మీ నెట్వర్క్లోకి చొరబడటానికి దాడి చేసేవారికి కావలసిందల్లా సమయం మరియు ప్రేరణ మాత్రమే. కానీ వారిని అలా చేయకుండా నిరోధించడం, లేదా కనీసం దానిని సాధ్యమైనంత కష్టతరం చేయడం మన పని. దాడి చేసేవారు యాక్సెస్ పొందడానికి మరియు నెట్వర్క్లో గుర్తించబడకుండా తిరగడానికి ఉపయోగించుకోగల యాక్టివ్ డైరెక్టరీ (ఇకపై AD)లోని బలహీనతలను గుర్తించడంతో మనం ప్రారంభించాలి. ఈ వ్యాసంలో, ఉదాహరణగా వరోనిస్ AD డాష్బోర్డ్ను ఉపయోగించి, మీ సంస్థ యొక్క సైబర్సెక్యూరిటీలో ఇప్పటికే ఉన్న బలహీనతలను ఎత్తిచూపే రిస్క్ సూచికలను మనం పరిశీలిద్దాం.
దాడి చేసేవారు డొమైన్లోని నిర్దిష్ట కాన్ఫిగరేషన్లను దుర్వినియోగం చేస్తారు
దాడి చేసేవారు కార్పొరేట్ నెట్వర్క్లలోకి చొరబడి, అధికారాలను పెంచుకోవడానికి అనేక తెలివైన పద్ధతులు మరియు బలహీనతలను ఉపయోగిస్తారు. ఈ బలహీనతలలో కొన్ని డొమైన్ కాన్ఫిగరేషన్ సెట్టింగ్లు, వీటిని గుర్తించిన తర్వాత సులభంగా మార్చవచ్చు.
మీరు (లేదా మీ సిస్టమ్ అడ్మినిస్ట్రేటర్లు) గత నెలలో KRBTGT పాస్వర్డ్ను మార్చకపోయినా, లేదా ఎవరైనా అంతర్నిర్మిత డిఫాల్ట్ అడ్మినిస్ట్రేటర్ ఖాతా (అడ్మినిస్ట్రేటర్) ఉపయోగించి ప్రామాణీకరించినా, AD డాష్బోర్డ్ మిమ్మల్ని వెంటనే హెచ్చరిస్తుంది. ఈ రెండు ఖాతాలు మీ నెట్వర్క్కు అపరిమిత ప్రాప్యతను అందిస్తాయి: దాడి చేసేవారు అధికారాలు మరియు అనుమతులపై ఉన్న ఏవైనా పరిమితులను సులభంగా దాటవేయడానికి వాటిని యాక్సెస్ చేయడానికి ప్రయత్నిస్తారు, మరియు, ఫలితంగా, వారు కోరుకున్న ఏ డేటాకైనా ప్రాప్యతను పొందుతారు.
అయితే, మీరు ఈ లోపాలను మీరే గుర్తించవచ్చు: ఉదాహరణకు, తనిఖీ చేయడానికి క్యాలెండర్ రిమైండర్ను సెట్ చేయడం ద్వారా లేదా ఈ సమాచారాన్ని సేకరించడానికి పవర్షెల్ స్క్రిప్ట్ను అమలు చేయడం ద్వారా.
వరోనిస్ డాష్బోర్డ్ నవీకరించబడుతోంది. స్వయంచాలకంగా సంభావ్య బలహీనతలను ఎత్తిచూపే కీలక సూచికల శీఘ్ర వీక్షణ మరియు విశ్లేషణను అందించడం, తద్వారా మీరు వాటిని పరిష్కరించడానికి తక్షణ చర్యలు తీసుకోవచ్చు.
డొమైన్ స్థాయిలో 3 కీలక ప్రమాద సూచికలు
వరోనిస్ డాష్బోర్డ్లో కింద ఇవ్వబడిన అనేక విడ్జెట్లను ఉపయోగించడం ద్వారా కార్పొరేట్ నెట్వర్క్ మరియు మొత్తం ఐటి మౌలిక సదుపాయాల రక్షణను గణనీయంగా మెరుగుపరచవచ్చు.
1. గణనీయమైన కాలం పాటు కెర్బెరోస్ ఖాతా పాస్వర్డ్ మార్చబడని డొమైన్ల సంఖ్య
KRBTGT ఖాతా అనేది AD లోని ఒక ప్రత్యేక ఖాతా, ఇది అన్నింటిపై సంతకం చేస్తుంది డొమైన్ కంట్రోలర్ (DC)కి యాక్సెస్ పొందిన దాడి చేసేవారు ఈ ఖాతాను ఉపయోగించి సృష్టించగలరు ఇది వారికి కార్పొరేట్ నెట్వర్క్లోని వాస్తవంగా ఏ సిస్టమ్కైనా అపరిమిత ప్రాప్యతను ఇస్తుంది. గోల్డెన్ టికెట్ను విజయవంతంగా పొందిన తర్వాత, ఒక దాడి చేసేవాడు రెండు సంవత్సరాల పాటు సంస్థ నెట్వర్క్కు ప్రాప్యత కలిగి ఉన్న పరిస్థితిని మేము ఎదుర్కొన్నాము. మీ కంపెనీలోని KRBTGT ఖాతా పాస్వర్డ్ గత నలభై రోజులలో మార్చబడకపోతే, విడ్జెట్ మీకు తెలియజేస్తుంది.
దాడి చేసే వ్యక్తి మీ నెట్వర్క్లోకి ప్రవేశించడానికి నలభై రోజులు చాలా ఎక్కువ సమయం. అయితే, మీరు ఈ పాస్వర్డ్ను క్రమం తప్పకుండా మార్చే ప్రక్రియను నిర్ధారించి, ప్రామాణీకరించినట్లయితే, దాడి చేసే వ్యక్తి మీ కార్పొరేట్ నెట్వర్క్లోకి చొరబడటం చాలా కష్టతరం అవుతుంది.
దయచేసి గుర్తుంచుకోండి, మైక్రోసాఫ్ట్ యొక్క కెర్బెరోస్ ప్రోటోకాల్ అమలు ప్రకారం, మీరు ఈ క్రింది వాటిని చేయాలి KRBTGT.
ఇకపై, మీ నెట్వర్క్లోని అన్ని డొమైన్ల కోసం KRBTGT పాస్వర్డ్ను మళ్లీ మార్చవలసిన సమయం వచ్చినప్పుడు ఈ AD విడ్జెట్ మీకు గుర్తు చేస్తుంది.
2. అంతర్నిర్మిత నిర్వాహక ఖాతా ఇటీవల ఉపయోగించబడిన డొమైన్ల సంఖ్య
ప్రకారం — సిస్టమ్ నిర్వాహకులకు రెండు ఖాతాలు అందించబడతాయి: మొదటిది రోజువారీ ఉపయోగం కోసం, మరియు రెండవది ముందుగా నిర్ణయించిన పరిపాలనా పనుల కోసం. దీని అర్థం, డిఫాల్ట్ నిర్వాహక ఖాతాను ఎవరూ ఉపయోగించకూడదు.
సిస్టమ్ నిర్వహణను సులభతరం చేయడానికి అంతర్నిర్మిత నిర్వాహక ఖాతాను తరచుగా ఉపయోగిస్తారు. ఇది ఒక చెడు అలవాటుగా మారి, భద్రతకు భంగం కలిగించవచ్చు. మీ సంస్థలో ఇలా జరిగితే, ఈ ఖాతా యొక్క చట్టబద్ధమైన ఉపయోగానికీ, హానికరమైన యాక్సెస్కీ మధ్య తేడాను గుర్తించడం కష్టమవుతుంది.
విడ్జెట్ సున్నా కాకుండా వేరే ఏదైనా చూపిస్తే, ఎవరో అడ్మినిస్ట్రేటివ్ ఖాతాలను దుర్వినియోగం చేస్తున్నారని అర్థం. ఈ సందర్భంలో, మీరు అంతర్నిర్మిత అడ్మినిస్ట్రేటర్ ఖాతాకు యాక్సెస్ను సరిచేయడానికి మరియు పరిమితం చేయడానికి చర్యలు తీసుకోవాలి.
మీరు విడ్జెట్ విలువను సున్నాకు చేర్చిన తర్వాత మరియు సిస్టమ్ నిర్వాహకులు తమ పని కోసం ఈ ఖాతాను ఉపయోగించడం మానేసిన తర్వాత, దానికి చేసే ఏ తదుపరి మార్పు అయినా సంభావ్య సైబర్దాడిని సూచిస్తుంది.
3. రక్షిత వినియోగదారుల సమూహం లేని డొమైన్ల సంఖ్య
AD యొక్క పాత వెర్షన్లు RC4 అనే బలహీనమైన ఎన్క్రిప్షన్ రకానికి మద్దతు ఇచ్చాయి. హ్యాకర్లు చాలా సంవత్సరాల క్రితమే RC4ను ఛేదించారు, మరియు ఇప్పుడు RC4ను ఉపయోగించే ఖాతాను హ్యాక్ చేయడం దాడి చేసేవారికి చాలా సులభం. 2014లో ప్రవేశపెట్టిన యాక్టివ్ డైరెక్టరీ వెర్షన్లో... Windows Server 2012లో, ప్రొటెక్టెడ్ యూజర్స్ అనే కొత్త రకం యూజర్ గ్రూప్ను ప్రవేశపెట్టారు. ఇది అదనపు భద్రతా సాధనాలను అందిస్తుంది మరియు RC4 ఎన్క్రిప్షన్ను ఉపయోగించి యూజర్ ప్రామాణీకరణను నిరోధిస్తుంది.
మీ సంస్థ యొక్క ఏవైనా డొమైన్లలో అటువంటి గ్రూప్ లేకపోతే ఈ విడ్జెట్ మీకు చూపుతుంది, తద్వారా మీరు ప్రొటెక్టెడ్ యూజర్స్ గ్రూప్ను ఎనేబుల్ చేసి, మీ ఇన్ఫ్రాస్ట్రక్చర్ను సురక్షితం చేయడానికి దాన్ని ఉపయోగించడం ద్వారా దాన్ని సరిచేయవచ్చు.
దాడి చేసేవారికి సులభమైన లక్ష్యాలు
దాడి చేసేవారికి యూజర్ ఖాతాలే ప్రధాన లక్ష్యం. ప్రాథమిక ఉల్లంఘన ప్రయత్నాల నుండి మొదలుకొని, అధికారాలను పెంచుకోవడం మరియు అస్పష్టం చేయడం వరకు వీరంతా దాడి చేస్తారు. దాడి చేసేవారు ప్రాథమిక పవర్షెల్ ఆదేశాలను ఉపయోగించి మీ నెట్వర్క్లో సులభమైన లక్ష్యాల కోసం వెతుకుతారు, వీటిని గుర్తించడం తరచుగా కష్టం. AD నుండి వీలైనన్ని ఎక్కువ సులభమైన లక్ష్యాలను తొలగించండి.
దాడి చేసేవారు గడువు ముగియని (లేదా పాస్వర్డ్లు అవసరం లేని) పాస్వర్డ్లు ఉన్న వినియోగదారుల కోసం, నిర్వాహకులుగా ఉన్న సాంకేతిక ఖాతాల కోసం, మరియు పాత RC4 ఎన్క్రిప్షన్ను ఉపయోగించే ఖాతాల కోసం వెతుకుతున్నారు.
ఈ ఖాతాలలో దేనినైనా యాక్సెస్ చేయడం చాలా సులభం లేదా సాధారణంగా వాటిని పర్యవేక్షించరు. దాడి చేసేవారు ఈ ఖాతాలను హైజాక్ చేసి, మీ ఇన్ఫ్రాస్ట్రక్చర్లో స్వేచ్ఛగా సంచరించగలరు.
దాడి చేసేవారు మీ భద్రతా పరిధిని దాటిన తర్వాత, వారు కనీసం ఒక ఖాతాకైనా ప్రవేశం పొందే అవకాశం ఉంది. మీరు ఆ దాడిని గుర్తించి, సరిదిద్దేలోపు, వారు సున్నితమైన డేటాను యాక్సెస్ చేయకుండా నిరోధించగలరా?
వరోనిస్ AD డాష్బోర్డ్ హాని కలిగించే వినియోగదారు ఖాతాలను హైలైట్ చేస్తుంది, తద్వారా మీరు సమస్యలను ముందుగానే పరిష్కరించవచ్చు. మీ నెట్వర్క్లోకి చొరబడటం ఎంత కష్టంగా ఉంటే, దాడి చేసేవారు తీవ్రమైన నష్టం కలిగించే ముందే వారిని నిలువరించే అవకాశాలు అంత ఎక్కువగా ఉంటాయి.
వినియోగదారు ఖాతాలకు 4 కీలక ప్రమాద సూచికలు
వరోనిస్ AD డాష్బోర్డ్లో అత్యంత హాని కలిగించే వినియోగదారు ఖాతాలను హైలైట్ చేసే విడ్జెట్లకు ఉదాహరణలు కింద ఉన్నాయి.
1. గడువు ముగియని పాస్వర్డ్లు కలిగిన క్రియాశీల వినియోగదారుల సంఖ్య
దాడి చేసేవారికి, అటువంటి ఖాతాలోకి ప్రవేశం పొందడం ఎల్లప్పుడూ ఒక అదృష్టమే. పాస్వర్డ్కు గడువు ముగియదు కాబట్టి, దాడి చేసేవారు నెట్వర్క్లో శాశ్వత పట్టు సాధిస్తారు, దానిని తరువాత ఉపయోగించుకోవచ్చు. లేదా మౌలిక సదుపాయాలలోని కదలికలు.
దాడి చేసేవారి వద్ద, వారు క్రెడెన్షియల్ స్టఫింగ్ దాడులలో ఉపయోగించే లక్షలాది యూజర్నేమ్-పాస్వర్డ్ కలయికల జాబితాలు ఉంటాయి, మరియు సంభావ్యత
"శాశ్వత" పాస్వర్డ్ ఉన్న వినియోగదారుడికి సంబంధించిన కలయిక ఈ జాబితాలలో ఒకదానిలో ఉంటుంది, అది సున్నా కంటే చాలా ఎక్కువ.
గడువు ముగియని పాస్వర్డ్లు ఉన్న ఖాతాలను నిర్వహించడం సౌకర్యవంతంగా ఉంటుంది, కానీ అవి సురక్షితం కాదు. అటువంటి పాస్వర్డ్లు ఉన్న అన్ని ఖాతాలను కనుగొనడానికి ఈ విడ్జెట్ను ఉపయోగించండి. ఈ సెట్టింగ్ను మార్చి, పాస్వర్డ్ను అప్డేట్ చేయండి.
ఈ విడ్జెట్ విలువను సున్నాకు సెట్ చేసిన తర్వాత, ఆ పాస్వర్డ్తో సృష్టించబడిన ఏవైనా కొత్త ఖాతాలు డాష్బోర్డ్లో కనిపిస్తాయి.
2. SPNతో ఉన్న పరిపాలనా ఖాతాల సంఖ్య
SPN (సర్వీస్ ప్రిన్సిపల్ నేమ్) అనేది ఒక సర్వీస్ ఇన్స్టాన్స్కు ఉండే ఒక ప్రత్యేక గుర్తింపు చిహ్నం. ఎన్ని సర్వీస్ ఖాతాలకు పూర్తి నిర్వాహక అధికారాలు ఉన్నాయో ఈ విడ్జెట్ ప్రదర్శిస్తుంది. విడ్జెట్లోని విలువ సున్నాగా ఉండాలి. నిర్వాహక అధికారాలతో కూడిన SPNను ఉపయోగించడానికి కారణం, అటువంటి అధికారాలను మంజూరు చేయడం సాఫ్ట్వేర్ విక్రేతలకు మరియు అప్లికేషన్ నిర్వాహకులకు సౌకర్యవంతంగా ఉండటమే, కానీ ఇది ఒక భద్రతాపరమైన ప్రమాదాన్ని కలిగిస్తుంది.
ఒక సర్వీస్ అకౌంట్కు అడ్మినిస్ట్రేటివ్ అధికారాలు ఇవ్వడం వల్ల, దాడి చేసేవారు ఉపయోగించని అకౌంట్కు పూర్తి యాక్సెస్ పొందగలుగుతారు. దీని అర్థం, SPN అకౌంట్లకు యాక్సెస్ ఉన్న దాడి చేసేవారు పర్యవేక్షణను తప్పించుకుంటూ ఇన్ఫ్రాస్ట్రక్చర్లో స్వేచ్ఛగా పనిచేయగలరు.
సర్వీస్ ఖాతాల అనుమతులను సర్దుబాటు చేయడం ద్వారా ఈ సమస్యను పరిష్కరించవచ్చు. అటువంటి ఖాతాలు కనీస అధికార సూత్రానికి కట్టుబడి ఉండాలి మరియు తమ పనిని చేయడానికి వాస్తవంగా అవసరమైన యాక్సెస్ను మాత్రమే కలిగి ఉండాలి.
ఈ విడ్జెట్తో, మీరు నిర్వాహక అధికారాలు ఉన్న అన్ని SPNలను గుర్తించి, అటువంటి అధికారాలను తొలగించి, ఆపై అదే కనీస-అధికార ప్రాప్యత సూత్రాన్ని ఉపయోగించి SPNలను నియంత్రించవచ్చు.
కొత్తగా సృష్టించిన SPNలు డాష్బోర్డ్లో ప్రదర్శించబడతాయి మరియు మీరు ఆ ప్రక్రియను పర్యవేక్షించగలరు.
3. కెర్బెరోస్ ప్రీ-ఆథెంటికేషన్ అవసరం లేని వినియోగదారుల సంఖ్య
ఆదర్శవంతంగా, కెర్బెరోస్ ప్రామాణీకరణ టిక్కెట్ను AES-256 ఎన్క్రిప్షన్ ఉపయోగించి ఎన్క్రిప్ట్ చేస్తుంది, ఇది నేటికీ ఛేదించబడలేదు.
అయితే, కెర్బెరోస్ యొక్క పాత వెర్షన్లు RC4 ఎన్క్రిప్షన్ను ఉపయోగించాయి, దీనిని ఇప్పుడు నిమిషాల్లో ఛేదించవచ్చు. ఏ యూజర్ ఖాతాలు ఇప్పటికీ RC4ని ఉపయోగిస్తున్నాయో ఈ విడ్జెట్ చూపిస్తుంది. మైక్రోసాఫ్ట్ ఇప్పటికీ బ్యాక్వర్డ్ కంపాటిబిలిటీ కోసం RC4కి మద్దతు ఇస్తుంది, కానీ దానిని మీరు మీ ADలో ఉపయోగించాలని దీని అర్థం కాదు.
మీరు అటువంటి ఖాతాలను గుర్తించిన తర్వాత, ఆ ఖాతాలు మరింత సంక్లిష్టమైన ఎన్క్రిప్షన్ను ఉపయోగించేలా బలవంతం చేయడానికి, మీరు AD లోని "Do not require Kerberos pre-authorization" ఎంపికను అన్చెక్ చేయాలి.
వరోనిస్ AD డాష్బోర్డ్ లేకుండా, ఈ ఖాతాలను స్వతంత్రంగా గుర్తించడం సమయం తీసుకుంటుంది. వాస్తవానికి, RC4 ఎన్క్రిప్షన్ను ఉపయోగించడానికి సవరించిన అన్ని ఖాతాల గురించి ఎప్పటికప్పుడు తెలుసుకోవడం మరింత సవాలుతో కూడిన పని.
విడ్జెట్లోని విలువ మారితే, అది చట్టవిరుద్ధమైన కార్యాచరణను సూచించవచ్చు.
4. పాస్వర్డ్ లేని వినియోగదారుల సంఖ్య
దాడి చేసేవారు ఖాతా ప్రాపర్టీలలోని AD నుండి "PASSWD_NOTREQD" ఫ్లాగ్ను చదవడానికి ప్రాథమిక పవర్షెల్ ఆదేశాలను ఉపయోగిస్తారు. ఈ ఫ్లాగ్ పాస్వర్డ్ లేదా పాస్వర్డ్ సంక్లిష్టతకు ఎటువంటి అవసరాలు లేవని సూచిస్తుంది.
సాధారణమైన లేదా ఖాళీ పాస్వర్డ్ ఉన్న ఖాతాను దొంగిలించడం ఎంత సులభం? ఇప్పుడు ఆ ఖాతాలలో ఒకటి అడ్మినిస్ట్రేటర్ ఖాతా అని ఊహించుకోండి.
అందరికీ అందుబాటులో ఉన్న వేలాది రహస్య ఫైళ్ళలో ఒకటి రాబోయే ఆర్థిక నివేదిక అయితే పరిస్థితి ఏంటి?
తప్పనిసరి పాస్వర్డ్ అవసరాన్ని విస్మరించడం అనేది సిస్టమ్ నిర్వహణలో గతంలో తరచుగా ఉపయోగించే మరో సులభ మార్గం, కానీ నేడు ఇది ఆమోదయోగ్యం కాదు మరియు అసురక్షితం.
దయచేసి ఈ ఖాతాల పాస్వర్డ్లను అప్డేట్ చేయడం ద్వారా ఈ సమస్యను పరిష్కరించండి.
భవిష్యత్తులో ఈ విడ్జెట్ను పర్యవేక్షించడం వలన పాస్వర్డ్ లేని ఖాతాలను నివారించడంలో మీకు సహాయపడుతుంది.
వరోనిస్ అవకాశాలను సమం చేస్తాడు
గతంలో, ఈ వ్యాసంలో వివరించిన కొలమానాలను సేకరించి, విశ్లేషించడానికి చాలా గంటల సమయం పట్టేది మరియు పవర్షెల్పై లోతైన పరిజ్ఞానం అవసరమయ్యేది: భద్రతా నిపుణులు ప్రతి వారం లేదా నెలకు ఇటువంటి పనుల కోసం వనరులను కేటాయించాల్సి వచ్చేది. అయితే, ఈ సమాచారాన్ని మాన్యువల్గా సేకరించి, ప్రాసెస్ చేయడం వల్ల దాడి చేసేవారికి చొరబాటు మరియు డేటా దొంగతనంలో ముందడుగు లభిస్తుంది.
С మీరు AD డాష్బోర్డ్ మరియు అదనపు భాగాలను అమలు చేయడానికి, చర్చించిన అన్ని బలహీనతలను మరియు మరెన్నో వాటిని సేకరించడానికి ఒక రోజు గడుపుతారు. తదనంతరం, ఆపరేషన్ సమయంలో, మౌలిక సదుపాయాల స్థితి మారినప్పుడు డాష్బోర్డ్ స్వయంచాలకంగా నవీకరించబడుతుంది.
సైబర్ దాడులు ఎల్లప్పుడూ దాడి చేసేవారికి, రక్షకులకు మధ్య జరిగే ఒక పోటీ. భద్రతా నిపుణులు యాక్సెస్ను నిరోధించేలోపే డేటాను దొంగిలించడానికి దాడి చేసేవారు ప్రయత్నిస్తారు. దాడి చేసేవారిని, వారి చట్టవిరుద్ధ కార్యకలాపాలను ముందుగానే గుర్తించడం, దానికి తోడు పటిష్టమైన సైబర్ రక్షణను కలిగి ఉండటం మీ డేటా భద్రతను నిర్ధారించడానికి కీలకం.
మూలం: www.habr.com
