saugumas „microsoft active directory aplinkoje · • jokių tinklo katalogų darbo vietose - tik...

bluebridge.lt | 2018-05-10

Saugumas „Microsoft Active Directory“

aplinkoje

KĘSTUTIS MEŠKONIS

Vyr. sistemų inžinierius-konsultantas

Negalime būti tikri dėl saugumo produkto kokybės

Fake Security

2Nuotraukos: www.fakesecurity.com

• 90% pelningiausių 1000 kompanijų

naudoja AD (2014)

• Lietuvoje beveik visi

• AD pirmas APT taikinys po

nusileidimo

AD jungtuvės

3bluebridge.lt

• Slaptažodžiai saugomi silpname NTLM hash formate

• PTH – Pass-the-hash ataka

• RDP sesijų užgrobimas

• Slaptažodžių saugojimas atviru tekstu atmintyje (a.k.a Mimikatz)

• Silpna slaptažodžių politika

• Kiti

Nuo versijos nepriklausomi AD trūkumai

AD nesaugi pagal nutylėjimą!

4bluebridge.lt

• Katalogų tarnyba (LDAP)

• Centralizuotas resursų valdymas***

• Centralizuotas saugumo valdymas

• Centralizuotas autentifikavimas

• PKI – (sertifikatas vs. slaptažodis?)

• SSO

Kas yra AD – Active Directory

5bluebridge.lt

AD

kompiuteriai

serveriai

vartotojai

aplikacijos

• VPN prieiga

• WiFi prieiga

• Saugumo/tinklo įrangos administravimas

• Intranetai/Ekstranetai

• MSSQL

• Klientų valdymo/finansų sistemos (CRM/Navision)

• E-paštas (Exchange/Zimbra/OWA)

• Komunikacija (Lync, Skype4Business, Teams)

• Slaptažodžių spintos

SSO – Single Sign On problematika

6bluebridge.lt

Horizontalusis judėjimas

7bluebridge.lt

NE AD (tinkloskenavimai)

AD žvalgyba

• Lėtas (žingsnis po žingsnio)

• Triukšmingas (skenavimai, exploit’ai)

• Sunkus (segmentavimas, atnaujinimai, 0-day)

• Pasipriešinimas (NGFW, IPS, atnaujinimai, anti-exploit, WAF)

Horizontalusis judėjimas

8bluebridge.lt

NE AD (tinkloskenavimai)

Horizontalusis judėjimas

9bluebridge.lt

• Informacijos lobynas (įskaitant asmens duomenis)

• Greitas užvaldymas

• Plataus masto užvaldymas

• Aukštomis teisėmis užvaldymas

• Ilgalaikis įsitvirtinimas

• Nematomas

AD žvalgyba

10

Privilegijų eskalavimo schema AD aplinkoje

bluebridge.lt

Domeno administratorius

Lokalus administratorius

Domenovartotojas

Jokių

11

Žaidimo pabaiga audito metu

bluebridge.lt

12

“Žaidimo pabaiga” (aut. ransomware)

bluebridge.lt

13

“Žaidimo pabaiga” (aut. ransomworm)

bluebridge.lt

• DOMAIN ADMINS

• ENTERPISE ADMINS

• SERVER ADMINS

• BACKUP ADMINS

• Kitos privilegijuotos grupės

Ne tik Domeno Administratoriai svarbūs

14bluebridge.lt

15bluebridge.lt

Dažniausios klaidos, lemiančios AD užvaldymą

“Valytojos scenarijus”

“Atakuotojas internete”

Privilegijų eskalavimo schema

16bluebridge.lt

Jokių

17bluebridge.lt

Nr. 0 Spear-Phishing

18

Slaptažodžių žvejyba

bluebridge.lt

• E-pašto techninės kontrolė: DMARC

• “Išorinis” laiškas

• Iškirpti “href=” nuorodas iš laiškų ir dokumentų turinio

• Blokuoti web kreipinius į neklasifikuotus domenus

• Nuolatinės vidinės „phishing“ treniruotės darbuotojams

• Budrumo programa organizacijoje (įskiepis į pašto klientus)

Rekomendacijos

Slaptažodžių žvejyba

19bluebridge.lt

20bluebridge.lt

Nr. 1 Nepašalintipažeidžiamumai domeno

mašinose

MS-17-010 MS-17-010 MS-17-010

21bluebridge.lt

MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010

22

MS-17-010 MS-17-010 MS-17-010

bluebridge.lt

• Įdiegti atnaujinimą KB-4013389

• Išjungti SMBv1 palaikymą domeno mastu

• Naudoti SMB Signing domeno mastu

• Blokuoti SMB tarnybų pasiekiamumą lokalių ugniasienių pagalba KDV, debesų kompiuteriuose

• Išimtys “mažiausių privilegijų” principu

Rekomendacijos

MS-17-010 MS-17-010 MS-17-010

23bluebridge.lt

24bluebridge.lt

Nr. 2 Silpna AD slaptažodžių politika

MAXIMUM PASSWORD AGE

PASSWORD NEVER EXPIRES (“ATGALINĖS DURYS!”)

Kur dažniausiai naudojama:

• Domeno administratoriai

• Domeno vartotojų išimtys

Galiojimas

Slaptažodžių politika

25bluebridge.lt

MINIMUM PASSWORD LENGTH

8? (nuo 40 iki 65% procentų slaptažodžių parenkama)

12? (vidutinis žodyno pagalba parinkto slaptažodžio ilgis ~12,4 simbolio)

16?

ILGIS ar KOMPLEKSIŠKUMAS?

Ilgėjant slaptažodžiui, greičiau didėja jo entropija (ilgėja nulaužimo laikas)!

Ilgis

Slaptažodžių politika

26bluebridge.lt

PASSWORDS MUST MEET COMPLEXITY REQUIREMENTS

• Ar vartotojo vardas sutampa su slaptažodžiu?

• “The password contains characters from three of

the following categories”

Slaptažodis:: password

Slaptažodis:: Password

Slaptažodis:: Password1

Slaptažodis:: Password2

Slaptažodis:: Password3 (sėkmingai parinktas!)

Rekomendacijos:

• griežtinti politiką (ypač ilgį, ne kompleksiškumą)

• mokyti naudotojus

• audituoti

Kompleksiškumas

Slaptažodžių politika

27bluebridge.lt

Slaptažodis:: pasibaigesslaptazodis

Slaptažodis:: betkoKsnaujas1

Slaptažodis:: darkaZinkoks2

Slaptažodis:: treciasSnaujas3

Slaptažodis:: 4asnaujaspwd4

Slaptažodis:: Pas&swor55d5

Slaptažodis:: pasibaigesslaptazodis

ENFORCE PASSWORD HISTORY

Rotavimas

Slaptažodis:: Password100

Slaptažodis:: Password101

Slaptažodis:: Password102

Slaptažodis:: Password103

Slaptažodis:: Password99

Slaptažodis:: Password98

MINIMUM PASSWORD AGE - Išjungtas pagal

nutylėjimą!!!

28

Slaptažodžių politika

bluebridge.lt

ACCOUNT LOCKOUT THRESHOLD (kiek galima suklysti 5-10 bandymų)

RESET ACCOUNT LOCKOUT COUNTER AFTER (stebėjimo langas 30 min)

ACCOUNT LOCKOUT DURATION (automatinis atsiblokavimas 30 min)

Apėjimas: “Password Spraying” a.k.a. “gentle bruteforce”

Paskyrų auto-blokavimas

Slaptažodžių politika

29bluebridge.lt

• “Account lockout duration=0”

• “Reset account lockout counter after=0”

• ”Account lockout threshold=5-10”

• Slaptažodžių atstatymui naudoti “Help Desk” su papildomu identifikavimu arba “Self Password

Recovery” sprendimus

• SIEM pagalba stebėti sėkmingus ir nesėkmingus prisijungimus ir “password spray” atakas

Rekomendacijos

Slaptažodžių politika

30bluebridge.lt

31bluebridge.lt

Nr. 3 Netaikoma/skirtinga AD slaptažodžių politika

• TOP-25

• Žodynas

• Brutuali jėga

Slaptažodžių atakos

Netaikoma, skirtinga AD slaptažodžių politika

32bluebridge.lt

33bluebridge.lt

Nr. 4 Tinklo katalogai su jautria informacija

Teisės:

• “Read”!!!

Grupės:

• “Authenticated Users”

• “Everyone”

Blogai sukonfigūruota katalogų prieiga

Tinklo katalogai su jautria informacija

34bluebridge.lt

• passwords.txt (???)

• IS schemos, dokumentacija (ir slaptažodžiai viduje!!!)

• Išeities kodai (ir slaptažodžiai viduje!!!)

• Log bylos (ir slaptažodžiai viduje!!!)

• Asmens duomenys (GDPR pažeidimas!!!)

• Kažkas dar neatrasta (ir slaptažodžiai viduje!!!)

Atradimai tinklo kataloguose

Tinklo katalogai su jautria informacija

35bluebridge.lt

Teisės:

• “Write”

• “Full Control”

Grupės:

• “Authenticated Users”

• “Everyone”

Blogai sukonfigūruota katalogų prieiga

Tinklo katalogai su jautria informacija

36bluebridge.lt

• Jokių tinklo katalogų darbo vietose - tik serveriuose

• Katalogų teisės ”mažiausių privilegijų” principu

• Centralizuotas bylų dalinimosi sprendimas (owncloud, sharepoint ir kt.)

• Schemos ir dokumentacijos tik valdymo segmente, valdymo mašinose ir šifruotos NE AD

priemonėmis

• Development, testinės ir gamybinės aplinkos atskirtos nuo tinklo segmentavimo iki AD

• Debug informaciją išvesti į atskirą serverį, kuris sunaikinamas, kai nebereikalingas (reikalingas

procesas)

Rekomendacijos

Tinklo katalogai su jautria informacija

37bluebridge.lt

38bluebridge.lt

Nr. 5 LLMNR ir NBT-NS užklausų nuodijimas

Atakos schema

LLMNR ir NBT-NS užklausų nuodijimas

39bluebridge.lt

• SMB-Relay – atakos variacija PTH ir “žmogus viduryje” stiliumi

Perimtos NTLM challenge/response HASH reikšmės

LLMNR ir NBT-NS užklausų nuodijimas

40bluebridge.lt

• Išjunkite LLMNR ir NBT-NS protokolus domeno mastu

• SMB signing įjunkite domeno mastu

• Naudokite stiprią slaptažodžių politiką

• Nedirbkite domeno ir lokalių administratorių teisėmis

• Izoliuokite kompiuterines darbo vietas vieną nuo kitos (bendrinė L2 atakų apsauga, prieš ARP

nuodijimą, VLAN šokinėjimą ir kt.)

Rekomendacijos

LLMNR ir NBT-NS užklausų nuodijimas

41bluebridge.lt

KLIENTŲ IZOLIACIJA: STOP L2 ATAKOMS!

LLMNR ir NBT-NS užklausų nuodijimas

42

43bluebridge.lt

Nr. 6 Wi-Fi su PEAP

Atakos schema

Wi-Fi su PEAP

44bluebridge.lt

Perimtos NTLM challenge/response HASH reikšmės

Wi-Fi su PEAP

45bluebridge.lt

• Wi-Fi klientų autentifikavimui naudokite klientų sertifikatus (EAP-TLS)

• Naudokite stiprią slaptažodžių politiką (PEAP atveju)

• Uždrauskite GPO pagalba „Ad-Hoc“ sujungimus

• GPO pagalba kontroliuokite leidžiamų prisijungti SSID sąrašą

PASTABA: Nepamirškite sertifikatas galioja ilgiau nei slaptažodis!!!

AD rekomendacijos

Wi-Fi su PEAP

46bluebridge.lt

• Naudokite Wi-Fi klientų izoliaciją

• Apsaugokite Wi-Fi administravimo prieigą (MFA, segmentacija)

• Apsaugokite sertifikatų ir privačių raktų eksportavimą atskiru slaptažodžiu

• „FAST Reconnect“ Wi-Fi nustatymas

PASTABA: Atsargiai su visiškai savarankišku vartotojų „self-provisioning“!!!

Bendras Wi-Fi saugumo lygis = Sertifikatai + AD kredencialai = AD kredencialai

Wi-Fi rekomendacijos

Wi-Fi su PEAP

47bluebridge.lt

“Organizacijos darbuotojo scenarijus”

“Išorinio atakuotojo scenarijus”

Privilegijų eskalavimo schema

48bluebridge.lt

Jokių

Domenovartotojas

49bluebridge.lt

Nr. 7 Slaptažodžiai skriptuose

• LogOn/LogOff skriptai

• *.vbs

• *.ps1

• Konfigūracijos bylos

• Windows registrai

• Komentarai

Kur ieškoti?

Slaptažodžiai skriptuose

50bluebridge.lt

51bluebridge.lt

Nr. 8 Domeno vartotojai turi aukštesnes teises

• Domeno administratorius

• Lokalus administratorius

• Deleguotų privilegijuotų grupių teisės

• SSO

Teisės

Domeno vartotojai turi aukštesnes teises

52bluebridge.lt

Rekomendacijos

• Administravimui ir kasdienėms veikloms naudokite skirtingas paskyras

• Paskyrų vardai neturėtų identifikuoti administratorių, idealiu atveju naudotojų

• Teises suteikite vartotojui, ne grupei (pamenate mažiausių privilegijų principas)

• SSO atveju naudokite 2FA kitų sistemų administravimui (VPN, ugniasienės ir t.t.)

53bluebridge.lt

Nr. 9 GPP Passwords –slaptažodžiai grupių politikų

nuostatose

Rekomendacijos:

• MS14-025 atnaujinimas pašalina šią galimybę

• Po atnaujinimo įdiegimo senus įrašus būtina pašalinti!!!

“findstr /S cpassword \\DC\sysvol\*.xml”

GPP – Group policy preferences

54bluebridge.lt

55bluebridge.lt

Nr. 10 Lokalūs pažeidžiamumai

• Windows pažeidžiamumai (SYSTEM)

• Microsoft ir trečių šalių pažeidžiamumai (SYSTEM)

• Konfigūracijos klaidos (SYSTEM)

Rekomendacijos

• Prioritetizuoti atnaujinimus

• Sistemų stiprinimas

• AV

Lokalūs pažeidžiamumai

56bluebridge.lt

Privilegijų eskalavimo schema

57bluebridge.lt

Jokių

Domenovartotojas

Lokalus administratorius

58bluebridge.lt

Nr. 11 Vienodas lokalaus administratoriaus slaptažodis

Populiariausia horizontalaus judėjimo technika!

Vienodas lokalaus administratoriaus slaptažodis

59bluebridge.lt

Prisijungimas:

• Atviru slaptažodžiu

• HASH reikšme (PTH ataka)

Rekomendacijos:

• Nemokamas MS LAPS lokalių slaptažodžių valdymui

• Komerciniai slaptažodžių valdymo sprendimai (CyberArk, Thycotic, kiti)

LOCALADMIN

Vienodas lokalaus administratoriaus slaptažodis

60bluebridge.lt

61bluebridge.lt

Nr. 12 Slaptažodžių pernaudojimas

sauliusk – $7r0ngP455w0rd <- domeno vartotojas

sauliusk_adm - ????????? <- domeno administratorius

Rekomendacijos:

• AD priemonės neleidžia kontroliuoti vienodų slaptažodžių (būtų pažeidžiamumas)

• Naudokite skirtingus slaptažodžius skirtingiems vartotojams

• Audituokite slaptažodžius (ieškokite vienodų NTLM HASH reikšmių)

• Pasitikėkite technologijomis, ne žmonių asmenine atsakomybe

62bluebridge.lt

Slaptažodžių pernaudojimas

63bluebridge.lt

Nr. 13 Domeno administratorių medžioklė

• AD mums pasakys, kur ir kokie administratoriai prisijungę!

Atakos:

• Mimikatz ataka

• RDP sesijos perėmimas

• Token žymų manipuliavimas

Rekomendacijos:

• Išjunkite prisijungimo duomenų kešavimą

• CyberArk Endpoint Credential Manager

• Stebėkite SIEM pagalba AD

Pagrindiniai būdai

Domeno administratorių medžioklė

64bluebridge.lt

• DMARC

• Sustiprinkite AD slaptažodžių politiką

• MS-17-010 atsikratykite pažeidžiamumo

• Išjunkite LLMNR ir NBT-NS

• Revizuokite administratorių ir privilegijuotų vartotojų sąrašus

• Išjunkite SMBv1

• Įsidiekite MS LAPS serveriams ir KDV

• Stebėkite AD įvykius centralizuotai

• Mažiausiai dukart metuose keiskite KRBTGT vartotojo slaptažodį

• Išjunkite POWERSHELL (esant galimybei)

Rekomendacijos

Kai grįšite į ofisą … AD TO DO LIST

65bluebridge.lt

Ačiū už dėmesį

66bluebridge.lt