SolarWinds / Solorigate袭击使用了一些有关方法。其中一个被叫做金色的SAML攻击过程。安全断言标记语言(SAML)允许受信任方之间的身份验证和授权信息的交换。金色的SAML技术允许攻击者产生自己的SAML响应获取或控制。要做到这一点,他们必须首先获得特权访问网络访问证书用于签名SAML对象。
你有几个意味着与微软的Active Directory(广告)来识别和其他技术用于SolarWinds攻击和防止发生。公司如Trimarc安全释放PowerShell脚本分析和审查你的广告的基础设施。他们提供了一个脚本的简单单一的广告环境中执行审查过程。脚本在广告领域寻找关键问题可能会限制或减少公司的安全状况。这就是你应该复习,即使你不使用一个脚本。
用户帐户设置
第一个问题涉及到用户帐户。脚本评审不活跃的账户没有改变或登录。脚本执行额外的评论与Kerberos的设置包括检查帐户配置为不需要Kerberos pre-authentication,已知攻击者利用此设置。
这种攻击称为AS-REP烤。作为认证过程的一部分,有一个没有密码初始请求进行身份验证。攻击者可以发送一个假像req(身份验证服务器请求),和密钥分发中心将立即发送回票据授予票(TGT)以及额外的数据加密和用户的密码键哈希。攻击者可以获得这个哈希和离线破解它。尽管微软添加Kerberos 5中的控制,你还可以设置配置错误。
域密码策略
接下来脚本评审域密码策略。密码喷雾攻击是有效对抗广告如果使用弱密码,所以确保一个适当的密码策略已经实现。Trimarc建议你设置一个密码策略与不少于12个字符,最好是16字符或更多。当你选择一个长密码策略,确保政策适用于所有应用程序域。任何应用程序要求使用弱密码策略应该追究升级和或删除从您的网络,因为它削弱你的安全姿势。
活动目录备份策略
一些公司不备份域控制器,而是依靠安装新域控制器和复制。因为的影响ransomware网络,这个政策可能是危险的,可能会让公司面临风险。审查是否广告备份。如果你使用微软支持的备份过程,它设置一个标志或属性来确定上次备份日期。如果你不执行一个系统状态备份,你不是正常备份你的广告结构。Trimarc建议您运行一个系统状态备份包括灵活单主机操作(FSMO)至少每月一次,让他们存档至少六个月。
老组策略偏好凭证
组策略偏好于2008年首次发布,允许管理员更新并提供凭证。因为这些凭证使用AE256加密,可以使用PowerShell函数反向明文的加密和获得价值。虽然有一个补丁增加保护,防止使用组策略偏好旧密码如果你有一个足够的领域,你可能无意中存储凭证价值。攻击者将审查您的域为这些剩下的密码和使用它们来攻击你的领域。
域管理员权限和政策
确保你发现任何用户域管理员或有同等的权利。然后检查他们提供额外的安全问题。改变这些帐户的密码定期和添加双因素身份验证(2 fa)给他们。你可能需要第三方软件添加2足总管理员账户。
域服务帐户是KRBTGT帐户,这通常是禁用的。它用于格兰特Kerberos票据或生成金票。攻击者了解域服务帐户的密码可以创建金票。作为主教法冠指出,这种攻击序列可以让对手在活动目录中生成验证材料的任何帐户。更改这个密码在任何广告管理员离开后至少一年两次如果你遵循美国国防部的指导方针。
无约束Kerboros代表团
Kerberos”双跳”问题是一个古老的攻击方法。Kerberos使用双跳来维护客户的Kerberos身份验证凭证通过两个或两个以上的连接。审计和评估对于无约束的Kerberos代表团,并确保这是只用于非常孤立的情况或不。如果不受约束的Kerberos代表团类型使用时在web配置,它允许模拟的用户连接到任何Kerberos服务,不只是对任何特定的服务。
相关的组策略对象
组策略是强大和攻击者知道。组策略对象所有者可能有能力改变权限,他们不应该。连接时要小心gpo域根和域控制器的组织单元。这些业主应限于域管理员或企业管理员。
域控制器修补水平
修补的域控制器进行审核,以确保它们是适合您的网络。你不应该有域控制器运行旧的或过时的操作系统。它不仅使贵公司安全风险,它还阻止你使用新的身份验证过程,依靠现代操作系统。所有域控制器应该至少运行Windows Server 2012 R2。
回顾你迁移到Windows Server 2016的能力或最好是Windows Server 2019和你的域基础设施作为最新的操作系统上运行。保持每月修补合理的当前状态。Server 2019也会把你的网络有发动各种安全风险问题。
