Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Stöld av autentiseringsuppgifter är sådana där en angripare ursprungligen får högsta behörighet (rot, administratör eller SYSTEM, beroende på vilket operativsystem som används) åtkomst till en dator i ett nätverk och sedan använder fritt tillgängliga verktyg för att extrahera autentiseringsuppgifter från sessioner för andra inloggade konton. Beroende på systemkonfigurationen kan dessa autentiseringsuppgifter extraheras i form av hashar, biljetter eller till och med lösenord i klartext. Om någon av de skördade autentiseringsuppgifterna är för lokala konton som sannolikt finns på andra datorer i nätverket (till exempel administratörskonton i Windows eller rotkonton i OSX, UNIX eller Linux) presenterar angriparen autentiseringsuppgifterna för andra datorer i nätverket för att sprida intrång till ytterligare datorer och försöka hämta autentiseringsuppgifterna för två specifika typer av konton:
Privilegierade domänkonton med både breda och djupa behörigheter (det vill: konton som har behörighet på administratörsnivå på många datorer och i Active Directory). Dessa konton kanske inte är medlemmar i någon av de högsta privilegierade grupperna i Active Directory, men de kan ha beviljats behörighet på administratörsnivå för många servrar och arbetsstationer i domänen eller skogen, vilket gör dem effektivt lika kraftfulla som medlemmar i privilegierade grupper i Active Directory. I de flesta fall är konton som har beviljats höga behörighetsnivåer i stora delar av Windows-infrastrukturen tjänstkonton, så tjänstkonton bör alltid utvärderas för bredd och djup behörighet.
Domänkonton för "Mycket viktig person" (VIP). I det här dokumentet är ett VIP-konto ett konto som har åtkomst till information som en angripare vill ha (immateriella rättigheter och annan känslig information) eller ett konto som kan användas för att ge angriparen åtkomst till den informationen. Exempel på dessa användarkonton är:
Chefer vars konton har åtkomst till känslig företagsinformation
Konton för supportpersonal som ansvarar för att underhålla datorer och program som används av chefer
Konton för juridisk personal som har åtkomst till en organisations bud- och kontraktsdokument, oavsett om dokumenten är för deras egen organisation eller klientorganisationer
Produktplanerare som har tillgång till planer och specifikationer för produkter i ett företags utvecklingspipeline, oavsett vilka typer av produkter företaget tillverkar
Forskare vars konton används för att komma åt studiedata, produktformuleringar eller annan forskning av intresse för en angripare
Eftersom konton med hög behörighet i Active Directory kan användas för att sprida kompromisser och manipulera VIP-konton eller data som de kan komma åt, är de mest användbara kontona för stöld av autentiseringsuppgifter konton som är medlemmar i företagsadministratörer, domänadministratörer och administratörer i Active Directory.
Eftersom domänkontrollanter är lagringsplatser för AD DS-databasen och har fullständig åtkomst till all data i Active Directory, är de också mål för säkerhetsintrång, antingen parallellt med attacker för stöld av autentiseringsuppgifter eller efter att ett eller flera mycket privilegierade Active Directory-konton har komprometterats. Även om många publikationer (och många angripare) fokuserar på medlemskap i gruppen Domänadministratörer när de beskriver pass-the-hash-attacker och andra stölder av autentiseringsuppgifter (som beskrivs i Reduce the Active Directory Attack Surface), kan ett konto som är medlem i någon av grupperna som anges här användas för att kompromettera hela AD DS-installationen.
Note
Omfattande information om pass-the-hash- och andra stöldattacker för autentiseringsuppgifter finns i vitboken Mitigating Pass-the-Hash (PTH) och Other Credential Theft Techniques som anges i bilaga M: Dokumentlänkar och rekommenderad läsning. För mer information om attacker utförda av beslutsamma angripare, som ibland kallas "avancerade ihållande hot" (APT), se Beslutsamma angripare och riktade attacker.
Aktiviteter som ökar sannolikheten för kompromisser
Eftersom målet för stöld av autentiseringsuppgifter vanligtvis är mycket privilegierade domänkonton och VIP-konton är det viktigt för administratörer att vara medvetna om aktiviteter som ökar sannolikheten för att en stöld av autentiseringsuppgifter lyckas. Även om angripare också riktar in sig på VIP-konton, om VIP inte får höga privilegier på system eller i domänen, kräver stöld av deras autentiseringsuppgifter andra typer av attacker, till exempel att socialt konstruera VIP för att tillhandahålla hemlig information. Eller så måste angriparen först få privilegierad åtkomst till ett system där VIP-autentiseringsuppgifter cachelagras. Därför fokuserar aktiviteter som ökar sannolikheten för stöld av autentiseringsuppgifter som beskrivs här främst på att förhindra förvärv av mycket privilegierade administrativa autentiseringsuppgifter. Dessa aktiviteter är vanliga mekanismer där angripare kan kompromettera system för att få privilegierade autentiseringsuppgifter.
Logga in på oskyddade datorer med privilegierade konton
Den viktigaste säkerhetsrisken som gör att stöld av autentiseringsuppgifter kan lyckas är att logga in på datorer som inte är säkra med konton som är allmänt och djupt privilegierade i hela miljön. Dessa inloggningar kan bero på olika felkonfigurationer som beskrivs här.
Behåller inte separata administrativa autentiseringsuppgifter
Även om detta är relativt ovanligt har vi vid bedömningen av olika AD DS-installationer hittat IT-anställda som använder ett enda konto för allt sitt arbete. Kontot är medlem i minst en av de mest privilegierade grupperna i Active Directory och är samma konto som de anställda använder för att logga in på sina arbetsstationer på morgonen, kontrollera deras e-post, bläddra på Webbplatser och ladda ned innehåll till sina datorer. När användare kör med konton som har beviljats lokala administratörsrättigheter och behörigheter, utsätter de den lokala datorn för fullständig kompromettering. När dessa konton också är medlemmar i de mest privilegierade grupperna i Active Directory utsätter de hela skogen för kompromisser, vilket gör det enkelt för en angripare att få fullständig kontroll över Active Directory- och Windows-miljön.
På samma sätt har vi i vissa miljöer upptäckt att samma användarnamn och lösenord används för rotkonton på datorer som inte är Windows-datorer som används i Windows-miljön, vilket gör att angripare kan utöka kompromisser från UNIX- eller Linux-system till Windows-system och vice versa.
Inloggningar till komprometterade arbetsstationer eller medlemsservrar med privilegierade konton
När ett högprivilegierat domänkonto används för att logga in interaktivt på en komprometterad arbetsstation eller medlemsserver kan den komprometterade datorn hämta autentiseringsuppgifter från alla konton som loggar in på systemet.
Oskyddade administrativa arbetsstationer
I många organisationer använder IT-personal flera konton. Ett konto används för inloggning till den anställdes arbetsstation, och eftersom dessa är IT-personal har de ofta lokala administratörsrättigheter på sina arbetsstationer. I vissa fall är UAC aktiverat så att användaren åtminstone får en delad åtkomsttoken vid inloggning och måste höja när behörigheter krävs. När dessa användare utför underhållsaktiviteter använder de vanligtvis lokalt installerade hanteringsverktyg och anger autentiseringsuppgifterna för sina domänprivilegerade konton genom att välja alternativet Kör som administratör eller genom att ange autentiseringsuppgifterna när de uppmanas till det. Även om den här konfigurationen kan verka lämplig kan den göra miljön komprometterad eftersom:
- Det "vanliga" användarkonto som den anställde använder för att logga in på sin arbetsstation har lokal administratörsbehörighet. Datorn är sårbar för drive-by-nedladdningsattacker där användaren blir övertygad om att installera skadlig programvara.
- Den skadliga koden installeras i kontexten av ett administrativt konto, datorn kan nu användas för att samla in tangenttryckningar, urklippsinnehåll, skärmbilder och minnesresiderande autentiseringsuppgifter, vilket kan leda till exponering av autentiseringsuppgifterna för ett kraftfullt domänkonto.
Problemen i det här scenariot är dubbelsidiga. För det första, även om separata konton används för lokal administration och domänadministration, är datorn oskyddad och skyddar inte kontona mot stöld. För det andra har det vanliga användarkontot och det administrativa kontot beviljats orimliga rättigheter och behörigheter.
Surfa på Internet med ett konto med hög privilegier
Användare som loggar in på datorer med konton som är medlemmar i den lokala gruppen Administratörer på datorn eller medlemmar i privilegierade grupper i Active Directory och som sedan bläddrar på Internet (eller ett komprometterat intranät) gör den lokala datorn och katalogen komprometterade.
Åtkomst till en skadligt utformad webbplats med en webbläsare som körs med administratörsbehörighet kan göra det möjligt för en angripare att sätta in skadlig kod på den lokala datorn i kontexten för den privilegierade användaren. Om användaren har lokal administratörsbehörighet på datorn kan angripare lura användaren att ladda ned skadlig kod eller öppna e-postbilagor som utnyttjar programsårbarheter och utnyttja användarens behörigheter för att extrahera lokalt cachelagrade autentiseringsuppgifter för alla aktiva användare på datorn. Om användaren har administrativa rättigheter i katalogen efter medlemskap i grupperna Företagsadministratörer, Domänadministratörer eller Administratörer i Active Directory kan angriparen extrahera domänautentiseringsuppgifterna och använda dem för att kompromettera hela AD DS-domänen eller skogen, utan att behöva kompromettera någon annan dator i skogen.
Konfigurera lokala privilegierade konton med samma autentiseringsuppgifter mellan system
Om du konfigurerar samma lokala administratörskontonamn och lösenord på många eller alla datorer kan autentiseringsuppgifter som stulits från SAM-databasen på en dator användas för att kompromettera alla andra datorer som använder samma autentiseringsuppgifter. Du bör åtminstone använda olika lösenord för lokala administratörskonton i varje domänanslutet system. Lokala administratörskonton kan också namnges unikt, men att använda olika lösenord för varje systems privilegierade lokala konton räcker för att säkerställa att autentiseringsuppgifterna inte kan användas i andra system.
Överbefolkning och överanvändning av privilegierade domängrupper
Om du beviljar medlemskap i EA-, DA- eller BA-grupper i en domän skapas ett mål för angripare. Ju fler medlemmar i dessa grupper, desto större är sannolikheten för att en privilegierad användare oavsiktligt missbrukar autentiseringsuppgifterna och utsätter dem för stöld av autentiseringsuppgifter. Varje arbetsstation eller server som en privilegierad domänanvändare loggar in på ger en möjlig mekanism som gör att den privilegierade användarens autentiseringsuppgifter kan hämtas och användas för att kompromettera AD DS-domänen och skogen.
Dåligt skyddade domänkontrollanter
Domänkontrollanter har en replik av en domäns AD DS-databas. När det gäller skrivskyddade domänkontrollanter innehåller den lokala repliken av databasen autentiseringsuppgifter för endast en delmängd av kontona i katalogen, varav ingen är privilegierade domänkonton som standard. På domänkontroller som tillåter läs-skriv har varje domänkontrollant en fullständig replik av AD DS-databasen, inklusive autentiseringsuppgifter inte bara för privilegierade användare som domänadministratörer, utan även för privilegierade konton som domänkontrollantkonton eller domänens Krbtgt-konto, vilket är det konto som är associerat med KDC-tjänsten på domänkontroller. Om ytterligare program som inte är nödvändiga för domänkontrollantfunktioner installeras på domänkontrollanter, eller om domänkontrollanter inte är strikt korrigerade och skyddade, kan angripare kompromettera dem via okopplade säkerhetsrisker eller använda andra attackvektorer för att installera skadlig programvara direkt på dem.
Behörighetshöjning och spridning
Oavsett vilka angreppsmetoder som används är Active Directory alltid mål när en Windows-miljö attackeras, eftersom den i slutändan styr åtkomsten till vad angriparna vill ha. Det innebär dock inte att hela katalogen är målet. Specifika konton, servrar och infrastrukturkomponenter är vanligtvis de primära målen för attacker mot Active Directory. Dessa konton beskrivs på följande sätt.
Permanenta privilegierade konton
Eftersom införandet av Active Directory har det varit möjligt att använda konton med hög behörighet för att skapa Active Directory-skogen och sedan delegera de rättigheter och behörigheter som krävs för att utföra den dagliga administrationen till mindre privilegierade konton. Medlemskap i grupperna Företagsadministratörer, Domänadministratörer eller Administratörer i Active Directory krävs endast tillfälligt och sällan i en miljö som implementerar minsta möjliga metoder för daglig administration.
Permanenta privilegierade konton är konton som har placerats i privilegierade grupper och lämnats där från dag till dag. Om din organisation placerar fem konton i gruppen Domänadministratörer för en domän kan dessa fem konton riktas 24 timmar om dygnet, sju dagar i veckan. Det faktiska behovet av att använda konton med domänadministratörsbehörighet är dock vanligtvis bara för specifik domänomfattande konfiguration och under korta tidsperioder.
VIP-konton
Ett ofta förbisett mål i Active Directory-överträdelser är konton för "mycket viktiga personer" (eller VIP) i en organisation. Privilegierade konton är riktade eftersom dessa konton kan ge åtkomst till angripare, vilket gör att de kan kompromettera eller till och med förstöra målsystemen, som tidigare beskrivits i det här avsnittet.
Privilegiebundna Active Directory-konton
"Privilege-attached" Active Directory-konton är domänkonton som inte har blivit medlemmar i någon av de grupper som har högsta behörighetsnivåer i Active Directory, men som i stället har beviljats hög behörighet på många servrar och arbetsstationer i miljön. Dessa konton är oftast domänbaserade konton som är konfigurerade för att köra tjänster på domänanslutna system, vanligtvis för program som körs i stora delar av infrastrukturen. Även om dessa konton inte har några privilegier i Active Directory, kan de användas för att kompromettera eller till och med förstöra stora delar av infrastrukturen om de beviljas hög behörighet för ett stort antal system, vilket ger samma effekt som ett privilegierat Active Directory-konto.