نحوه انجام ممیزی دایرکتوری فعال با استفاده از وارونیس
Active Directory (AD) کلیدهای پادشاهی را در اختیار دارد ، و مهاجمان همه ترفندها را می دانند که از آسیب پذیری ها در AD استفاده می کنند تا پنهان بمانند و به دور شبکه حرکت کنند تا داده های حساس شما را پیدا کنند و سرقت کنند. برای مقابله با این آسیب پذیری های احتمالی ، شرکت ها باید حداقل یک بار در سال یک ممیزی Active Directory را در یک برنامه منظم و منظم انجام دهند.
چالش این است که بردارهای حمله را به حداقل برساند و قابلیت های اعتبار سرقت شده را محدود کنید. به این ترتیب هنگامی که مهاجمان مدارک معتبر خود را در شبکه سرقت می کنند ، نمی توانند داده ها را قبل از کشف و خنثی کردن آنها سرقت کنند.
وارونیس یک سیستم حسابرسی و نظارت بر عالی AD است زیرا این کار خیلی بیشتر از ممیزی و نظارت بر AD انجام می دهد. وارونیس همچنین داشبورد و گزارشهایی را برای ردیابی پیشرفت به سمت یک AD امن فراهم می کند ، فرآیندهای خودکار را برای ایمن نگه داشتن AD و شناسایی حرکت های یک مهاجم از طریق AD انجام می دهد.
لیست چک لیست حسابرسی Active Directory ما را بررسی کنید. شما می توانید تمام این مراحل را به صورت دستی یا با PowerShell انجام دهید ، اما در واقع ، استفاده از وارونیس آسان تر است.
قابلیت های حسابرسی فعال دایرکتوری Varonis
حسابرسی اکتیو دایرکتوریور می تواند بسیاری را کشف کند. انواع تهدیدهای احتمالی که مهاجمان می توانند از آنها برای نفوذ و حرکت در شبکه شما استفاده کنند ، اما این مسئله درمورد خطر نیست. بیشتر مربوط به ریسک است ، اما یک ممیزی Active Directory کمک خواهد کرد که AD را تمیز و کنترل کنید.
مانند درخت بونسای خوب مانند AD فکر کنید. هرس ، مراقبت و توجه منظم درختی بسیار زیبا و خوش بینانه را از بین می برد. میلادی به همین ترتیب است. بطور منظم در بالای نگهداری AD باشید و هرگز لحظه بحران وجود نخواهد داشت. حسابرسی هرگز نباید به لحظات ‘oh # $ @٪ منجر شود.
نگران نباشید – وارونیس نه تنها ممیزی را انجام می دهد بلکه به پاکسازی ، حفظ و نظارت بر AD و همچنین بهبود کلی امنیت کمک می کند. وضعیت سازمان. در ابتدا ، ممکن است پاسخهای oh ‘# $ @٪ وجود داشته باشد اگر AD یک درخت بونسای زیر ارزشمند باشد ، اما پس از برخی اصلاح و هرس ، AD دوباره زیبا و قابل کنترل خواهد شد.
Ed. توجه: ممیزی در این وبلاگ به معنای دو چیز است ، ممیزی همانطور که در بررسی وضعیت فعلی امور برای تأیید پیروی از سیاست و حسابرسی و همچنین نظارت بر وضعیت یک چیز انجام شده است. Varonis هر دوی اینها را انجام می دهد – داده هایی را در مورد AD برای بررسی و اصلاح جمع آوری می کند ، و به طور جدی AD را برای تهدیدهای فعلی و احتمالی کنترل می کند.
قبل از اجرای حسابرسی AD
اگر این اولین حسابرسی اکتیو دایرکتوری با وارونیس باشد ، وحشت نکنید! ما اینجاییم تا کمک کنیم. مهندسین فروش Varonis (SE) و پشتیبانی از این کار همیشه استفاده می کنند. در صورت بروز هرگونه مشکل یا عارضه ، به آنها دسترسی پیدا کنید.
برای فعال کردن ممیزی ، باید DatAdvantage نصب و راه اندازی شود. خدمات حرفه ای Varonis یا SE معمولاً نصب های جدیدی را برای مشتریان و چشم اندازها اجرا می کنند. با نصب DatAdvantage ، فعال کردن نظارت مداوم در ماژول های خدمات دایرکتوری و Azure AD یک مسئله صدور مجوز است. نصب های بیشتری لازم نیست.
این تقریباً همین است. برای استفاده از داشبورد و درک اینکه منظور از هر ویجت (یک عنصر داشبورد واحد) چیست ، Varonis نیازی به آموزش کمی دیوانه ای ندارد. فهمیدن چگونگی اصلاح یا حذف صحیح موضوعات ، سؤال متفاوتی است که بعداً در مورد آن بحث خواهیم کرد.
ممیزی های اکتیو دایرکتوری چه مدت طول می کشد؟ ، و پس از آن چند ماه از محل اول تا خطرات کشف شده در طول ممیزی ها را اصلاح کنید. این یک یا دو منبع را با استفاده از PowerShell و ابزارهای داخلی ویندوز فرض می کند. Varonis فرایند جمع آوری داده ها و سپس برخی از کارهای اصلاح را به صورت خودکار انجام می دهد تا این فرآیند بسیار سریعتر انجام شود.
نحوه فعال کردن ممیزی دایرکتوری فعال
برای انجام ممیزی اولیه AD در وارونیس ، نام کاربری و رمز عبوری را تهیه کنید که بتواند آن را بخواند. کنترل دامنه. این آن است.
حسابرسی رویداد Varonis ، در واقع ، مجموعه ای از گزارش های امنیتی امنیتی از کنترل دامنه است. ما لیست کاملی از موارد GPO که برای به دست آوردن قابلیت حسابرسی کامل لازم هستند ، تهیه می کنیم. ما همچنین یک گزینه پیکربندی سریع فراهم می کنیم که یک شیء GPO Varonis ایجاد می کند که شامل تنظیمات حسابرسی صحیح است. GPO Varonis یک گزینه پیشرفته است ، آگاه باشید که یک شیء GPO با سطح بالا ایجاد می کند که می تواند با سایر تنظیمات در تضاد باشد.
وارونیس پردازش بسیار خوبی را در قسمت انتهایی انجام می دهد تا رویدادهای حسابرسی AD قابل خواندن باشد. قابل درک این پردازش همچنین از پایه های رفتاری و مدل سازی تغذیه می کند ، و بسیار توصیه می شود همه از این قابلیت استفاده کنند – هرچه داده ها بیشتر در تشخیص و تجزیه و تحلیل تهدید در وارنیس وارد شوند ، بهتر.
عضویت در گروه حسابرسی مدیریت
اولویت اصلی ممیزی AD بررسی این است که مجوزهای اداری اعطا شده با نیازهای سازمان مطابقت داشته و از خط مشی و بهترین اقدامات تجاوز نمی کند. سرپرستان دارندگان کلیدهای پادشاهی هستند. به طور پیش فرض ، مجوزهای مدیریت این اختیار را به کاربران می دهد تا تغییراتی در پیکربندی های رایانه ، خط مشی های گروه و مشاهده کلیه اشتراک های پرونده در شبکه ایجاد کنند.
Domain Admins Group
یک مکان عالی برای شروع ، گروه دامنه ها است. این کاربران می توانند هر کاری و هر کاری را در شبکه انجام دهند. این عضویت گروهی برای استفاده از این قدرت و اقتدار ، باید به معدود افراد قابل اعتماد و دانش و تجربه محدود شود. کاربران و کاربری های قدیمی را که دیگر نیازی به چنین مسئولیتی ندارند ، حذف کنید.
شکستن برخی از برنامه ها و اشتراک گذاری مرتبط با کاربرانی که شما از گروه مدیر دامنه حذف می کنید کاملاً ممکن است. برای برخی موارد آماده باشید.
حقوق پرسنل IT
گام بعدی در ممیزی Active Directory بررسی حقوق بقیه کارمندان IT است تا اطمینان حاصل شود که آنها دسترسی بیشتری از آنچه لازم داشته باشد بر اساس نیست. در مورد بهترین شیوه ها.
بهترین شیوه می گوید که سرپرستان تعیین شده دارای دو حساب هستند – یکی حساب با امتیازات کاربر برای استفاده روزانه و یک حساب سرپرست دوم برای استفاده در هنگام نیاز به ایجاد تغییر در هر فرآیند مدیریت تغییر. به این ترتیب ، کاربران به ندرت با حسابهای سرپرست خود وارد سیستم می شوند و هر زمان که یک مهاجمی به یک حساب مدیر دسترسی پیدا کند ، همه آلارم ها خاموش می شوند.
علاوه بر این ، در صورت امکان ، مسئولیت های خاصی را به کارمندان IT واگذار کنید و حقوق اداری خود را بر روی دیگر حذف کنید. منابع به عنوان مثال ، مدیر NetApp احتمالاً نیازی به حق تغییر GPO یا حتی نگاه به سهم HR در NetApp ندارد. کاربران IT را برای دسترسی به کارهای مورد نیاز خود محدود کنید. در صورت به خطر افتادن یكی از این حسابها ، مهاجمان از دستیابی به جایگاه های مهم در شبکه جلوگیری می كنند.
خط مشی گروه نظارت بر فهرست های فعال
خط مشی های گروه اولویت دیگر در طی ممیزی Active Directory است. ما در وبلاگ قبلی با جزئیات در مورد گروههای سیاسی و GPO ها صحبت کردیم. در اینجا مواردی وجود دارد که می توانید در طی ممیزی بررسی کنید.
- آیا GPO ها به طور صحیح روی همه رایانه ها و دامنه ها اعمال می شوند؟ می توان GPO های توشی یا مهم را ایجاد کرد که باعث رفتارهای غیر منتظره ای می شوند. این موارد را با دقت بررسی کنید و اطمینان حاصل کنید که GPO های صحیح در مورد کاربران و رایانه های مورد انتظار اعمال می شود.
- تأیید کنید که GPO ها یک سیاست قوی برای رمز عبور اعمال می کنند.
- تأیید کنید که حساب های مدیر محلی از طریق GPO به طور صحیح غیرفعال شده است.
Varonis فعالانه نظارت می کند. و هشدارهایی را برای همه تغییرات در GPO ارسال می کند. در مورد هرگونه تغییر ایجاد شده در خارج از یک پنجره تغییر رسمی ، تحقیق کنید زیرا آنها می توانند نشان دهند کسی در تلاش برای نفوذ به شبکه است.
چگونه حساب حساب کاربری AD را تغییر دهید
با قابلیت های پیش فرض موجود در AD ، نظارت بر تغییرات در کاربران و گروه ها بسیار باورنکردنی است. بغرنج. اگر چندین تغییر در سیاههها را قبل از پیمایش تغییر دهید ، چندین GPO دخیل در آن وجود دارد و بعد از آن بیش از یک Security Security Log ثبت می کند.
Varonis حسابرسی تغییرات ایجاد شده در کاربران و گروه های AD را با نظارت و کنترل بسیار آسان می کند. عادی سازی رویدادهای Security Security Security در همه کنترل کننده های دامنه شما در یک ورود به سیستم قابل خواندن توسط انسان.
این نظارت ، همراه با تشخیص و تجزیه و تحلیل تهدید در DatAlert ، به این معنی است که هرگونه تغییر در کاربران و گروه ها به عنوان تشدید امتیاز احتمالی پرچم گذاری می شود. حملات حسابرسی آسانتر از این نمی شود.
حسابرسی کاربران و رایانه های قدیمی موجود در دایرکتوری فعال
درست مانند پیرایش درخت بونسای اندام های مرده ، حساب های کاربری را که دیگر فعال نیستند از AD حذف کنید. کاربران قدیمی کاربرانی هستند که به مدت شش ماه هیچ فعالیتی ایجاد نکرده اند (تنظیم پیش فرض و تنظیم کاربر). مهاجمان از حسابهای مسکوت خودداری می کنند زیرا هیچ کس به حسابهایی که کسی از آنها استفاده نمی کند توجه می کند و آنها می توانند از این عدم توجه برای جابجایی در شبکه شما استفاده کنند. داشبورد به طور مرتب بروزرسانی می کند تا کاربران بی کیفیت و قابل مشاهده و تحت کنترل نگه داشته شود. این می تواند یک ممیزی برنامه ریزی شده یا کاری باشد که تیم با مدیریت حساب های جدید قدیمی پیدا می کند.
این ویدیوی رایگان را با راهنمایی برای یافتن و رفع SID های حل نشده حل کنید.
با استفاده از ممیزی برای یافتن آسیب پذیری ها
داشبورد خدمات دایرکتوری Varonis بسیاری از آسیب پذیری های احتمالی را برجسته می کند. در اینجا نمونه هایی با تعاریف سریع آورده شده است.
- حساب های رایانه ای که حساب های سرپرست هستند: مهاجمان از این حساب ها برای پایدارسازی امتیازات استفاده می کنند
- حساب های بدون خط مشی رمز عبور: این حساب ها برای مهاجمان اهداف ساده ای هستند
- حساب های فعال شده بدون انقضا رمز عبور : شانس خوبی وجود دارد که این حسابها بتوانند نیرویی بی رحمانه باشند که توسط لیست های نام کاربری و رمز عبور شناخته شده مورد حمله قرار می گیرند
- دامنه هایی که گروه محافظت از کاربران وجود ندارد: این دامنه ها نسخه های قدیمی تری هستند و ممکن است حمله در این دامنه ها آسانتر باشند.
- تعداد کاربران قفل شده فعال شده: در صورت وجود هر یک از این حسابهای کاربری ، ممکن است در حال انجام حمله شدید نیرو باشید
- تعداد کاربران معلول: کاربران معلول هدف های احتمالی مهاجمین هستند زیرا احتمالاً از آنها استفاده نمی شود و یا از نزدیک تحت نظارت قرار می گیرد – بهتر است آنها را حذف کنید.
در بسته شدن
با نظارت وارونیس بعد از میلاد ، نگه داشتن AD تحت کنترل و هرس کردن به یک بونسای زیبا کاملاً ساده است. پس از شوک اولیه ، اکثر مشتریان به سرعت آرام می شوند و به کار می روند تا بالاترین موارد ریسک را در اولویت قرار دهند و کار خود را در لیست پایین انجام دهند. میلادی مدت هاست که وجود دارد ، و اخیراً ما متوجه شدیم که هنگام حمله به شبکه ها ، مهاجمین پیچیده چقدر می توانند باشند.
حسابرسی AD فقط یکی از اولین قسمت های سفر عملیاتی وارونیس است. چندین مرحله دیگر علاوه بر کشف و اصلاح بیماری میلاد وجود دارد. مراحل دیگر در سفر عبارتند از: آدرس دادن به پوشه های مجاز ، پیاده سازی تشخیص و پاسخ به تهدید و استفاده از DataPrivilege برای مدیریت پوشه ها و درخواست عضویت گروه.
اگر مطمئن نیستید که Varonis می تواند بعد از خواندن این کل ، حسابرسی AD را برای شما مدیریت کند. وبلاگ ، شما همیشه می توانید چک لیست حسابرسی امنیتی Active Directory Active Directory ما را بخوانید و این مراحل را به صورت دستی اجرا کنید.