Dhammaan waxa uu u baahan yahay weeraryahanku waa wakhti iyo dhiirigelin uu ku galo shabakadaada. Laakiin shaqadeenu waa inaan ka hortagno inuu tan sameeyo, ama ugu yaraan inaan hawshan ka dhigno mid adag sida ugu macquulsan. Waxaad u baahan tahay inaad ku bilawdo aqoonsiga daciifnimo ee Hagaha Firfircoon (kadib loo tixraaco AD) ee uu weeraryahanku isticmaali karo si uu u galo oo uu ugu wareego shabakada iyada oo aan la ogaan. Maanta maqaalkan waxaan ku eegi doonaa tilmaamayaasha khatarta ah ee ka tarjumaya dayacanka jira ee difaaca internetka ee ururkaaga, anagoo adeegsanayna AD Varonis dashboard tusaale ahaan.
Weeraryahanadu waxay adeegsadaan habayn gaar ah oo ku jira goobta
Weeraryahanadu waxay isticmaalaan farsamooyin xariif ah oo kala duwan iyo baylahda si ay u galaan shabakadaha shirkadaha oo ay u kordhiyaan mudnaanta. Qaar ka mid ah dayacankaani waa qaabeynta domainka oo si fudud loo bedeli karo marka la aqoonsado.
Dashboard-ka AD ayaa isla markaaba kuu soo wargelin doona haddii adiga (ama maamulayaasha nidaamkaaga) aadan bedelin erayga sirta ah ee KRBTGT bishii u dambeysay, ama haddii qof uu ku xaqiijiyo koontada maamulaha ee ku dhex dhisan. Labadan akoon waxay bixiyaan marin aan xadidnayn oo shabakadaada ah: weeraryahanadu waxay isku dayi doonaan inay galaan iyaga si ay si fudud uga gudbaan xayiraad kasta oo mudnaanta iyo gelitaanka ogolaanshaha. Sidaas darteed, waxay helayaan xog kasta oo iyaga danaynaya.
Dabcan, waxaad ogaan kartaa baylahdan laftaadu: tusaale ahaan, deji xusuusin taariikheed si aad u hubiso ama u socodsiiso qoraalka PowerShell si aad u ururiso macluumaadkan.
Dashboardka Varonis waa la cusboonaysiiyay si toos ah si aad u bixiso aragti degdeg ah iyo falanqaynta cabbirada muhiimka ah ee muujinaya dayacanka iman kara si aad u qaaddo tallaabo degdeg ah oo aad wax uga qabato.
3 Tilmaamayaasha Halista Heerka Domain Muhiimka ah
Hoos waxaa ku yaal tiro widgets ah oo laga heli karo dashboard-ka Varonis, adeegsiga kaas oo si weyn u wanaajin doona ilaalinta shabakadaha shirkadaha iyo kaabayaasha IT-ga guud ahaan.
1. Tirada domains-ka Kerberos ee lambarka sirta ah ee aan la beddelin muddo muhiim ah
Koontada KRBTGT waa akoon gaar ah oo AD ah oo wax walba saxeexa . Weeraryahanada hela maamulaha domain (DC) waxay isticmaali karaan akoonkan si ay u abuuraan , kaas oo siin doona si aan xadidnayn oo ay ku galaan ku dhawaad ββnidaam kasta oo ka jira shabakadaha shirkadda. Waxaan la kulannay xaalad, ka dib markii si guul leh loo helo Tigidhada Dahabka ah, weeraryahanku wuxuu helay shabakada ururka muddo laba sano ah. Haddii lambarka sirta ah ee Koontada KRBTGT ee shirkaddaada aan la beddelin afartankii maalmood ee la soo dhaafay, widget-ka ayaa ku ogeysiin doona arrintan.
Afartan maalmood ayaa ka badan wakhti ku filan weeraryahanku si uu u galo shabakada. Si kastaba ha ahaatee, haddii aad xoojiso oo aad habayso habka beddelka erayga sirta ah si joogto ah, waxay aad uga dhigi doontaa mid aad u adag in qofka wax weeraraya uu jabiyo shabakadda shirkaddaada.
Xusuusnow marka loo eego hirgelinta Microsoft ee nidaamka Kerberos, waa inaad KRBTGT.
Mustaqbalka, widget-kan AD waxa uu ku xasuusin doonaa marka la gaadho wakhtigii aad mar kale bedeli lahayd erayga sirta ah ee KRBTGT dhammaan xayndaabka shabakadaada.
2. Tirada goobaha koontada ku dhex jirta ee dhawaan la isticmaalay
Sida laga soo xigtay - maamulayaasha nidaamka waxaa la siiyaa laba akoon: kow waa xisaabaadka isticmaalka maalinlaha ah, iyo tan labaad waa shaqada maamulka qorshaysan. Tani waxay ka dhigan tahay in qofna uusan isticmaalin koontada maamulaha ee caadiga ah.
Koontada maamulka ee ku dhex dhisan ayaa inta badan loo adeegsadaa si loo fududeeyo nidaamka maamulka nidaamka. Tani waxay noqon kartaa caado xun, taasoo keentay in la jabsado. Haddii ay tani ka dhacdo ururkaaga, waxaa kugu adkaan doonta kala soocida isticmaalka saxda ah ee akoonkan iyo gelida xaasidnimo ee suurtogalka ah.
Haddii widget-ku muujiyo wax aan eber ahayn, markaa qof si sax ah uma shaqeeyo xisaabaadka maamulka. Xaaladdan oo kale, waa inaad qaaddaa tillaabooyin aad ku saxayso oo aad xaddidayso gelitaanka koontada maamulka ee ku dhex jirta.
Marka aad ku guulaysato qiimaha widget-ka eber iyo maamulayaasha nidaamka uma sii isticmaali karaan akoonkan shaqadooda, ka dibna mustaqbalka, isbeddel kasta oo ku yimaada waxay muujin doontaa weerar internet oo suurtagal ah.
3. Tirada domains ee aan lahayn koox isticmaalayaasha la ilaaliyo
Noocyadii hore ee AD waxay taageereen nooca sirta daciifka ah - RC4. Hackers waxay jabsadeen RC4 sanado badan ka hor, haddana waa hawl aad u fudud in qofka wax weeraraya uu jabsado akoon ilaa hadda isticmaalaya RC4. Nooca Tusaha Firfircoon ee lagu soo bandhigay Windows Server 2012 wuxuu soo bandhigay nooc cusub oo koox adeegsade ah oo la yiraahdo Kooxda Isticmaalayaasha Ilaaliya. Waxay bixisa qalab amni oo dheeri ah waxayna ka hortagtaa aqoonsiga isticmaalaha iyadoo la adeegsanayo sireeynta RC4.
Widget-kani waxa uu muujin doonaa haddii qayb ka mid ah ururka uu ka maqan yahay kooxdan oo kale si aad u hagaajiso, i.e. awood koox isticmaalayaasha la ilaaliyo oo u isticmaal si aad u ilaaliso kaabayaasha.
Bartilmaameedyada fudud ee weeraryahannada
Akoonada isticmaalayaashu waa bartilmaameedka koowaad ee weeraryahannada, laga bilaabo isku daygii hore ee faragelinta ilaa sii kordhinta mudnaanta iyo qarinta hawlahooda. Weeraryahanadu waxay shabakadaada ka raadiyaan bartilmaameedyo sahlan iyagoo isticmaalaya amarrada aasaasiga ah ee PowerShell kuwaas oo inta badan ay adagtahay in la ogaado. Ka saar inta badan bartilmaameedyadan fudud AD intii suurtagal ah.
Weeraryahanadu waxay raadinayaan isticmaalayaasha sirta sirta ah ee aan waligood dhicin (ama aan u baahnayn furaha sirta ah), xisaabaadka tignoolajiyada ee maamulayaasha, iyo akoonnada isticmaala sirta RC4 ee dhaxalka ah.
Mid kasta oo ka mid ah akoonnadan waa kuwo aan sahlanayn in la galo ama guud ahaan aan lala socon. Weeraryahanadu waxay la wareegi karaan xisaabaadkan oo ay si xor ah ugu dhaqaaqi karaan kaabayaashaaga.
Marka ay weerarayaashu galaan wareegga amniga, waxay u badan tahay inay galaan ugu yaraan hal akoon. Ma ka joojin kartaa inay helaan xogta xasaasiga ah ka hor inta aan weerarka la ogaanin oo aan la hayn?
Dashboard-ka Varonis AD wuxuu tilmaami doonaa xisaabaadka isticmaalaha nugul si aad u xalliso dhibaatooyinka si firfircoon. Mar kasta oo ay adag tahay in la dhex galo shabakadaada, way sii fiicnaanaysaa fursadahaaga aad kaga takhalusi karto weeraryahan ka hor inta aanu dhaawac halis ah geysan.
4 Tilmaamayaasha Khatarta Muhiimka ah ee Xisaabaadka Isticmaalaha
Hoos waxaa ah tusaalayaal ka mid ah aaladaha dashboard-ka Varonis AD ee muujinaya xisaabaadka isticmaale ee aadka u nugul.
1. Tirada isticmaalayaasha firfircoon ee sirta ah ee aan waligood dhicin
Qof kasta oo weerara inuu galo akoon noocaas ah had iyo jeer waa guul weyn. Maadaama erayga sirta ah aanu waligii dhicin, weerarku waxa uu cago joogto ah ku leeyahay shabakada dhexdeeda, kaas oo markaa la isticmaali karo ama dhaqdhaqaaqyada kaabayaasha.
Weeraryahanadu waxay heystaan ββliis malaayiin isticmaale-password isku-dar ah oo ay u adeegsadaan weerarrada aqoonsiga, suurtagalnimadana waa taas
in isku darka isticmaalaha ee leh erayga sirta ah ee "aakhiro" uu ku jiro mid ka mid ah liisaskan, oo aad uga weyn eber.
Xisaabaadka leh furaha sirta ah ee aan dhicin waa ay fududahay in la maareeyo, laakiin ma ahan kuwo sugan. Isticmaal widget-kan si aad u hesho dhammaan akoonada leh furaha sirta ah. Beddel goobtan oo cusboonaysii eraygaaga sirta ah
Marka qiimaha widget-kan la dhigo eber, xisaab kasta oo cusub oo lagu sameeyay erayga sirta ah waxa ay ka soo bixi doonaan dashboard-ka.
2. Tirada xisaabaadka maamulka ee SPN
SPN (Magaca Maamulaha Adeegga) waa tilmaame gaar ah oo tusaale adeeg ah. Widget-kani waxa uu tusinayaa inta koontooyinka adeega ah ee leh xuquuqaha maamulaha buuxa. Qiimaha widget-ka waa inuu noqdaa eber. SPN oo leh xuquuq maamul ayaa dhacda sababtoo ah bixinta xuquuqahaas waxay ku habboon tahay iibiyaasha software-ka iyo maamulayaasha codsiyada, laakiin waxay keenaysaa khatar amni.
Bixinta koontada adeegga xuquuqaha maamul waxay u oggolaanaysaa weeraryahanku inuu si buuxda u galo akoon aan la isticmaalin. Tani waxay ka dhigan tahay in weeraryahannada haysta akoonada SPN ay si xor ah uga dhex shaqayn karaan kaabayaasha iyada oo aan lala socon dhaqdhaqaaqooda.
Waxaad ku xallin kartaa arrintan adiga oo beddela oggolaanshaha akoonnada adeegga. Xisaabaadka noocan oo kale ah waa inay hoos yimaadaan mabda'a mudnaanta ugu yar oo ay leeyihiin oo kaliya helitaanka taas oo dhab ahaantii lagama maarmaan u ah hawlgalkooda.
Isticmaalka widget-kan, waxaad ogaan kartaa dhammaan SPN-yada leh xuquuqaha maamulka, ka saara mudnaantaas, ka dibna waxaad la socon kartaa SPN-yada adigoo isticmaalaya mabda'a la midka ah ee helitaanka mudnaanta ugu yar.
SPN-ka cusub ayaa lagu soo bandhigi doonaa dashboard-ka, oo waxaad awoodi doontaa inaad la socoto habkan.
3. Tirada isticmaalayaasha aan u baahnayn aqoonsiga hore ee Kerberos
Fikrad ahaan, Kerberos waxay siraysaa tigidhka aqoonsiga iyadoo la adeegsanayo sireeynta AES-256, taas oo aan la jabin karin ilaa maantadan la joogo.
Si kastaba ha ahaatee, noocyadii hore ee Kerberos waxay adeegsadeen sirta RC4, taas oo hadda lagu jabin karo daqiiqado gudahood. Widget-kan ayaa tusinaya akoonada isticmaalaha ee wali isticmaalaya RC4. Microsoft wali waxay ku taageertaa RC4 is waafajinta gadaal, laakiin taasi macnaheedu maaha inaad ku isticmaasho AD-gaaga.
Marka aad aqoonsato xisaabaadka noocaas ah, waxaad u baahan tahay inaad calaamadda ka saarto "ma baahna ogolaanshaha Kerberos ka hor" ee ku jira AD si aad ugu qasabto xisaabaadka inay isticmaalaan sir aad u casrisan.
Helitaanka akoonnadan keligaa, la'aanteed dashboardka Varonis AD, waxay qaadataa wakhti badan. Dhab ahaantii, ka warqabka dhammaan xisaabaadka loo habeeyey si loo isticmaalo sirta RC4 waa hawl aad u dhib badan.
Haddii qiimaha widget-ka uu is beddelo, tani waxay muujin kartaa dhaqdhaqaaq sharci darro ah.
4. Tirada isticmaalayaasha bilaa sirta ah
Weeraryahanadu waxay isticmaalaan amarrada aasaasiga ah ee PowerShell si ay u akhriyaan "PASSWD_NOTRQD" calanka AD ee guryaha akoonnada. Isticmaalka calankaan wuxuu muujinayaa inaysan jirin shuruudo sirta ah ama shuruudo adag.
Sidee u fududahay in la xado akoon leh furaha sirta ah ee fudud ama maran? Hadda qiyaas in mid ka mid ah akoonnadan uu yahay maamule.
Maxaa dhacaya haddii mid ka mid ah kumanaanka faylalka sirta ah ee u furan qof walba uu yahay warbixin maaliyadeed oo soo socota?
In la iska indhatiro shuruuda sirta ah ee qasabka ah waa hab kale oo maamul hab-maamul oo marar badan la isticmaali jiray waagii hore, laakiin aan maanta la aqbali karin ama badbaado ahayn.
Hagaaji arintaan adiga oo cusboonaysiiya furayaasha sirta ah ee akoonnadan.
La socodka widget-kan mustaqbalka waxay kaa caawin doontaa inaad iska ilaaliso xisaabaadka bilaa sirta ah.
Varonis xitaa wuu ku dhibtooday
Waagii hore, shaqada ururinta iyo falanqaynta halbeegyada lagu sharraxay maqaalkan waxay qaadatay saacado badan waxayna u baahneyd aqoon qoto dheer oo PowerShell ah, taasoo u baahan kooxaha amniga inay u qoondeeyaan agabka hawlahan usbuuc kasta ama bil kasta. Laakin ururinta iyo habaynta macluumaadkan waxay siinaysaa weeraryahannada inay bilaabaan inay galaan oo ay xadaan xogta.
Π‘ Waxaad hal maalin ku qaadan doontaa inaad geyso dashboard-ka AD iyo qaybo dheeri ah, ururinta dhammaan baylahda laga wada hadlay iyo qaar kaloo badan. Mustaqbalka, inta lagu jiro hawlgalka, guddiga kormeerka si toos ah ayaa loo cusboonaysiin doonaa marka xaaladda kaabayaasha ay isbedelaan.
Qaadista weerarrada internetka had iyo jeer waa tartan u dhexeeya weeraryahannada iyo difaacayaasha, rabitaanka weeraryahanku inuu xado xogta ka hor inta aan khubarada ammaanku xannibin gelitaanka. Ogaanshaha hore ee weeraryahannada iyo hawlahooda sharci darrada ah, oo ay weheliso difaacyo internet oo xooggan, ayaa fure u ah ilaalinta xogtaada.
Source: www.habr.com