඔබට මෙම දුර්වලතා ඔබ විසින්ම සොයා ගත හැක: උදාහරණයක් ලෙස, මෙම තොරතුරු රැස් කිරීම සඳහා PowerShell ස්ක්රිප්ට් එකක් පරීක්ෂා කිරීමට හෝ ධාවනය කිරීමට දින දර්ශන මතක් කිරීමක් සකසන්න.
Varonis උපකරණ පුවරුව යාවත්කාලීන වෙමින් පවතී ස්වයංක්රීයව විභව දුර්වලතා ඉස්මතු කරන ප්රධාන මිතිකවල ඉක්මන් දෘශ්යතාව සහ විශ්ලේෂණය සැපයීම සඳහා ඔබට ඒවා විසඳීමට ඉක්මන් ක්රියාමාර්ග ගත හැකිය.
3 ප්රධාන වසම් මට්ටමේ අවදානම් දර්ශක
පහත දැක්වෙන්නේ Varonis උපකරණ පුවරුවේ ඇති විජට් ගණනාවක් වන අතර, ඒවා භාවිතා කිරීම ආයතනික ජාලයේ සහ සමස්තයක් ලෙස තොරතුරු තාක්ෂණ යටිතල පහසුකම්වල ආරක්ෂාව සැලකිය යුතු ලෙස වැඩිදියුණු කරනු ඇත.
1. සැලකිය යුතු කාලයක් සඳහා Kerberos ගිණුමේ මුරපදය වෙනස් කර නොමැති වසම් ගණන
KRBTGT ගිණුම යනු සෑම දෙයක්ම අත්සන් කරන AD හි විශේෂ ගිණුමකි . වසම් පාලක (DC) වෙත ප්රවේශය ලබා ගන්නා ප්රහාරකයින්ට මෙම ගිණුම නිර්මාණය කිරීමට භාවිතා කළ හැක , ආයතනික ජාලයේ ඕනෑම පද්ධතියකට පාහේ ඔවුන්ට අසීමිත ප්රවේශයක් ලබා දෙනු ඇත. ගෝල්ඩන් ටිකට් එකක් සාර්ථකව ලබා ගැනීමෙන් පසු, ප්රහාරකයෙකුට වසර දෙකක් සඳහා සංවිධානයේ ජාලයට ප්රවේශ විය හැකි තත්වයක් අපට හමු විය. ඔබගේ සමාගමේ KRBTGT ගිණුමේ මුරපදය පසුගිය දින හතළිහ තුළ වෙනස් කර නොමැති නම්, විජට් ඔබට මේ පිළිබඳව දැනුම් දෙනු ඇත.
දින හතළිහක් යනු ප්රහාරකයෙකුට ජාලයට ප්රවේශ වීමට ප්රමාණවත් කාලයකට වඩා වැඩිය. කෙසේ වෙතත්, ඔබ නිතිපතා මෙම මුරපදය වෙනස් කිරීමේ ක්රියාවලිය බලාත්මක කර ප්රමිතිගත කරන්නේ නම්, එය ප්රහාරකයෙකුට ඔබේ ආයතනික ජාලයට කඩා වැදීම වඩාත් අපහසු වනු ඇත.
මයික්රොසොෆ්ට් විසින් Kerberos ප්රොටෝකෝලය ක්රියාත්මක කිරීමට අනුව, ඔබ කළ යුතු බව මතක තබා ගන්න KRBTGT.
අනාගතයේදී, ඔබගේ ජාලයේ ඇති සියලුම වසම් සඳහා KRBTGT මුරපදය නැවත වෙනස් කිරීමට කාලය පැමිණි විට මෙම AD widget ඔබට මතක් කර දෙනු ඇත.
2. ගොඩනඟන ලද පරිපාලක ගිණුම මෑතකදී භාවිතා කළ වසම් ගණන
අනුව — පද්ධති පරිපාලකයින්ට ගිණුම් දෙකක් සපයා ඇත: පළමුවැන්න එදිනෙදා භාවිතය සඳහා වන ගිණුමක් වන අතර දෙවැන්න සැලසුම්ගත පරිපාලන කටයුතු සඳහා වේ. මෙයින් අදහස් කරන්නේ කිසිවකු පෙරනිමි පරිපාලක ගිණුම භාවිතා නොකළ යුතු බවයි.
පද්ධති පරිපාලන ක්රියාවලිය සරල කිරීම සඳහා ගොඩනඟන ලද පරිපාලක ගිණුම බොහෝ විට භාවිතා වේ. මෙය අනවසරයෙන් ඇතුළුවීමට හේතු වන නරක පුරුද්දක් බවට පත්විය හැකිය. මෙය ඔබේ ආයතනය තුළ සිදු වුවහොත්, ඔබට මෙම ගිණුමේ නිසි භාවිතය සහ අනිෂ්ට ප්රවේශය අතර වෙනස හඳුනා ගැනීමට අපහසු වනු ඇත.
විජට් ශුන්ය හැර වෙනත් කිසිවක් පෙන්වන්නේ නම්, යමෙකු පරිපාලන ගිණුම් සමඟ නිවැරදිව ක්රියා නොකරයි. මෙම අවස්ථාවේදී, ඔබ විසින් සාදන ලද පරිපාලක ගිණුමට ප්රවේශය නිවැරදි කිරීමට සහ සීමා කිරීමට පියවර ගත යුතුය.
ඔබ ශුන්යයේ විජට් අගයක් ලබා ගත් පසු සහ පද්ධති පරිපාලකයින් ඔවුන්ගේ වැඩ සඳහා තවදුරටත් මෙම ගිණුම භාවිතා නොකරනු ඇත, පසුව අනාගතයේ දී, එහි යම් වෙනසක් සිදුවිය හැකි සයිබර් ප්රහාරයක් පෙන්නුම් කරයි.
3. ආරක්ෂිත පරිශීලකයින් පිරිසක් නොමැති වසම් ගණන
AD හි පැරණි අනුවාද දුර්වල සංකේතාංකන වර්ගයකට සහය දක්වයි - RC4. හැකර්වරුන් වසර ගණනාවකට පෙර RC4 හැක් කර ඇති අතර, දැන් ප්රහාරකයෙකුට තවමත් RC4 භාවිතා කරන ගිණුමක් හැක් කිරීම ඉතා සුළු කාර්යයකි. Windows Server 2012 හි හඳුන්වා දුන් Active Directory අනුවාදය මගින් Protected Users Group නමින් නව ආකාරයේ පරිශීලක කණ්ඩායමක් හඳුන්වා දෙන ලදී. එය අතිරේක ආරක්ෂක මෙවලම් සපයන අතර RC4 සංකේතනය භාවිතයෙන් පරිශීලක සත්යාපනය වළක්වයි.
සංවිධානයේ කිසියම් වසමකින් එවැනි කණ්ඩායමක් අස්ථානගත වී ඇත්නම් මෙම විජට් මඟින් ඔබට එය නිවැරදි කළ හැකි වනු ඇත, i.e. ආරක්ෂිත පරිශීලකයින් කණ්ඩායමක් සක්රිය කර යටිතල පහසුකම් ආරක්ෂා කිරීමට එය භාවිතා කරන්න.
ප්රහාරකයන් සඳහා පහසු ඉලක්ක
පරිශීලක ගිණුම් යනු ප්රහාරකයින් සඳහා අංක එකේ ඉලක්කය වේ, ආරම්භක ආක්රමණය කිරීමේ උත්සාහයේ සිට වරප්රසාද අඛණ්ඩව තීව්ර කිරීම සහ ඔවුන්ගේ ක්රියාකාරකම් වසන් කිරීම. ප්රහාරකයන් බොහෝ විට හඳුනා ගැනීමට අපහසු මූලික PowerShell විධාන භාවිතයෙන් ඔබේ ජාලයේ සරල ඉලක්ක සොයයි. මෙම පහසු ඉලක්ක හැකිතාක් AD වෙතින් ඉවත් කරන්න.
ප්රහාරකයින් සොයන්නේ කිසිදා කල් ඉකුත් නොවන මුරපද (හෝ මුරපද අවශ්ය නොවන), පරිපාලකයින් වන තාක්ෂණික ගිණුම් සහ ලෙගසි RC4 සංකේතනය භාවිතා කරන ගිණුම් සහිත පරිශීලකයන්ය.
මෙම ගිණුම්වලින් ඕනෑම එකක් ප්රවේශ වීමට සුළු හෝ සාමාන්යයෙන් නිරීක්ෂණය නොකෙරේ. ප්රහාරකයන්ට මෙම ගිණුම් පවරාගෙන ඔබේ යටිතල ව්යුහය තුළ නිදහසේ ගමන් කළ හැක.
ප්රහාරකයින් ආරක්ෂක පරිමිතිය විනිවිද ගිය පසු, ඔවුන්ට අවම වශයෙන් එක් ගිණුමකට ප්රවේශය ලැබෙනු ඇත. ප්රහාරය අනාවරණ වී අඩංගු වීමට පෙර ඔවුන් සංවේදී දත්ත වෙත ප්රවේශ වීම නැවැත්විය හැකිද?
Varonis AD උපකරණ පුවරුව අවදානමට ලක්විය හැකි පරිශීලක ගිණුම් පෙන්වා දෙනු ඇත, එවිට ඔබට ප්රායෝගිකව ගැටළු නිරාකරණය කළ හැකිය. ඔබේ ජාලයට විනිවිද යාම වඩාත් අපහසු වන තරමට, ප්රහාරකයෙකු බරපතල හානියක් සිදු කිරීමට පෙර උදාසීන කිරීමට ඔබට ඇති අවස්ථා වැඩි වේ.
4 පරිශීලක ගිණුම් සඳහා ප්රධාන අවදානම් දර්ශක
වඩාත් අවදානමට ලක්විය හැකි පරිශීලක ගිණුම් ඉස්මතු කරන Varonis AD උපකරණ පුවරු විජට් සඳහා උදාහරණ පහත දැක්වේ.
1. කිසිදා කල් ඉකුත් නොවන මුරපද සහිත ක්රියාකාරී පරිශීලකයින් සංඛ්යාව
ඕනෑම ප්රහාරකයෙකුට එවැනි ගිණුමකට ප්රවේශය ලබා ගැනීම සැමවිටම විශාල සාර්ථකත්වයකි. මුරපදය කිසි විටෙකත් කල් ඉකුත් නොවන බැවින්, ප්රහාරකයාට ජාලය තුළ ස්ථිර ස්ථාවරයක් ඇත, එය පසුව භාවිතා කළ හැකිය හෝ යටිතල පහසුකම් තුළ චලනයන්.
ප්රහාරකයන්ට ඔවුන් අක්තපත්ර පිරවුම් ප්රහාරවලදී භාවිතා කරන මිලියන ගණනක පරිශීලක-මුරපද සංයෝජන ලැයිස්තුවක් ඇත, සහ සම්භාවිතාව වන්නේ
"සදාකාලික" මුරපදය සහිත පරිශීලකයා සඳහා වූ සංයෝජනය මෙම ලැයිස්තුවෙන් එකක ඇති බව, බිංදුවට වඩා බෙහෙවින් වැඩි ය.
කල් ඉකුත් නොවන මුරපද සහිත ගිණුම් කළමනාකරණය කිරීම පහසුය, නමුත් ඒවා ආරක්ෂිත නොවේ. එවැනි මුරපද ඇති සියලුම ගිණුම් සොයා ගැනීමට මෙම විජට් එක භාවිතා කරන්න. මෙම සැකසුම වෙනස් කර ඔබගේ මුරපදය යාවත්කාලීන කරන්න.
මෙම විජට් එකේ අගය බිංදුවට සැකසූ පසු, එම මුරපදයෙන් සාදන ලද ඕනෑම නව ගිණුම් උපකරණ පුවරුවේ දිස්වනු ඇත.
2. SPN සමඟ පරිපාලන ගිණුම් ගණන
SPN (සේවා ප්රධාන නම) යනු සේවා අවස්ථාවක අනන්ය හඳුනාගැනීමකි. මෙම විජට් මඟින් සේවා ගිණුම් කීයකට සම්පූර්ණ පරිපාලක හිමිකම් තිබේදැයි පෙන්වයි. විජට් එකේ අගය ශුන්ය විය යුතුය. එවැනි අයිතීන් ලබා දීම මෘදුකාංග වෙළෙන්දන් සහ යෙදුම් පරිපාලකයින් සඳහා පහසු වන නිසා පරිපාලන අයිතිවාසිකම් සහිත SPN හට ගනී, නමුත් එය ආරක්ෂක අවදානමක් ඇති කරයි.
සේවා ගිණුමට පරිපාලන අයිතිවාසිකම් ලබා දීමෙන් ප්රහාරකයෙකුට භාවිතයේ නොමැති ගිණුමකට පූර්ණ ප්රවේශය ලබා ගත හැක. මෙයින් අදහස් කරන්නේ SPN ගිණුම් වෙත ප්රවේශය ඇති ප්රහාරකයින්ට ඔවුන්ගේ ක්රියාකාරකම් නිරීක්ෂණයකින් තොරව යටිතල ව්යුහය තුළ නිදහසේ ක්රියා කළ හැකි බවයි.
සේවා ගිණුම් වල අවසර වෙනස් කිරීමෙන් ඔබට මෙම ගැටළුව විසඳා ගත හැක. එවැනි ගිණුම් අවම වරප්රසාද මූලධර්මයට යටත් විය යුතු අතර ඒවායේ ක්රියාකාරිත්වය සඳහා සැබවින්ම අවශ්ය ප්රවේශය පමණක් තිබිය යුතුය.
මෙම විජට් භාවිතයෙන්, ඔබට පරිපාලන අයිතිවාසිකම් ඇති සියලුම SPN හඳුනා ගැනීමට, එවැනි වරප්රසාද ඉවත් කිරීමට, සහ අවම වරප්රසාද ප්රවේශය යන එකම මූලධර්මය භාවිතා කරමින් SPN නිරීක්ෂණය කළ හැක.
අලුතින් දිස්වන SPN උපකරණ පුවරුවේ දර්ශනය වනු ඇති අතර, ඔබට මෙම ක්රියාවලිය නිරීක්ෂණය කිරීමට හැකි වනු ඇත.
3. Kerberos පූර්ව සත්යාපනය අවශ්ය නොවන පරිශීලකයින් සංඛ්යාව
ඉතා මැනවින්, Kerberos AES-256 සංකේතනය භාවිතයෙන් සත්යාපන ප්රවේශ පත්රය සංකේතනය කරයි, එය අද දක්වාම නොබිඳී පවතී.
කෙසේ වෙතත්, Kerberos හි පැරණි අනුවාද RC4 සංකේතනය භාවිතා කර ඇත, එය දැන් මිනිත්තු කිහිපයකින් බිඳ දැමිය හැක. මෙම විජට් එක තවමත් RC4 භාවිතා කරන පරිශීලක ගිණුම් පෙන්වයි. මයික්රොසොෆ්ට් තවමත් පසුගාමී ගැළපුම සඳහා RC4 සඳහා සහය දක්වයි, නමුත් එයින් අදහස් කරන්නේ ඔබ එය ඔබගේ AD හි භාවිතා කළ යුතු නොවේ.
ඔබ එවැනි ගිණුම් හඳුනා ගත් පසු, වඩාත් සංකීර්ණ සංකේතාංකනය භාවිතා කිරීමට ගිණුම්වලට බල කිරීමට AD හි "Kerberos පූර්ව අවසරය අවශ්ය නොවේ" සලකුණු කොටුව ඉවත් කිරීමට ඔබට අවශ්ය වේ.
Varonis AD උපකරණ පුවරුව නොමැතිව මෙම ගිණුම් ඔබ විසින්ම සොයා ගැනීමට බොහෝ කාලයක් ගතවේ. යථාර්ථයේ දී, RC4 සංකේතනය භාවිතා කිරීමට සංස්කරණය කරන ලද සියලුම ගිණුම් පිළිබඳව දැනුවත් වීම ඊටත් වඩා දුෂ්කර කාර්යයකි.
විජට් එකෙහි අගය වෙනස් වුවහොත්, මෙය නීති විරෝධී ක්රියාකාරකම් පෙන්නුම් කරයි.
4. මුරපදය නොමැති පරිශීලකයින් සංඛ්යාව
ගිණුම් ගුණාංගවල AD සිට “PASSWD_NOTREQD” ධජය කියවීමට ප්රහාරකයන් මූලික PowerShell විධාන භාවිතා කරයි. මෙම ධජය භාවිතා කිරීමෙන් මුරපද අවශ්යතා හෝ සංකීර්ණතා අවශ්යතා නොමැති බව පෙන්නුම් කරයි.
සරල හෝ හිස් මුරපදයකින් ගිණුමක් සොරකම් කිරීම කොතරම් පහසුද? දැන් හිතන්න මේ එකවුන්ට් එකක් ඇඩ්මින් කෙනෙක් කියලා.
සෑම කෙනෙකුටම විවෘතව ඇති දහස් ගණන් රහස්ය ලිපිගොනු වලින් එකක් ඉදිරි මූල්ය වාර්තාවක් නම් කුමක් කළ යුතුද?
අනිවාර්ය මුරපද අවශ්යතාවය නොසලකා හැරීම අතීතයේ බොහෝ විට භාවිතා කරන ලද තවත් පද්ධති පරිපාලන කෙටි මගකි, නමුත් අද එය පිළිගත හැකි හෝ ආරක්ෂිත නොවේ.
මෙම ගිණුම් සඳහා මුරපද යාවත්කාලීන කිරීමෙන් මෙම ගැටළුව විසඳන්න.
අනාගතයේදී මෙම විජට් එක නිරීක්ෂණය කිරීම ඔබට මුරපදයක් නොමැතිව ගිණුම් වළක්වා ගැනීමට උපකාරී වනු ඇත.
වරෝනිස් අවාසි සම කරයි
අතීතයේ දී, මෙම ලිපියේ විස්තර කර ඇති ප්රමිතික එකතු කිරීමේ සහ විශ්ලේෂණය කිරීමේ කාර්යයට පැය ගණනාවක් ගත වූ අතර PowerShell පිළිබඳ ගැඹුරු දැනුමක් අවශ්ය විය, සෑම සතියකම හෝ මාසයකම එවැනි කාර්යයන් සඳහා සම්පත් වෙන් කිරීමට ආරක්ෂක කණ්ඩායම්වලට අවශ්ය විය. නමුත් මෙම තොරතුරු අතින් එකතු කිරීම සහ සැකසීම ප්රහාරකයන්ට රිංගා දත්ත සොරකම් කිරීමට මුලික ආරම්භයක් ලබා දෙයි.
С AD උපකරණ පුවරුව සහ අමතර සංරචක යෙදවීමට, සාකච්ඡා කර ඇති සියලුම දුර්වලතා එකතු කිරීමට සහ තවත් බොහෝ දේ සඳහා ඔබ එක් දිනක් ගත කරනු ඇත. අනාගතයේදී, මෙහෙයුම් අතරතුර, යටිතල පහසුකම්වල තත්වය වෙනස් වන විට අධීක්ෂණ පැනලය ස්වයංක්රීයව යාවත්කාලීන වේ.
සයිබර් ප්රහාර එල්ල කිරීම සැමවිටම ප්රහාරකයින් සහ ආරක්ෂකයින් අතර තරඟයකි, ආරක්ෂක විශේෂඥයින්ට එයට ප්රවේශය අවහිර කිරීමට පෙර දත්ත සොරකම් කිරීමට ප්රහාරකයාගේ ආශාවයි. ප්රහාරකයින් සහ ඔවුන්ගේ නීතිවිරෝධී ක්රියාකාරකම් කල්තියා හඳුනා ගැනීම, ශක්තිමත් සයිබර් ආරක්ෂණ සමඟ සම්බන්ධ වීම, ඔබේ දත්ත සුරක්ෂිතව තබා ගැනීමට යතුරයි.
මූලාශ්රය: www.habr.com