Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

A hitelesítő adatok ellopása vonzó számlája

Bill Mathers|Utoljára frissítve:: 2017. 03. 10.
|
1 Közreműködő

Vonatkozik: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

A hitelesítő adatok ellopása támadások azok, amelyekben a támadó kezdetben nyereség legmagasabb jogosultságú (gyökér, rendszergazda vagy RENDSZER, a használt operációs rendszertől függően) a számítógép egy hálózathoz és szabadon elérhető szerszámok a munkamenetek más bejelentkezett fiók hitelesítő adatok kibontásához használja a hozzáférést. A rendszer konfigurációjától függően ezek a hitelesítő adatok kinyerhetők kivonatok, jegyek, vagy akár sima szöveges jelszavak formájában. A betakarított hitelesítő adatok esetén, amelyek nagy valószínűséggel található más számítógépek a hálózaton (például a Windows rendszergazdai fiókkal vagy OSX, UNIX vagy Linux fiókjaihoz) a helyi felhasználói fiókok, a támadó jeleníti meg a hitelesítő adatokat más számítógépeknek a hálózaton történő továbbításához további számítógépeket kompromisszumot, és próbálja meg beszerezni a hitelesítő adatok fiókok két bizonyos típusú :

  1. Korlátozott engedélyekkel rendelkező tartományi fiókok széles és a mély jogosultságokkal (azaz fiókok több számítógépen és az Active Directory rendszergazdai jogosultsággal rendelkező). Ezeket a fiókokat nem lehet az Active Directory címtárban a legmagasabb jogosultság csoportok tagjai, de azok is megkapták rendszergazdai jogosultság keresztül számos kiszolgálókat és munkaállomásokat a tartományhoz vagy erdőhöz, így azokat hatékonyan ugyanolyan hatékonyak, mint a kiemelt csoportok tagjai az Active Directoryban lévő. A legtöbb esetben fiókokat, amelyek magas szintű jogosultsággal rendelkezik a Windows infrastruktúra széles swaths keresztül szolgáltatásfiókok,, így mindig szolgáltatásfiókok kell értékelni a szélessége és oldalmagassága jogosultság.

  2. "Nagyon fontos személy" (VIP) tartományi fiókok. Ez a dokumentum keretében egy VIP egy esetleges támadó szeretne (szellemi tulajdon és egyéb érzékeny információk) információkhoz hozzáféréssel rendelkező fiók vagy információhoz való hozzáférést a támadó használt fiókot. Ezek a fiókok közé tartoznak:

    1. Vezetők, akiknek a fiókja férhetnek hozzá a bizalmas vállalati adatok

    2. Help Desk munkatársak számára a számítógépek és a vezetők által használt alkalmazások fenntartásáért felelős számlája

    3. Jogi személyzet férhet hozzá egy szervezet ajánlat és a szerződés dokumentumainak, hogy a dokumentumok saját szervezet vagy szervezetek ügyfél számlája

    4. Egy vállalat fejlesztői a termékekre vonatkozó terveket és előírásokat hozzáféréssel rendelkező termék tervezője csővezeték, függetlenül a termékek a vállalat teszi típusú

    5. Vizsgálati adatok, termék-összetételek vagy bármely más támadó érdeklődésére számot tartó kutatási elérését szolgáló fiókkal kutatók

Magas szintű jogosultsággal rendelkező fiókokat az Active Directoryban történő biztonságos továbbításához és VIP számlák vagy az azok által elérhető adatok manipulálására használható, mert a leghasznosabb számláit hitelesítő adatok ellopása támadások olyan fiókot, amely az Active Directory vállalati rendszergazdák, a Tartománygazdák és a Rendszergazdák csoport tagjai.

Tartományvezérlőkön az Active Directory tartományi szolgáltatások adatbázist a tárolóhelyekkel és tartományvezérlők minden adat teljes hozzáférése van az Active Directoryban, mert tartományvezérlők is célzott az illetéktelenek tudomására jutása, hogy párhuzamosan a hitelesítő adatok ellopása támadásokat, és azután egy vagy több magas szintű jogosultsággal rendelkező Active Directory fiókok áldozatul esett. Bár számos kiadványok (és sok támadók) összpontosít a Tartománygazdák csoport tagságokat fázis a kivonatoló és egyéb hitelesítő adatok ellopása támadások leírására (a leírt az Active Directory támadási felület csökkentése), az itt felsorolt csoportok tagja fiók használható veszélyeztetheti a teljes Active Directory tartományi szolgáltatások telepítési.

Megjegyzés

Fázis a kivonatoló és egyéb hitelesítő adatok ellopása támadások átfogó információt talál a hibát enyhítő Pass-a-kivonat (PTH) támadások és egyéb hitelesítő adatok ellopása technikák felsorolt szakmai ismertető függelék M: dokumentum-hivatkozások és a javasolt olvasása. További információt a támadások által meghatározott ellenfelek, amelyek néha nevezik "speciális állandó fenyegetések" (APTs), olvassa el meghatározott ellenfelek és a célzott támadások.

Tevékenységek, amelyek növelik annak valószínűségét, hogy illetéktelenek tudomására jutása

Mivel a cél hitelesítő adatok ellopása, általában magas szintű jogosultsággal rendelkező tartományi fiókok és VIP számlák, fontos, legyen tudatában annak, hogy a tevékenységek, amelyek növelik a várható eredményessége a hitelesítőadat-lopás támadások rendszergazdák számára. Támadók célzott VIP számlák, ha VIP nem kapnak magas szintű jogosultság rendszeren, vagy a tartomány, bár a hitelesítő adatok ellopása más típusú támadások, pl. a titkos információk VIP társadalmilag mérnöki van szükség. Vagy a támadónak először be kell kiváltságos hozzáférést biztosítanak a rendszerhez, mely VIP a hitelesítő adatok kerülnek a gyorsítótárba. Ezért a tevékenységek, amelyek növelik annak valószínűségét, hogy az itt leírt hitelesítő adatok ellopása összpontosítanak elsősorban magas szintű jogosultsággal rendelkező rendszergazdai hitelesítő adatok megszerzésének megakadályozása. Ezek a tevékenységek olyan közös mechanizmusok, amely a támadók behatolhatnak a rendszereket a jogosultsággal rendelkező hitelesítő adatok beszerzése képesek legyenek.

A megfelelő jogosultságokkal rendelkező nem biztonságos számítógépeken történő bejelentkezés

Az alapvető biztonsági rés, amely lehetővé teszi a hitelesítő adatok ellopása támadás sikeréhez az az eljárás, a számítógépek, amelyek nem biztonságos fiókok, amelyek széles körben és mélyen kitüntetett a környezetben való bejelentkezés. A bejelentkezés az itt leírt különböző felderítésére eredménye lehet.

Külön rendszergazdai hitelesítő adatokkal nem fenntartása

Bár viszonylag ritkán, az Active Directory tartományi szolgáltatások különböző létesítmények felmérése, INFORMATIKAI alkalmazottak ugyanazt a fiókot használja a munka összes tapasztaltuk. A fiók tagja az Active Directoryban a magas szintű jogosultsággal rendelkező csoportok közül, és ugyanazt a fiókot, hogy reggel, a munkaállomásokra való bejelentkezés alkalmazottak segítségével ellenőrizze az e-mail, internetes webhelyeket és letölteni a tartalmat a számítógépükre. Fiókok helyi rendszergazdai jogosultsággal felruházott felhasználók futtatni, ha a helyi számítógép biztonságos végrehajtásához szolgáltatnak. Ha ezeket a fiókokat az Active Directory a leginkább kiváltságos csoport tagjai is szerepelnek, szolgáltatnak az egész erdő behatolhatnak, ezáltal a támadó teljes mértékben átveheti az Active Directory és a Windows környezet könnyen trivially.

Hasonlóképpen bizonyos környezetekben is található, hogy ugyanazt a felhasználói nevet és jelszót használják legfelső szintű fiókok nem Windows rendszerű számítógépeken használja a Windows környezetben, amely lehetővé teszi a támadók illetéktelenek tudomására jutása kiterjeszteni a UNIX vagy Linux rendszerek Windows rendszerek és fordítva.

Biztonságos munkaállomáson vagy tagkiszolgálón jogosultsággal rendelkező fiókkal való bejelentkezés

Biztonságos munkaállomáson vagy tagkiszolgálón interaktív bejelentkezéshez egy magas szintű jogosultsággal rendelkező tartományi fiók használata esetén a fertőzött számítógépen minden bejelentkezésekor a rendszer fiók hitelesítő adatokat is betakarítás.

Nem biztonságos felügyeleti munkaállomás

Sok szervezet INFORMATIKAI szakemberek több fiókot használja. Egy számla használatos az alkalmazott munkaállomásra való bejelentkezés, és mivel ezek az INFORMATIKAI szakemberek, gyakran rendelkeznek helyi rendszergazdai jogokkal a munkaállomásokon. Bizonyos esetekben van a felhasználói fiókok Felügyelete engedélyezve van, hogy a felhasználó legalább egy megosztott hozzáférést kap balra bejelentkezéskor token és kell megszerzését, ha a jogosultságok szükségesek. Ezek a felhasználók karbantartási tevékenységeket végez, amikor azok általában helyileg telepített eszközök használata, és a tartomány szintű jogosultsággal rendelkező fiókok kiválasztásával a hitelesítő adatokat kér a Futtatás rendszergazdaként kapcsoló vagy megadásával a hitelesítő adatokat. Bár tűnhet, hogy ez a beállítás megfelelő, mert veszélyeztetheti a környezet teszi lehetővé:

  • A "szabályos" felhasználói fiók, amely az alkalmazott segítségével jelentkezzen be a munkaállomás helyi rendszergazdai jogosultságokkal rendelkezik, a számítógép ki téve a meghajtó letöltés, amelyben a felhasználó a rosszindulatú szoftverek telepítése meggyőződése támadások.

  • A rosszindulatú program telepítve van egy rendszergazdai fiók környezetében, a számítógép már használható rögzíti a billentyűleütéseket, a vágólap tartalmának, pillanatképek és memóriarezidens hitelesítő adatokat, amelyek bármelyike hatékony tartományi fiók hitelesítő adatait az expozíció eredményezhet.

Ebben az esetben a problémák a kétszeres. Először külön számlákat használja a helyi és tartományi felügyeleti, bár a számítógép nem védett, és a számlák lopás ellen nem nyújt védelmet. Másodszor a normál felhasználói fiók és a rendszergazdai fiók biztosított túlzott jogok és engedélyek.

Böngészés az interneten, magas szintű jogosultsággal rendelkező fiók

Felhasználók számára, amelyek a számítógépen a helyi Rendszergazdák csoport tagjai, illetve az Active Directoryban, és akik kiváltságos csoport tagjai fiókokat számítógépekre jelentkeznek be, majd keresse meg az interneten (vagy sérült biztonságú intranetes) teszi ki a helyi számítógép és a könyvtár veszélyeztetheti.

Egy ártó szándékkal létrehozott webhely eléréséhez rendszergazdai jogosultságokkal futtatja a böngészővel lehetővé teheti a támadók rosszindulatú kódot letéti keretén belül a jogosultsággal rendelkező felhasználónak a helyi számítógépen. Ha a felhasználó helyi rendszergazdai jogosultságokkal rendelkezik a számítógépen, támadók előfordulhat, hogy megtévessze a felhasználó pedig letölti a rosszindulatú kódot vagy alkalmazás biztonsági rést kihasználhatja, és kihasználhatja a felhasználó jogosultságainak helyileg kibontásához e-mail mellékletek megnyitása gyorsítótárazott hitelesítő adatokat a számítógép összes aktív felhasználót. Ha a felhasználó rendszergazdai jogosultságokkal rendelkezik, a vállalati rendszergazdák, a Tartománygazdák vagy a rendszergazdák az Active Directory csoportok tagsága által a könyvtárban, a támadó bontsa ki a tartományi hitelesítő adatokat, és segítségével anélkül, hogy az erdőben található többi számítógép veszélyeztetheti a teljes Active Directory-tartomány vagy erdő, veszélyeztetheti.

Az ugyanazon hitelesítő adatokkal rendelkező fiókokkal beállítása helyi privilegizált rendszerek között

Több vagy az összes számítógépek lehetővé teszi a hitelesítő adatok a SAM-adatbázis, a számítógép más ugyanazokat a hitelesítő adatokat használó számítógépek veszélyeztetheti az ellopott konfigurálása az azonos helyi rendszergazdai fiók felhasználónevét és jelszavát. Legalább a keresztül minden egyes tartományhoz rendszert használjon különböző jelszavakat a helyi rendszergazdai fiókok. Helyi rendszergazdai fiókokat is egyedileg nevű, de más jelszót használ minden rendszer védett helyi fiókok elegendő annak biztosítására, hogy a hitelesítő adatok más rendszeren nem használható.

Overpopulation és a korlátozott engedélyekkel rendelkező tartományi csoportok túlfelhasználást

A támadók cél megadása az EA, DA vagy BA csoportok tagjai a tartomány hozza létre. Minél nagyobb a szám az ilyen csoportok tagjai, a nagyobb a valószínűsége a kiváltságos felhasználónak előfordulhat, hogy véletlenül visszaél a hitelesítő adatokat, és használja ezeket a hitelesítő adatok ellopása támadásokat. Minden munkaállomás vagy kiszolgáló, amelyhez jogosultsággal rendelkező tartományi felhasználó bejelentkezik egy lehetséges mechanizmus, amellyel a kiemelt felhasználói hitelesítő adatok betakarított és veszélyeztetheti az Active Directory tartományi szolgáltatások tartományi és erdőszintű jeleníti meg.

Gyengén védett tartományvezérlők

A tartományvezérlők a tartomány Active Directory tartományi szolgáltatások adatbázisnak a kópiáját house. Az adatbázis helyi kópia írásvédett tartományvezérlők a hitelesítő adatok csak a számlák a címtárban, amelyek egyike sem alapértelmezés szerint korlátozott engedélyekkel rendelkező tartományi fiókok egy része tartalmaz. Olvasható és írható tartományvezérlők esetén minden tartományvezérlő az Active Directory tartományi szolgáltatások adatbázist, beleértve a hitelesítő adatokat, például a tartományi rendszergazdák, kiemelt felhasználók nem csak a teljes replikáját tárolja, de magasabb jogosultsági szintű fiókok tartomány tartományvezérlői fiókokat vagy a tartomány Krbtgt fiók a Kerberos-Tartományvezérlő fiók szolgáltatás a tartományvezérlőkön. Ha további alkalmazásokat, amelyek nem szükségesek a tartomány tartományvezérlői funkciók telepítve vannak a tartományvezérlőkön, vagy ha tartományvezérlők nem védelmezik javítottnak, sem pedig, védett támadók keresztül a javítással el nem látott biztonsági rés veszélyezteti őket, vagy azok is kihasználhatja más támadási őket közvetlenül a rosszindulatú szoftver telepítésére.

Jogosultság illetéktelen megszerzését és propagálás

Függetlenül a használt támadási módszerek az Active Directory mindig célpontja, amikor a Windows-környezet elleni támadás esetén, mert végső soron szabályozza a hozzáférést, függetlenül a támadók szeretné. Ez nem jelenti azt, hogy a teljes címtár cél, azonban. Adott számlákhoz, kiszolgálók és infrastruktúra-összetevőkhöz rendszerint a támadások ellen az Active Directory elsődleges célok. Ezek a számlák az alábbiak szerint.

Állandó magasabb jogosultsági szintű fiókok

Mivel az Active Directory bevezetése lehetővé vált használata erősen privilegizált fiókokat az Active Directory-erdő létrehozásához, majd delegált jogait és napi igazgatási kisebb jogosultsági szintű fiókok végrehajtásához szükséges engedélyekkel. Az Active Directoryban a vállalati rendszergazdák, a Tartománygazdák vagy a Rendszergazdák csoportok szükség csak ideiglenesen és ritkán olyan környezetben, amely a legkevésbé illetéktelen megközelítés napi felügyeleti valósítja meg.

Állandó magasabb jogosultsági szintű fiókok olyan fiókok, kiemelt csoportok helyezett, és napról napra ott marad. Ha a szervezet egy tartomány Tartománygazdák csoportjába helyezi el az öt fiók, öt fiókok lehet célzott 24 órás napi, heti hét napon. Tartománygazdák jogosultsággal rendelkező fiókokat használ tényleges kell azonban általában csak az adott tartományi szintű konfigurációs és rövid ideig.

VIP számlák

Egy gyakran overlooked az Active Directory megsértése célja a "nagyon fontos személyek" (vagy VIP) számlák a szervezet. Magasabb jogosultsági szintű fiókok célzott mert fiókok hozzáférési jogot a támadók, amely lehetővé teszi számukra behatolhatnak, vagy még a célzott rendszerek megsemmisíteni az e szakaszban ismertetett módon.

"Jogosultság csatolt" Active Directory-fiókok

Active Directory-fiókok "Jogosultság csatolt" olyan tartományi fiókok, hogy nem történt a legmagasabb szintű jogosultsággal az Active Directoryban, de ehelyett kaptak jogosultság sok kiszolgálókon és munkaállomásokon a környezet magas szintű csoportok tagjai. Ezek a fiókok alkotják a legtöbb gyakran tartományi fiókok, amelyek szolgáltatásokat futtatnak a tartományhoz csatlakoztatott rendszerek általában nagy részének az infrastruktúra futó alkalmazások számára. Bár ezek a számlák jogosultság nem az Active Directory címtárban, amennyiben nagy számú rendszerek magas jogosultsággal rendelkezik, azok behatolhatnak, vagy még megsemmisíteni az infrastruktúra megvalósítása ugyanolyan hatású, mint a magasabb szintű rendszerjogosultságokkal futó Active Directory fiók biztonsága sérült nagy része használható.

© 2017 Microsoft