В отчёте IBM за 2024 год отмечено, что компрометация учётных данных стала наиболее распространённым начальным вектором атак, составляя 16% всех инцидентов. Фишинг занимает второе место с 15% . Это подчёркивает важность защиты систем, таких как Active Directory (AD) и Active Directory Certificate Services (AD CS), которые часто становятся целями атак злоумышленников.
После взлома организация может пересмотреть свои подходы к безопасности и принять решение о переходе на решения, которые лучше соответствуют современным стандартам.
Отказ от Active Directory после успешного взлома может быть оправдан, если организация готова инвестировать в более современные и безопасные решения. Однако такой переход требует тщательного планирования и учёта всех рисков. В некоторых случаях более целесообразным может быть усиление безопасности существующей AD (например, внедрение Privileged Access Management, Credential Guard, LAPS).
CVE-2022-26923 - это уязвимость для повышения привилегий домена Active Directory, которая позволяет привилегированному пользователю получить доступ к контроллеру домена, злоупотребляя службой сертификатов Active Directory.
CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием.
Отсутствие проверки доступа двухфакторной авторизацией на этапе получения доступа к корпоративной частной виртуальной сети (VPN)
Определение (сканирование) ресурсов сети на нахождения роли Active Directory Services (ADS)
Критическая уязвимость в AD CS, связанная с ошибками проверки разрешений при запросах на регистрацию сертификатов. Злоумышленник с базовыми правами может зарегистрировать сертификат, подменяющий идентичность объекта, что позволяет ему эскалировать привилегии и получить доступ к чувствительным ресурсам.
Критическая уязвимость в AD CS, связанная с ошибками проверки разрешений при запросах на регистрацию сертификатов. Злоумышленник с базовыми правами может зарегистрировать сертификат, подменяющий идентичность объекта, что позволяет ему эскалировать привилегии и получить доступ к чувствительным ресурсам.
Критическая уязвимость в AD CS, связанная с ошибками проверки разрешений при запросах на регистрацию сертификатов. Злоумышленник с базовыми правами может зарегистрировать сертификат, подменяющий идентичность объекта, что позволяет ему эскалировать привилегии и получить доступ к чувствительным ресурсам.
Уязвимость обхода механизмов безопасности в Windows Active Directory Certificate Services, что открывает путь для несанкционированного выполнения кода.
Уязвимость в AD CS, позволяющая злоумышленникам с базовыми правами создавать запросы на подпись сертификатов, которые приводят к эскалации привилегий вплоть до уровня администратора домена.
Обзор текущих угроз
IBM X-Force подчёркивает, что системы управления идентификацией, такие как Active Directory и AD CS, являются критически важными компонентами для кибербезопасности компании. Регулярное обновление систем, проактивное управление уязвимостями и мониторинг сетевой активности — обязательные элементы защиты.
Прогнозирование новых угроз
IBM X-Force анализирует тенденции в области киберугроз, чтобы помочь специалистам предвидеть, какие типы атак могут стать более популярными в будущем.
Обучение и осведомлённость
Отчёты помогают повышать уровень осведомлённости специалистов и компаний, демонстрируя реальный масштаб проблем в сфере безопасности.
Рекомендации по защите
В отчетах предоставляются рекомендации и лучшие практики для повышения безопасности. Это может включать как технические советы (например, установка обновлений), так и организационные меры (тренировки сотрудников).
Актуальная информация о киберугрозах
Специалисты получают данные о самых свежих атаках, методах эксплуатации уязвимостей и новых инструментах, которые используют злоумышленники.
Векторная аналитика атак
Отчёты помогают понять, какие пути атаки наиболее популярны, будь то компрометация облачных систем, фишинг или атаки на цепочку поставок.
Оптимизация ресурсов
На основе отчётов компании могут перераспределять свои ресурсы для защиты наиболее уязвимых точек в инфраструктуре.
Обоснование решений для руководства
Специалисты могут использовать данные из отчётов для обоснования необходимости инвестиций в безопасность, таких как закупка новых решений или найм сотрудников.
Сравнительный анализ
Отчёты предоставляют статистику, которая позволяет организациям сравнивать свои показатели безопасности с индустриальными стандартами.
Отчёт IBM X-Force не единственный полезный отчет о киберугрозах. Вендоры антивирусного программного обеспечения и программного обеспечения информационной безопасности собирают собственную статистику и публикуют разовые статьи с рекомендациями или сводные отчеты за период. Специалисты нашей компании - участники специализированных сообществ по проблемам кибербезопасности, получаем оперативные данные о новых угрозах.
Active Directory (AD) — ключевой компонент безопасности корпоративных сетей. В этом руководстве описаны основные шаги для защиты AD на Windows Server 2022, основанные на международном стандарте CIS Benchmark. Рекомендации подходят для администраторов с базовым уровнем подготовки.
Минимальная длина пароля: Установите 14 символов. Это усложняет подбор паролей.
Срок действия пароля: Максимум 365 дней. Регулярная смена (к примеру, раз в квартал) снижает риск компрометации.
Запрет повторного использования: Сохраняйте историю 24 предыдущих паролей.
Сложность пароля: Включите требование использовать буквы (прописные/строчные), цифры и спецсимволы.
Порог блокировки: Блокируйте учетную запись после 5 неудачных попыток входа.
Длительность блокировки: Минимум 15 минут. Это замедлит атаки методом перебора.
Сброс счетчика блокировки: Через 15 минут.
Доступ к компьютеру из сети: для доменных контроллеров - Администраторы, Аутентифицированные пользователи, ENTERPRISE DOMAIN CONTROLLERS. Для серверов-членов - Администраторы, Аутентифицированные пользователи.
Запрет доступа для гостей: добавьте группу Guests в политику Deny access to this computer from the network.
Изменение системного времени: Только Администраторы.
Удаленное завершение работы: Разрешите только Администраторам.
Отладка программ: Запретите всем, кроме Администраторов.
Гостевая учетная запись: Отключите.
Переименование администратора: Измените имя учетной записи Administrator (Администратор)
Анонимный доступ. Запретите анонимное перечисление учетных записей SAM.
Отключите доступ к именованным каналам.
Шифрование данных. Включите обязательное подписывание LDAP-трафика
Вход в систему: Включите аудит успешных и неудачных попыток.
Изменение учетных записей: Отслеживайте создание и удаление пользователей.
Доступ к файлам: Аудит успешного и неудачного доступа к общим ресурсам.
Максимальный размер журналов - для журнала безопасности установите 196 608 КБ.
Запретите перезапись старых событий.
Служба печати (Print Spooler) - отключить на доменных контроллерах.
Удаленный реестр - ограничьте доступ к критическим разделам.
Профили брандмауэра: для всех профилей (доменный, частный, публичный) включите блокировку входящих подключений по умолчанию.
Отключите уведомления пользователей
Автоматические обновления - включите ежедневную установку патчей (KB*).
Отсрочка обновлений - не используйте для критических систем.
*KB (англ. Knowledge Base база знаний) - база данных по исправлению функциональных, интерфейсных недоработок и обнаруженных уязвимостей. В базе знаний Microsoft каждая доработка с видом KB имеет порядковый идентификационный номер (KB{номер}). Зачастую уязвимость CVE имеет статью/статьи вида KB.
Регулярно проверяйте настройки с помощью инструментов аудита (например, Local Security Policy и Event Viewer) и обновляйте политики в соответствии с изменениями в инфраструктуре.
Кроме использования базовых настроек безопасности Windows Active Directory следует обратить внимание не только на действия злоумышленников внутри сети, но и на ее периферии. Для минимизации успешности атаки на домен стоит в первую очередь рассмотреть возможность аппаратного усовершенствования, реализующего удаленный доступ и предоставление доступа в корпоративную сеть - замена классических firewall на firewall следующего поколения (next generation firewall). Если
Не игнорируйте базовые настройки и не потакайте пользователям - длина пароля в 14 символов легко запоминается, если использовать разделитель между 4 символами, к примеру 34AB-12Fd-56hd (для подбора пароля потребуется327 веков, с искусственным интеллектом и мощностями для атаки даже это время на подбор реально).
Минимизируйте доступ к регистрации сертификатов и критическим ресурсам.
Отключите устаревшие шаблоны сертификатов.
Откажитесь от прямого доступа к AD через remote desktop service (RDP). Внедрите промежуточные сервера для удаленного доступа к Active Directory
Позаботьтесь о двухфакторной авторизации (2FA) - как минимум - для учетных записей администраторов домена. Существует достаточное количество методов для реализации 2FA в домене как требующих основательного бюджетирования, так и несущественного. Рассмотрите на базовом этапе защиты аккаунтов доменных администраторовавторизацию через Windows Hello for Business и FIDO2.
— Бесплатные Сайты и CRM. Создать сайт