Осебпазирии мубодила: Чӣ гуна метавон баланд шудани имтиёзро ба мудири домен муайян кард

Имсол кашф карда шуд осебпазирӣ дар Exchange ба ҳар як корбари домен имкон медиҳад, ки ҳуқуқҳои мудири доменро ба даст оранд ва Active Directory (AD) ва дигар хостҳои пайвастшударо вайрон кунанд. Имрӯз мо ба шумо мегӯям, ки ин ҳамла чӣ гуна кор мекунад ва чӣ гуна онро ошкор кардан мумкин аст.

Ин аст, ки ин ҳамла чӣ гуна кор мекунад:

1. Ҳамлагар ҳисоби ягон корбари доменро бо қуттии почтаи фаъол мегирад, то ба хусусияти огоҳиномаи push аз Exchange обуна шавад
2. Ҳамлагар релеи NTLM-ро барои фиреб додани сервери Exchange истифода мебарад: дар натиҷа сервери Exchange бо истифода аз усули NTLM тавассути HTTP ба компютери корбари осебдида пайваст мешавад, ки ҳамлагар баъдан барои тасдиқи аутентификатсия ба контролери домен тавассути LDAP бо маълумоти ҳисобҳои Exchange истифода мебарад.
3. Ҳамлагар ин маълумотҳои ҳисоби Exchangeро барои баланд бардоштани имтиёзҳои худ истифода мебарад. Ин қадами охирин метавонад аз ҷониби маъмури душманонае анҷом дода шавад, ки аллакай дастрасии қонунӣ барои тағир додани иҷозати заруриро дорад. Бо эҷод кардани қоида барои ошкор кардани ин фаъолият, шумо аз ҳамлаҳои ба ин монанд муҳофизат карда мешавед.

Баъдан, ҳамлагар метавонад, масалан, DCSync-ро иҷро кунад, то паролҳои ҳашшудаи ҳамаи корбарони доменро ба даст орад. Ин ба ӯ имкон медиҳад, ки намудҳои гуногуни ҳамлаҳоро амалӣ кунад - аз ҳамлаҳои чиптаи тиллоӣ то интиқоли ҳаш.

Гурӯҳи тадқиқотии Варонис ин вектори ҳамларо ба таври муфассал омӯхтааст ва барои муштариёни мо дастур омода кардааст, то онро ошкор кунанд ва ҳамзамон тафтиш кунанд, ки оё онҳо аллакай осеб дидаанд.

Муайян кардани афзоиши имтиёзҳои домен

В DataAlert Барои пайгирии тағирот ба иҷозатҳои мушаххас дар объект қоидаи фармоишӣ эҷод кунед. Он ҳангоми илова кардани ҳуқуқҳо ва иҷозатҳо ба объекти манфиатдор дар домен оғоз мешавад:

1. Номи қоидаро муайян кунед
2. Категорияро ба "баланд бардоштани имтиёз" таъин кунед
3. Навъи захираҳоро ба "Ҳамаи намудҳои захираҳо" таъин кунед
4. Сервери файл = Хадамоти Directory
5. Доменеро, ки ба шумо манфиатдор аст, муайян кунед, масалан, бо ном
6. Барои илова кардани иҷозатҳо ба объекти AD филтр илова кунед
7. Ва фаромӯш накунед, ки интихоби "Ҷустуҷӯ дар объектҳои кӯдак" -ро интихоб накунед.

Ва ҳоло гузориш: ошкор кардани тағирот дар ҳуқуқ ба объекти домен

Тағирот ба иҷозатҳои объекти AD хеле каманд, аз ин рӯ ҳама чизе, ки ин огоҳиро ба вуҷуд овард, бояд тафтиш карда шавад. Инчунин фикри хуб мебуд, ки пеш аз он ки худи қоида ба ҷанг ворид шавад, намуди зоҳирӣ ва мундариҷаи гузоришро санҷед.

Ин гузориш инчунин нишон медиҳад, ки оё шумо аллакай аз ин ҳамла осеб дидаед:

Пас аз фаъол шудани қоида, шумо метавонед бо истифода аз веб-интерфейси DatAlert ҳамаи дигар ҳодисаҳои афзоиши имтиёзҳоро тафтиш кунед:

Пас аз танзим кардани ин қоида, шумо метавонед аз ин ва шабеҳи осебпазирии амният назорат ва муҳофизат кунед, рӯйдодҳоро бо объектҳои хидматрасонии директорияи AD тафтиш кунед ва муайян кунед, ки оё шумо ба ин осебпазирии муҳим ҳассос ҳастед.

Манбаъ: will.com