Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Microsoft Active Directory (AD) er et særdeles lukrativt mål for hackere.
Det er ikke overraskende i betragtning af, at 95 procent af de største virksomheder stadig i dag bruger dette identitetsstyringssystem, der blev skabt i en tid, hvor vi end ikke havde hørt om hackere, og som derfor ikke er skabt til at modstå dem.
Hackere udnytter svage AD-konfigurationer til at identificere angrebsveje, få adgang til privilegerede legitimationsoplysninger og implementere ransomware.
I nylige rapporter udtrykker både 451 Research, Enterprise Management Associates (EMA) og Gartner en fælles bekymring over sikkerhedsproblemerne i AD.
Hackere ved udmærket godt, hvordan de skal finde vej ind i virksomhedens netværk gennem AD og herigennem implementere ransomware, stjæle data eller endda overtage organisationen.
Ifølge en EMA-undersøgelse har 50 procent af organisationerne i løbet af de seneste to år været udsat for et AD-specifikt angreb, og mere end 40 procent af disse angreb lykkedes.
Penetrationstestere lykkes med at udnytte en AD-eksponering i ca. 80 procent af tilfældene. Av!
Her følger fire trin, der kan hjælpe jer med at smække døren i, så hackere ikke kan udnytte jeres AD.
Trin 1: Sørg for en ordentlig AD-sikkerhedskultur
Udfør regelmæssige sårbarhedsvurderinger af jeres AD og sørg, som minimum, for, at forældreløse konti slettes, hav en stram politik for adgangskontrol, håndhæv effektiv risikostyring og fjern ældre komponenter. Det sidste er nok det vigtigste.
Trin 2: Beskyt jer mod de tre mest udnyttede sikkerhedshuller
Her er de tre største AD-sårbarheder, vi hos Semperis ser udnyttet:
- PetitPotam, der tvangsautentificerer, så første gang dagens lys i juli 2021.
Angribere med domæneadgang kan autentificere sig selv ved hjælp af en sårbar grænseflade, f.eks. Encrypting File System. De kan derefter bruge et klassisk NT LAN Manager-relæ (NTLM) til at øge deres privilegier yderligere.
Microsofts anbefalede løsning til PetitPotam er at deaktivere NTLM-godkendelse på alle Active Directory Certificate Services-systemer og derefter aktivere Extended Protection for Authentication for at hjælpe med at eliminere man-in-the-middle-angreb.
- PrintNightmare er, som navnet antyder, et sæt sårbarheder, der er rettet mod Windows Print Spooler-tjenesten.
Tjenesten er beregnet til at lagre og sætte fjernudskrivningsopgaver i kø, og angribere i netværket kan bruge denne tjeneste til at udføre DLL-injektion i printerdrivere og derefter køre dem med systemtilladelser.
Enhver bruger kan oprette forbindelse til tjenesten og misbruge den til at få adgang til domænecontrolleren med systemtilladelser. Som med PetitPotam er den anbefalede løsning blot at deaktivere Windows Print Spooler-tjenesten på domænecontrolleren.
- SID-historik er en attribut for et brugerkonto-objekt, som typisk kun bruges i migrationsscenarier, integration af nye domæner eller sammenlægninger, og som kan give tusindvis af poster.
Det er uundgåeligt, at der bliver efterladt nogle SID History fragmenter - fragmenter, som ofte ikke slettes, fordi man er bange for ikke at kunne få adgang til ældre systemer igen.
For at løse denne sårbarhed er det nødvendigt at opretholde synlighed i sikkerhedsidentifikatorer (SID'er), identificere privilegerede SID'er og scanne for uautoriserede ændringer.
For det første er de nemme mål. For det andet udnytter de ældre komponenter. For det tredje er de nemme at stoppe, når du nu ved, hvor du skal finde dem, og hvad du skal gøre.
Trin 3: Vid, at hackere typisk leder efter specifikke AD-mål
Når hackere angriber et AD-miljø, bruger de sjældent sofistikerede metoder.
De laver den digitale pendant til at snuse rundt om din bygning og lede efter en ulåst dør eller et åbent vindue. Med andre ord, leder de efter den vej ind, der byder på mindst mulig modstand og har potentiale til at give størst muligt udbytte.
Almindelige mål omfatter:
- Gamle systemer: Ældre komponenter er ofte underudnyttede, løst overvåget og meget lette at udnytte.
- SID fejlkonfiguration: Mest almindeligt i form af et forældreløst privilegeret SID.
- Problemer med sikkerhedspolitikken: Fejlkonfigureret gruppepolitiksikkerhed er et almindeligt mål.
Trin 4: Brug testværktøjer til at afdække sårbarheder
Værktøjer, der scanner AD-miljøet for indikatorer for eksponering og kompromittering - såsom Purple Knight, der er et gratis AD-sikkerhedsvurderingsværktøj - kan hjælpe med at afdække og løse almindelige sårbarheder.
Selvom den ideelle fremgangsmåde er at bruge en løsning, der løbende overvåger AD-miljøet for angreb, kan man ved regelmæssig brug (dvs. to gange månedligt) af et værktøj som Purple Knight blive opmærksom på potentielle problemer og få en køreplan for afhjælpning.
Sikring af AD er en løbende proces
Som en hjørnesten i de fleste organisationers identitets- og adgangsstyring vil AD fortsat være en central del af jeres infrastruktursikkerhed, selv når I flytter jeres aktiver til skyen.
AD er nemlig stadig grundlaget for den hybride identitetsarkitektur, der anvendes i dag.
Selvom AD ikke forsvinder lige foreløbig, og har velkendte sikkerhedshuller, kan organisationer forbedre deres overordnede sikkerhedstilstand ved hyppig og systematisk tilretning af de almindelige AD-fejlkonfigurationer.
AD er fortsat et værdifuldt værktøj. Vi skal bare bruge det korrekt og sikkert, da uforsigtighed åbner døren for it-kriminelle.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.