从Active Directory事件中检测,恢复和还原


自20年前介绍以来,Active Directory已成为许多企业最关键的应用。问题是,在释放后的二十年中,企业安全威胁景观已急剧发生变化,企业尚未调整其Active Directory环境以满足这些新的安全需求。委派已被偶然处理,并针对Discovery进行了优化对象的默认权限,而不是安全性。此外,近年来,攻击者已经变得更加复杂 - 它不仅仅是妥协的单一系统,它是关于找到更快的路径来损害整个企业。

As part of our RSA Conference coverage, 华晨安全杂志sat down with 米奇布雷斯曼,首席执行官 semperis.,了解他对当前广告保护状态的看法。他给了我们一些令人兴奋的见解,并概述了保护广告免受当今威胁的可能性。 

Semplis是一家企业身份保护公司,其使命是使组织能够从损害Active Directory的灾难中恢复。无论是偶然还是恶意,无论是本地和云,Semplis目录服务保护平台™都提供了自动还原整个Active Directory林的功能,并快速恢复数千个对象并立即恢复到以前的Active Directory状态。 

为了强调受保护域控制器的危急性质,米奇在历史中最毁灭性的网络角质周围的一些细节–没有足够的Maersk。 Maersk恢复的关键正在尝试恢复其域控制器。这么九天就花了九天,然后只救了这一天。 

在这次活动的优秀覆盖范围内, 有线 说:“在一个疯狂的搜索之后需要在世界各地的数据中心呼叫数百名管理员后,Maersk的绝望管理员终于在加纳的遥控办公室中找到了一个孤独的幸存域控制器。在Notpetya击中之前的某些地点,一个停电已经击倒了加纳机离线,并且计算机仍然与网络断开连接。因此,由于停电,因此包含了由恶意软件的域控制器数据的单数已知的副本。“

米奇维护,随着Semperis今天部署的技术,这种恢复可能发生在几个小时内,而不是几天。 

成立于2014年,总部位于世界贸易中心附近的纽约市,大约50人在世界各地为Semperis工作。除了米奇之外,Semplis还有很好的财富来组装许多人会考虑全明星科技专家团队。只有一些行业值得帮助SETEER SEMPLIS包括:

如果您有兴趣使用Semperis和这些行业领导者,米奇表示,他们正在积极寻找额外的才能,并敦促有关缔约方伸出援手。

攻击者可以用于渗透和危及Active Directory的工具包括:

  • 由此描述 GitHub. 作为“使用Windows安全性的小工具,” Mimikatz. 可能是最广泛使用的广告剥削工具和最通用的。 CSO 将其描述为“将密码从内存中转储密码,以及哈希票和kerberos票证的”领先的开发后工具。其他有用的攻击它是通过 - 哈希,传票或票据的推出或建立金色Kerberos票。该工具在网络中易于攻击者的开发后横向运动。“
  • PowerSploit. 是一种基于PowerShell的工具包,用于侦察,exfiltration和持久性。
  • 血腥 使用图论在Active Directory环境中揭示隐藏和经常意外的关系。攻击可以使用血迹来快速识别高度复杂的攻击路径,否则无法快速识别。
  • 死星 展示如何使用从Bloodhound和其他工具中收集的信息来自动化域管理员(或类似)的提升。

MICKEY和SEMPLIS提供以下内容以使攻击者围绕Active Directory移动。

  • 通过特权广告用户和组和GPO来减少信息敞口。约束凭据在Win10 Pro中使用内置技术(如凭据后卫和远程凭据Guard)& Enterprise/2016.
  • 使用Active Directory审核工具监视您的IT环境。 
  • Harden特权组:成员属性不应该是世界可读的。全控制或写入本集团的成员属性的委托应仅限于同一或更高权限层的其他特权用户。
  • Harden特权用户:重置密码,获取所有权或完全控制权限应将其他用户紧密控制到同一特权层的其他用户。
  • Harden GPO:GPOS授予特权访问的GPO不应该是世界可读的,并且应在读取中限制包含安全设置的GPO。
  • 考虑使用Microsoft的Pass-The-Hash白皮书中呈现的分层管理模型来限制凭据。

在Darren Mar-Elia的博客文章中,他说:“在采取这些预防措施的同时,攻击者妥协措施更难,一旦攻击者隐藏在您的环境中,就无法阻止它们攻击Active Directory并擦除你的环境。这就是为什么实现灾难恢复解决方案是您可以采取的最关键步骤来保护Active Directory。 Semplis'Active Directory状态管理器会让您可以看到对您的广告发生的更改,以便您可以更快地在目录中发现可疑活动,并且全自动的Active Directory森林恢复解决方案使从广告攻击中恢复为三个鼠标点击,减少时间从几周到几小时恢复。凭借攻击广告的所有新技术,如果有人攻击您的Active Directory环境并开始准备您的广告灾难恢复计划,则停止思考您会做的事情是时候了。“


STEVEN Bowcut,CPP,PSP是一个屡获殊荣的新闻工作者,涵盖网络和物理安全。他是一家华晨安全杂志的编辑和作家,以及其他安全和非安全在线出版物。跟随和连接史蒂夫 推特, Facebook, Instagram., 和 linkedin.