Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik...
Transcript of Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik...
![Page 1: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/1.jpg)
bluebridge.lt | 2018-05-10
Saugumas „Microsoft Active Directory“
aplinkoje
KĘSTUTIS MEŠKONIS
Vyr. sistemų inžinierius-konsultantas
![Page 2: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/2.jpg)
Negalime būti tikri dėl saugumo produkto kokybės
Fake Security
2Nuotraukos: www.fakesecurity.com
![Page 3: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/3.jpg)
• 90% pelningiausių 1000 kompanijų
naudoja AD (2014)
• Lietuvoje beveik visi
• AD pirmas APT taikinys po
nusileidimo
AD jungtuvės
3bluebridge.lt
![Page 4: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/4.jpg)
• Slaptažodžiai saugomi silpname NTLM hash formate
• PTH – Pass-the-hash ataka
• RDP sesijų užgrobimas
• Slaptažodžių saugojimas atviru tekstu atmintyje (a.k.a Mimikatz)
• Silpna slaptažodžių politika
• Kiti
Nuo versijos nepriklausomi AD trūkumai
AD nesaugi pagal nutylėjimą!
4bluebridge.lt
![Page 5: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/5.jpg)
• Katalogų tarnyba (LDAP)
• Centralizuotas resursų valdymas***
• Centralizuotas saugumo valdymas
• Centralizuotas autentifikavimas
• PKI – (sertifikatas vs. slaptažodis?)
• SSO
Kas yra AD – Active Directory
5bluebridge.lt
AD
kompiuteriai
serveriai
vartotojai
aplikacijos
![Page 6: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/6.jpg)
• VPN prieiga
• WiFi prieiga
• Saugumo/tinklo įrangos administravimas
• Intranetai/Ekstranetai
• MSSQL
• Klientų valdymo/finansų sistemos (CRM/Navision)
• E-paštas (Exchange/Zimbra/OWA)
• Komunikacija (Lync, Skype4Business, Teams)
• Slaptažodžių spintos
SSO – Single Sign On problematika
6bluebridge.lt
![Page 7: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/7.jpg)
Horizontalusis judėjimas
7bluebridge.lt
NE AD (tinkloskenavimai)
AD žvalgyba
![Page 8: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/8.jpg)
• Lėtas (žingsnis po žingsnio)
• Triukšmingas (skenavimai, exploit’ai)
• Sunkus (segmentavimas, atnaujinimai, 0-day)
• Pasipriešinimas (NGFW, IPS, atnaujinimai, anti-exploit, WAF)
Horizontalusis judėjimas
8bluebridge.lt
NE AD (tinkloskenavimai)
![Page 9: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/9.jpg)
Horizontalusis judėjimas
9bluebridge.lt
• Informacijos lobynas (įskaitant asmens duomenis)
• Greitas užvaldymas
• Plataus masto užvaldymas
• Aukštomis teisėmis užvaldymas
• Ilgalaikis įsitvirtinimas
• Nematomas
AD žvalgyba
![Page 10: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/10.jpg)
10
Privilegijų eskalavimo schema AD aplinkoje
bluebridge.lt
Domeno administratorius
Lokalus administratorius
Domenovartotojas
Jokių
![Page 11: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/11.jpg)
11
Žaidimo pabaiga audito metu
bluebridge.lt
![Page 12: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/12.jpg)
12
“Žaidimo pabaiga” (aut. ransomware)
bluebridge.lt
![Page 13: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/13.jpg)
13
“Žaidimo pabaiga” (aut. ransomworm)
bluebridge.lt
![Page 14: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/14.jpg)
• DOMAIN ADMINS
• ENTERPISE ADMINS
• SERVER ADMINS
• BACKUP ADMINS
• Kitos privilegijuotos grupės
Ne tik Domeno Administratoriai svarbūs
14bluebridge.lt
![Page 15: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/15.jpg)
15bluebridge.lt
Dažniausios klaidos, lemiančios AD užvaldymą
![Page 16: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/16.jpg)
“Valytojos scenarijus”
“Atakuotojas internete”
Privilegijų eskalavimo schema
16bluebridge.lt
Jokių
![Page 17: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/17.jpg)
17bluebridge.lt
Nr. 0 Spear-Phishing
![Page 18: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/18.jpg)
18
Slaptažodžių žvejyba
bluebridge.lt
![Page 19: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/19.jpg)
• E-pašto techninės kontrolė: DMARC
• “Išorinis” laiškas
• Iškirpti “href=” nuorodas iš laiškų ir dokumentų turinio
• Blokuoti web kreipinius į neklasifikuotus domenus
• Nuolatinės vidinės „phishing“ treniruotės darbuotojams
• Budrumo programa organizacijoje (įskiepis į pašto klientus)
Rekomendacijos
Slaptažodžių žvejyba
19bluebridge.lt
![Page 20: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/20.jpg)
20bluebridge.lt
Nr. 1 Nepašalintipažeidžiamumai domeno
mašinose
![Page 21: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/21.jpg)
MS-17-010 MS-17-010 MS-17-010
21bluebridge.lt
MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010
![Page 22: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/22.jpg)
22
MS-17-010 MS-17-010 MS-17-010
bluebridge.lt
![Page 23: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/23.jpg)
• Įdiegti atnaujinimą KB-4013389
• Išjungti SMBv1 palaikymą domeno mastu
• Naudoti SMB Signing domeno mastu
• Blokuoti SMB tarnybų pasiekiamumą lokalių ugniasienių pagalba KDV, debesų kompiuteriuose
• Išimtys “mažiausių privilegijų” principu
Rekomendacijos
MS-17-010 MS-17-010 MS-17-010
23bluebridge.lt
![Page 24: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/24.jpg)
24bluebridge.lt
Nr. 2 Silpna AD slaptažodžių politika
![Page 25: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/25.jpg)
MAXIMUM PASSWORD AGE
PASSWORD NEVER EXPIRES (“ATGALINĖS DURYS!”)
Kur dažniausiai naudojama:
• Domeno administratoriai
• Domeno vartotojų išimtys
Galiojimas
Slaptažodžių politika
25bluebridge.lt
![Page 26: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/26.jpg)
MINIMUM PASSWORD LENGTH
8? (nuo 40 iki 65% procentų slaptažodžių parenkama)
12? (vidutinis žodyno pagalba parinkto slaptažodžio ilgis ~12,4 simbolio)
16?
ILGIS ar KOMPLEKSIŠKUMAS?
Ilgėjant slaptažodžiui, greičiau didėja jo entropija (ilgėja nulaužimo laikas)!
Ilgis
Slaptažodžių politika
26bluebridge.lt
![Page 27: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/27.jpg)
PASSWORDS MUST MEET COMPLEXITY REQUIREMENTS
• Ar vartotojo vardas sutampa su slaptažodžiu?
• “The password contains characters from three of
the following categories”
Slaptažodis:: password
Slaptažodis:: Password
Slaptažodis:: Password1
Slaptažodis:: Password2
Slaptažodis:: Password3 (sėkmingai parinktas!)
Rekomendacijos:
• griežtinti politiką (ypač ilgį, ne kompleksiškumą)
• mokyti naudotojus
• audituoti
Kompleksiškumas
Slaptažodžių politika
27bluebridge.lt
![Page 28: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/28.jpg)
Slaptažodis:: pasibaigesslaptazodis
Slaptažodis:: betkoKsnaujas1
Slaptažodis:: darkaZinkoks2
Slaptažodis:: treciasSnaujas3
Slaptažodis:: 4asnaujaspwd4
Slaptažodis:: Pas&swor55d5
Slaptažodis:: pasibaigesslaptazodis
ENFORCE PASSWORD HISTORY
Rotavimas
Slaptažodis:: Password100
Slaptažodis:: Password101
Slaptažodis:: Password102
Slaptažodis:: Password103
Slaptažodis:: Password99
Slaptažodis:: Password98
MINIMUM PASSWORD AGE - Išjungtas pagal
nutylėjimą!!!
28
Slaptažodžių politika
bluebridge.lt
![Page 29: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/29.jpg)
ACCOUNT LOCKOUT THRESHOLD (kiek galima suklysti 5-10 bandymų)
RESET ACCOUNT LOCKOUT COUNTER AFTER (stebėjimo langas 30 min)
ACCOUNT LOCKOUT DURATION (automatinis atsiblokavimas 30 min)
Apėjimas: “Password Spraying” a.k.a. “gentle bruteforce”
Paskyrų auto-blokavimas
Slaptažodžių politika
29bluebridge.lt
![Page 30: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/30.jpg)
• “Account lockout duration=0”
• “Reset account lockout counter after=0”
• ”Account lockout threshold=5-10”
• Slaptažodžių atstatymui naudoti “Help Desk” su papildomu identifikavimu arba “Self Password
Recovery” sprendimus
• SIEM pagalba stebėti sėkmingus ir nesėkmingus prisijungimus ir “password spray” atakas
Rekomendacijos
Slaptažodžių politika
30bluebridge.lt
![Page 31: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/31.jpg)
31bluebridge.lt
Nr. 3 Netaikoma/skirtinga AD slaptažodžių politika
![Page 32: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/32.jpg)
• TOP-25
• Žodynas
• Brutuali jėga
Slaptažodžių atakos
Netaikoma, skirtinga AD slaptažodžių politika
32bluebridge.lt
![Page 33: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/33.jpg)
33bluebridge.lt
Nr. 4 Tinklo katalogai su jautria informacija
![Page 34: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/34.jpg)
Teisės:
• “Read”!!!
Grupės:
• “Authenticated Users”
• “Everyone”
Blogai sukonfigūruota katalogų prieiga
Tinklo katalogai su jautria informacija
34bluebridge.lt
![Page 35: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/35.jpg)
• passwords.txt (???)
• IS schemos, dokumentacija (ir slaptažodžiai viduje!!!)
• Išeities kodai (ir slaptažodžiai viduje!!!)
• Log bylos (ir slaptažodžiai viduje!!!)
• Asmens duomenys (GDPR pažeidimas!!!)
• Kažkas dar neatrasta (ir slaptažodžiai viduje!!!)
Atradimai tinklo kataloguose
Tinklo katalogai su jautria informacija
35bluebridge.lt
![Page 36: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/36.jpg)
Teisės:
• “Write”
• “Full Control”
Grupės:
• “Authenticated Users”
• “Everyone”
Blogai sukonfigūruota katalogų prieiga
Tinklo katalogai su jautria informacija
36bluebridge.lt
![Page 37: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/37.jpg)
• Jokių tinklo katalogų darbo vietose - tik serveriuose
• Katalogų teisės ”mažiausių privilegijų” principu
• Centralizuotas bylų dalinimosi sprendimas (owncloud, sharepoint ir kt.)
• Schemos ir dokumentacijos tik valdymo segmente, valdymo mašinose ir šifruotos NE AD
priemonėmis
• Development, testinės ir gamybinės aplinkos atskirtos nuo tinklo segmentavimo iki AD
• Debug informaciją išvesti į atskirą serverį, kuris sunaikinamas, kai nebereikalingas (reikalingas
procesas)
Rekomendacijos
Tinklo katalogai su jautria informacija
37bluebridge.lt
![Page 38: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/38.jpg)
38bluebridge.lt
Nr. 5 LLMNR ir NBT-NS užklausų nuodijimas
![Page 39: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/39.jpg)
Atakos schema
LLMNR ir NBT-NS užklausų nuodijimas
39bluebridge.lt
![Page 40: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/40.jpg)
• SMB-Relay – atakos variacija PTH ir “žmogus viduryje” stiliumi
Perimtos NTLM challenge/response HASH reikšmės
LLMNR ir NBT-NS užklausų nuodijimas
40bluebridge.lt
![Page 41: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/41.jpg)
• Išjunkite LLMNR ir NBT-NS protokolus domeno mastu
• SMB signing įjunkite domeno mastu
• Naudokite stiprią slaptažodžių politiką
• Nedirbkite domeno ir lokalių administratorių teisėmis
• Izoliuokite kompiuterines darbo vietas vieną nuo kitos (bendrinė L2 atakų apsauga, prieš ARP
nuodijimą, VLAN šokinėjimą ir kt.)
Rekomendacijos
LLMNR ir NBT-NS užklausų nuodijimas
41bluebridge.lt
![Page 42: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/42.jpg)
KLIENTŲ IZOLIACIJA: STOP L2 ATAKOMS!
LLMNR ir NBT-NS užklausų nuodijimas
42
![Page 43: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/43.jpg)
43bluebridge.lt
Nr. 6 Wi-Fi su PEAP
![Page 44: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/44.jpg)
Atakos schema
Wi-Fi su PEAP
44bluebridge.lt
![Page 45: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/45.jpg)
Perimtos NTLM challenge/response HASH reikšmės
Wi-Fi su PEAP
45bluebridge.lt
![Page 46: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/46.jpg)
• Wi-Fi klientų autentifikavimui naudokite klientų sertifikatus (EAP-TLS)
• Naudokite stiprią slaptažodžių politiką (PEAP atveju)
• Uždrauskite GPO pagalba „Ad-Hoc“ sujungimus
• GPO pagalba kontroliuokite leidžiamų prisijungti SSID sąrašą
PASTABA: Nepamirškite sertifikatas galioja ilgiau nei slaptažodis!!!
AD rekomendacijos
Wi-Fi su PEAP
46bluebridge.lt
![Page 47: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/47.jpg)
• Naudokite Wi-Fi klientų izoliaciją
• Apsaugokite Wi-Fi administravimo prieigą (MFA, segmentacija)
• Apsaugokite sertifikatų ir privačių raktų eksportavimą atskiru slaptažodžiu
• „FAST Reconnect“ Wi-Fi nustatymas
PASTABA: Atsargiai su visiškai savarankišku vartotojų „self-provisioning“!!!
Bendras Wi-Fi saugumo lygis = Sertifikatai + AD kredencialai = AD kredencialai
Wi-Fi rekomendacijos
Wi-Fi su PEAP
47bluebridge.lt
![Page 48: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/48.jpg)
“Organizacijos darbuotojo scenarijus”
“Išorinio atakuotojo scenarijus”
Privilegijų eskalavimo schema
48bluebridge.lt
Jokių
Domenovartotojas
![Page 49: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/49.jpg)
49bluebridge.lt
Nr. 7 Slaptažodžiai skriptuose
![Page 50: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/50.jpg)
• LogOn/LogOff skriptai
• *.vbs
• *.ps1
• Konfigūracijos bylos
• Windows registrai
• Komentarai
Kur ieškoti?
Slaptažodžiai skriptuose
50bluebridge.lt
![Page 51: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/51.jpg)
51bluebridge.lt
Nr. 8 Domeno vartotojai turi aukštesnes teises
![Page 52: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/52.jpg)
• Domeno administratorius
• Lokalus administratorius
• Deleguotų privilegijuotų grupių teisės
• SSO
Teisės
Domeno vartotojai turi aukštesnes teises
52bluebridge.lt
Rekomendacijos
• Administravimui ir kasdienėms veikloms naudokite skirtingas paskyras
• Paskyrų vardai neturėtų identifikuoti administratorių, idealiu atveju naudotojų
• Teises suteikite vartotojui, ne grupei (pamenate mažiausių privilegijų principas)
• SSO atveju naudokite 2FA kitų sistemų administravimui (VPN, ugniasienės ir t.t.)
![Page 53: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/53.jpg)
53bluebridge.lt
Nr. 9 GPP Passwords –slaptažodžiai grupių politikų
nuostatose
![Page 54: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/54.jpg)
Rekomendacijos:
• MS14-025 atnaujinimas pašalina šią galimybę
• Po atnaujinimo įdiegimo senus įrašus būtina pašalinti!!!
“findstr /S cpassword \\DC\sysvol\*.xml”
GPP – Group policy preferences
54bluebridge.lt
![Page 55: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/55.jpg)
55bluebridge.lt
Nr. 10 Lokalūs pažeidžiamumai
![Page 56: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/56.jpg)
• Windows pažeidžiamumai (SYSTEM)
• Microsoft ir trečių šalių pažeidžiamumai (SYSTEM)
• Konfigūracijos klaidos (SYSTEM)
Rekomendacijos
• Prioritetizuoti atnaujinimus
• Sistemų stiprinimas
• AV
Lokalūs pažeidžiamumai
56bluebridge.lt
![Page 57: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/57.jpg)
Privilegijų eskalavimo schema
57bluebridge.lt
Jokių
Domenovartotojas
Lokalus administratorius
![Page 58: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/58.jpg)
58bluebridge.lt
Nr. 11 Vienodas lokalaus administratoriaus slaptažodis
![Page 59: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/59.jpg)
Populiariausia horizontalaus judėjimo technika!
Vienodas lokalaus administratoriaus slaptažodis
59bluebridge.lt
![Page 60: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/60.jpg)
Prisijungimas:
• Atviru slaptažodžiu
• HASH reikšme (PTH ataka)
Rekomendacijos:
• Nemokamas MS LAPS lokalių slaptažodžių valdymui
• Komerciniai slaptažodžių valdymo sprendimai (CyberArk, Thycotic, kiti)
LOCALADMIN
Vienodas lokalaus administratoriaus slaptažodis
60bluebridge.lt
![Page 61: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/61.jpg)
61bluebridge.lt
Nr. 12 Slaptažodžių pernaudojimas
![Page 62: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/62.jpg)
sauliusk – $7r0ngP455w0rd <- domeno vartotojas
sauliusk_adm - ????????? <- domeno administratorius
Rekomendacijos:
• AD priemonės neleidžia kontroliuoti vienodų slaptažodžių (būtų pažeidžiamumas)
• Naudokite skirtingus slaptažodžius skirtingiems vartotojams
• Audituokite slaptažodžius (ieškokite vienodų NTLM HASH reikšmių)
• Pasitikėkite technologijomis, ne žmonių asmenine atsakomybe
62bluebridge.lt
Slaptažodžių pernaudojimas
![Page 63: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/63.jpg)
63bluebridge.lt
Nr. 13 Domeno administratorių medžioklė
![Page 64: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/64.jpg)
• AD mums pasakys, kur ir kokie administratoriai prisijungę!
Atakos:
• Mimikatz ataka
• RDP sesijos perėmimas
• Token žymų manipuliavimas
Rekomendacijos:
• Išjunkite prisijungimo duomenų kešavimą
• CyberArk Endpoint Credential Manager
• Stebėkite SIEM pagalba AD
Pagrindiniai būdai
Domeno administratorių medžioklė
64bluebridge.lt
![Page 65: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/65.jpg)
• DMARC
• Sustiprinkite AD slaptažodžių politiką
• MS-17-010 atsikratykite pažeidžiamumo
• Išjunkite LLMNR ir NBT-NS
• Revizuokite administratorių ir privilegijuotų vartotojų sąrašus
• Išjunkite SMBv1
• Įsidiekite MS LAPS serveriams ir KDV
• Stebėkite AD įvykius centralizuotai
• Mažiausiai dukart metuose keiskite KRBTGT vartotojo slaptažodį
• Išjunkite POWERSHELL (esant galimybei)
Rekomendacijos
Kai grįšite į ofisą … AD TO DO LIST
65bluebridge.lt
![Page 66: Saugumas „Microsoft Active Directory aplinkoje · • Jokių tinklo katalogų darbo vietose - tik serveriuose • Katalogų teisės ”mažiausių privilegijų” principu • Centralizuotas](https://reader030.fdocument.pub/reader030/viewer/2022040713/5e19a526f0399311b2669ec7/html5/thumbnails/66.jpg)
Ačiū už dėmesį
66bluebridge.lt