Тема Active Directory продолжается. За последние четыре года ни один Black Hat или DEFCON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье автор портала Spy-Soft.Net рассматривает популярные способы атак на Active Directory и приводит рекомендации, которые помогут от них защититься.
А рекомендации следующие.
Сложные и длинные (>25 символов) пароли для сервисных учетных записей. Это не оставит злоумышленнику шанса провести атаку Kerberoasting, так как брутить придется очень долго.
Логирование работы PowerShell. Поможет обнаружить использование многих современных инструментов для атак на AD.
Переезд на Windows 10, Windows Server 2016. Microsoft создала Credential Guard: больше не удастся сдампить из памяти NTLM-хеши и билеты Kerberos.
Строгое разграничение ролей. Опасно сочетать в одной роли администратора AD, DC, всех серверов и рабочих машин.
Двойная смена пароля krbtgt (это та самая учетная запись, которой подписываются TGT-билеты). Каждый год. И после ухода администратора AD:
- менять нужно дважды, так как хранится текущий и предыдущий пароль;
- менять каждый год, а также после ухода доменного администратора.
Даже если сеть уже скомпрометирована и злоумышленники выпустили Golden Ticket, изменение пароля делает этот Ticket бесполезным. И им снова нужно начинать все сначала.
Средства защиты с непрерывно обновляющейся экспертной базой знаний. Необходимо для обнаружения реальных актуальных атак.
Кроме этого автор приводит ряд полезных хаков с помощью SIEM MaxPatrol. А также дает совет как действовать когда может быть бесполезна.
Рекомендую.
No comments:
Post a Comment
А что вы думаете по этому поводу?