Статья Люка Делсалля, сооснователя и технического директора Tenable.ad (Alsid)
Служба Active Directory (AD) существует уже более 20 лет и очень часто становится мишенью для кибератак. Однако в последние несколько лет атаки становятся все изощреннее, а злоумышленники — изобретательнее. За это время различия между внутренними и внешними угрозами уже не раз становились предметом обсуждения. Поскольку инсайдерские атаки происходят чаще, следует освежить знания именно о них, уделяя внимание особенностям сценариев атак с использованием привилегированных и непривилегированных учетных записей AD.
Четыре сотрудника могут поставить вашу ИТ-инфраструктуру на колени. В этом отчете — ваш ответный удар.
Скачайте руководство по защите от инсайдерских угроз, которым вы платите зарплату. Автор — Сильвен Кортес, Microsoft MVP.
Что мы понимаем под привилегиями?
В рамках этой статьи речь пойдет о привилегиях, связанных со службой Active Directory и объектами, хранящимися в ее базе данных. К привилегированным пользователям можно отнести участников групп «Администраторы домена», «Администраторы предприятия», «Владельцы-создатели групповых политик», «Операторы учетных записей» и т. п. (Domain Admins, Enterprise Admins, Group Policy Creator Owners, Account Operators). Кроме того, сюда входят пользователи, которым в AD делегированы некоторые разрешения, например, возможность сбрасывать пароли или изменять членство в группах.
В среде Microsoft Windows есть и другие привилегии, такие как права пользователей, делегирование полномочий по управлению объектами групповых политик (GPO), разрешения служб, но они не будут затрагиваться в обсуждении.
Внутренний непривилегированный пользователь
Чаще всего внутренний непривилегированный пользователь — это конечный пользователь. У него нет возможности вносить изменения в Active Directory. Можно копнуть глубже и выяснить, имеет ли пользователь права локального администратора на своей рабочей станции, но для этого примера предположим, что имеет.
При таком сценарии у пользователя имеется достаточно полномочий, чтобы устанавливать и запускать приложения со своего компьютера. Большинству вредоносных инструментов для выполнения своего кода требуются права локального администратора, но при этом им достаточно доступа «только для чтения» к Active Directory. Пользователь с такими правами может проводить разведку по всему домену AD и за его пределами. Имея учетную запись в Active Directory, пользователь получает доступ «только для чтения» ко всей базе данных AD. При таком уровне доступа нельзя выгружать пароли учетных записей домена. Зато можно легко получить данные о пользователях, их группах, компьютерах, групповых политиках, уровнях доверия и т. д. Вот несколько примеров того, что может посмотреть пользователь:
- всех участников группы «Администраторы домена»;
- дату и время последнего изменения паролей;
- настройки групповой политики.
С помощью таких инструментов, как Bloodhound, злоумышленник может не только просматривать объекты в базе данных, но и визуализировать все траектории атаки, которые помогут получить привилегии в Active Directory любой учетной записи.
Внутренний привилегированный пользователь
Несомненно, внутренний привилегированный пользователь может делать все то же, что и непривилегированный, и гораздо большее. Казалось бы, что страшного может произойти, если внутренний пользователь обладает привилегиями, разве это не просто сотрудник, который администрирует AD? Нет, далеко не «просто».
Дело в том, что привилегированные пользователи могут делать все, что захотят. Это означает, что они могут создавать бэкдоры, бесконтрольно менять настройки, получать доступ к конфиденциальным данным, не оставляя следов в журналах событий, и это только малая часть их возможностей. При этом даже необязательно, чтобы внутренний привилегированный пользователь был сотрудником компании. Это может быть, например, служебная учетная запись или же злоумышленник, который получил доступ к внутренней УЗ извне.
Если еще вспомнить о таких атаках, как DCSync и DCShadow (доступных с Mimikatz), то правила игры кардинально меняются, поскольку эти атаки способны обойти СЗИ, полагающиеся на аудит, отслеживание изменений и журналов событий. Для обнаружения таких атак нужен подход, который полагается на более глубокий анализ.
Рекомендации и лучшие практики
Можно не знать, каким именно образом привилегированные и непривилегированные пользователи будут проводить атаки на AD, но чтобы их избежать, стоит предпринять некоторые меры. Что касается непривилегированных пользователей, нужно лишить их прав локального администратора на компьютерах. В случае с привилегированными пользователями стоит убедиться, что во всех привилегированных группах (встроенных, служебных, пользовательских и группах приложений) состоят только те участники, которые должны в них находиться. Это также касается и вложенных групп. Кроме этого, важно удостовериться, что все разрешения в AD делегированы корректно. Нужно понимать, что вышеописанное касается не только групп, напрямую перечисленных в списках ACL, но и всех вложенных в них групп (то, что называется «эффективные разрешения»).
Узнайте больше об инсайдерах
Четыре сотрудника могут поставить вашу ИТ-инфраструктуру на колени. Скачайте полное руководство по защите от инсайдерских угроз от Сильвена Кортеса, Microsoft MVP. В отчете: четыре сотрудника, которые могут разрушить вашу организацию, 12-шаговая модель атаки на AD, которую реализуют инсайдеры, три столпа надежной ИТ-защиты.
Tenable.ad помогает с защитой Active Directory
Закажите демо и презентацию Tenable.ad по этой ссылке.
