Saugumas Microsoft Active Directory aplinkoje KĘSTUTIS MEŠKONIS Vyr. sistemų inžinierius-konsultantas 2018-05-10
Fake Security Negalime būti tikri dėl saugumo produkto kokybės Nuotraukos: www.fakesecurity.com 2
AD jungtuvės 90% pelningiausių 1000 kompanijų naudoja AD (2014) Lietuvoje beveik visi AD pirmas APT taikinys po nusileidimo 3
AD nesaugi pagal nutylėjimą! Nuo versijos nepriklausomi AD trūkumai Slaptažodžiai saugomi silpname NTLM hash formate PTH Pass-the-hash ataka RDP sesijų užgrobimas Slaptažodžių saugojimas atviru tekstu atmintyje (a.k.a Mimikatz) Silpna slaptažodžių politika Kiti 4
Kas yra AD Active Directory Katalogų tarnyba (LDAP) kompiuteriai Centralizuotas resursų valdymas*** Centralizuotas saugumo valdymas Centralizuotas autentifikavimas aplikacijos AD serveriai PKI (sertifikatas vs. slaptažodis?) SSO vartotojai 5
SSO Single Sign On problematika VPN prieiga WiFi prieiga Saugumo/tinklo įrangos administravimas Intranetai/Ekstranetai MSSQL Klientų valdymo/finansų sistemos (CRM/Navision) E-paštas (Exchange/Zimbra/OWA) Komunikacija (Lync, Skype4Business, Teams) Slaptažodžių spintos 6
Horizontalusis judėjimas NE AD (tinklo skenavimai) AD žvalgyba 7
Horizontalusis judėjimas Lėtas (žingsnis po žingsnio) NE AD (tinklo skenavimai) Triukšmingas (skenavimai, exploit ai) Sunkus (segmentavimas, atnaujinimai, 0-day) Pasipriešinimas (NGFW, IPS, atnaujinimai, anti-exploit, WAF) 8
Horizontalusis judėjimas Informacijos lobynas (įskaitant asmens duomenis) Greitas užvaldymas Plataus masto užvaldymas Aukštomis teisėmis užvaldymas AD žvalgyba Ilgalaikis įsitvirtinimas Nematomas 9
Privilegijų eskalavimo schema AD aplinkoje Domeno administratorius Lokalus administratorius Domeno vartotojas Jokių 10
Žaidimo pabaiga audito metu 11
Žaidimo pabaiga (aut. ransomware) 12
Žaidimo pabaiga (aut. ransomworm) 13
Ne tik Domeno Administratoriai svarbūs DOMAIN ADMINS ENTERPISE ADMINS SERVER ADMINS BACKUP ADMINS Kitos privilegijuotos grupės 14
Dažniausios klaidos, lemiančios AD užvaldymą 15
Privilegijų eskalavimo schema Valytojos scenarijus Atakuotojas internete Jokių 16
Nr. 0 Spear-Phishing 17
Slaptažodžių žvejyba 18
Slaptažodžių žvejyba Rekomendacijos E-pašto techninės kontrolė: DMARC Išorinis laiškas Iškirpti href= nuorodas iš laiškų ir dokumentų turinio Blokuoti web kreipinius į neklasifikuotus domenus Nuolatinės vidinės phishing treniruotės darbuotojams Budrumo programa organizacijoje (įskiepis į pašto klientus) 19
Nr. 1 Nepašalinti pažeidžiamumai domeno mašinose 20
MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 MS-17-010 21
MS-17-010 MS-17-010 MS-17-010 22
MS-17-010 MS-17-010 MS-17-010 Rekomendacijos Įdiegti atnaujinimą KB-4013389 Išjungti SMBv1 palaikymą domeno mastu Naudoti SMB Signing domeno mastu Blokuoti SMB tarnybų pasiekiamumą lokalių ugniasienių pagalba KDV, debesų kompiuteriuose Išimtys mažiausių privilegijų principu 23
Nr. 2 Silpna AD slaptažodžių politika 24
Slaptažodžių politika Galiojimas MAXIMUM PASSWORD AGE PASSWORD NEVER EXPIRES ( ATGALINĖS DURYS! ) Kur dažniausiai naudojama: Domeno administratoriai Domeno vartotojų išimtys 25
Slaptažodžių politika Ilgis MINIMUM PASSWORD LENGTH 8? (nuo 40 iki 65% procentų slaptažodžių parenkama) 12? (vidutinis žodyno pagalba parinkto slaptažodžio ilgis ~12,4 simbolio) 16? ILGIS ar KOMPLEKSIŠKUMAS? Ilgėjant slaptažodžiui, greičiau didėja jo entropija (ilgėja nulaužimo laikas)! 26
Slaptažodžių politika Kompleksiškumas PASSWORDS MUST MEET COMPLEXITY REQUIREMENTS Ar vartotojo vardas sutampa su slaptažodžiu? The password contains characters from three of the following categories Slaptažodis:: password Slaptažodis:: Password Slaptažodis:: Password1 Slaptažodis:: Password2 Slaptažodis:: Password3 (sėkmingai parinktas!) Rekomendacijos: griežtinti politiką (ypač ilgį, ne kompleksiškumą) mokyti naudotojus audituoti 27
Slaptažodžių politika Rotavimas ENFORCE PASSWORD HISTORY Slaptažodis:: pasibaigesslaptazodis Slaptažodis:: betkoksnaujas1 Slaptažodis:: darkazinkoks2 Slaptažodis:: treciassnaujas3 Slaptažodis:: 4asnaujaspwd4 Slaptažodis:: Pas&swor55d5 Slaptažodis:: pasibaigesslaptazodis MINIMUM PASSWORD AGE - Išjungtas pagal nutylėjimą!!! Slaptažodis:: Password100 Slaptažodis:: Password101 Slaptažodis:: Password102 Slaptažodis:: Password103 Slaptažodis:: Password99 Slaptažodis:: Password98 28
Slaptažodžių politika Paskyrų auto-blokavimas ACCOUNT LOCKOUT THRESHOLD (kiek galima suklysti 5-10 bandymų) RESET ACCOUNT LOCKOUT COUNTER AFTER (stebėjimo langas 30 min) ACCOUNT LOCKOUT DURATION (automatinis atsiblokavimas 30 min) Apėjimas: Password Spraying a.k.a. gentle bruteforce 29
Slaptažodžių politika Rekomendacijos Account lockout duration=0 Reset account lockout counter after=0 Account lockout threshold=5-10 Slaptažodžių atstatymui naudoti Help Desk su papildomu identifikavimu arba Self Password Recovery sprendimus SIEM pagalba stebėti sėkmingus ir nesėkmingus prisijungimus ir password spray atakas 30
Nr. 3 Netaikoma/skirtinga AD slaptažodžių politika 31
Netaikoma, skirtinga AD slaptažodžių politika Slaptažodžių atakos TOP-25 Žodynas Brutuali jėga 32
Nr. 4 Tinklo katalogai su jautria informacija 33
Tinklo katalogai su jautria informacija Blogai sukonfigūruota katalogų prieiga Teisės: Read!!! Grupės: Authenticated Users Everyone 34
Tinklo katalogai su jautria informacija Atradimai tinklo kataloguose passwords.txt (???) IS schemos, dokumentacija (ir slaptažodžiai viduje!!!) Išeities kodai (ir slaptažodžiai viduje!!!) Log bylos (ir slaptažodžiai viduje!!!) Asmens duomenys (GDPR pažeidimas!!!) Kažkas dar neatrasta (ir slaptažodžiai viduje!!!) 35
Tinklo katalogai su jautria informacija Blogai sukonfigūruota katalogų prieiga Teisės: Write Full Control Grupės: Authenticated Users Everyone 36
Tinklo katalogai su jautria informacija Rekomendacijos Jokių tinklo katalogų darbo vietose - tik serveriuose Katalogų teisės mažiausių privilegijų principu Centralizuotas bylų dalinimosi sprendimas (owncloud, sharepoint ir kt.) Schemos ir dokumentacijos tik valdymo segmente, valdymo mašinose ir šifruotos NE AD priemonėmis Development, testinės ir gamybinės aplinkos atskirtos nuo tinklo segmentavimo iki AD Debug informaciją išvesti į atskirą serverį, kuris sunaikinamas, kai nebereikalingas (reikalingas procesas) 37
Nr. 5 LLMNR ir NBT-NS užklausų nuodijimas 38
LLMNR ir NBT-NS užklausų nuodijimas Atakos schema 39
LLMNR ir NBT-NS užklausų nuodijimas Perimtos NTLM challenge/response HASH reikšmės SMB-Relay atakos variacija PTH ir žmogus viduryje stiliumi 40
LLMNR ir NBT-NS užklausų nuodijimas Rekomendacijos Išjunkite LLMNR ir NBT-NS protokolus domeno mastu SMB signing įjunkite domeno mastu Naudokite stiprią slaptažodžių politiką Nedirbkite domeno ir lokalių administratorių teisėmis Izoliuokite kompiuterines darbo vietas vieną nuo kitos (bendrinė L2 atakų apsauga, prieš ARP nuodijimą, VLAN šokinėjimą ir kt.) 41
LLMNR ir NBT-NS užklausų nuodijimas KLIENTŲ IZOLIACIJA: STOP L2 ATAKOMS! 42
Nr. 6 Wi-Fi su PEAP 43
Wi-Fi su PEAP Atakos schema 44
Wi-Fi su PEAP Perimtos NTLM challenge/response HASH reikšmės 45
Wi-Fi su PEAP AD rekomendacijos Wi-Fi klientų autentifikavimui naudokite klientų sertifikatus (EAP-TLS) Naudokite stiprią slaptažodžių politiką (PEAP atveju) Uždrauskite GPO pagalba Ad-Hoc sujungimus GPO pagalba kontroliuokite leidžiamų prisijungti SSID sąrašą PASTABA: Nepamirškite sertifikatas galioja ilgiau nei slaptažodis!!! 46
Wi-Fi su PEAP Wi-Fi rekomendacijos Naudokite Wi-Fi klientų izoliaciją Apsaugokite Wi-Fi administravimo prieigą (MFA, segmentacija) Apsaugokite sertifikatų ir privačių raktų eksportavimą atskiru slaptažodžiu FAST Reconnect Wi-Fi nustatymas PASTABA: Atsargiai su visiškai savarankišku vartotojų self-provisioning!!! Bendras Wi-Fi saugumo lygis = Sertifikatai + AD kredencialai = AD kredencialai 47
Privilegijų eskalavimo schema Organizacijos darbuotojo scenarijus Išorinio atakuotojo scenarijus Domeno vartotojas Jokių 48
Nr. 7 Slaptažodžiai skriptuose 49
Slaptažodžiai skriptuose Kur ieškoti? LogOn/LogOff skriptai *.vbs *.ps1 Konfigūracijos bylos Windows registrai Komentarai 50
Nr. 8 Domeno vartotojai turi aukštesnes teises 51
Domeno vartotojai turi aukštesnes teises Teisės Domeno administratorius Lokalus administratorius Deleguotų privilegijuotų grupių teisės SSO Rekomendacijos Administravimui ir kasdienėms veikloms naudokite skirtingas paskyras Paskyrų vardai neturėtų identifikuoti administratorių, idealiu atveju naudotojų Teises suteikite vartotojui, ne grupei (pamenate mažiausių privilegijų principas) SSO atveju naudokite 2FA kitų sistemų administravimui (VPN, ugniasienės ir t.t.) 52
Nr. 9 GPP Passwords slaptažodžiai grupių politikų nuostatose 53
GPP Group policy preferences findstr /S cpassword \\DC\sysvol\*.xml Rekomendacijos: MS14-025 atnaujinimas pašalina šią galimybę Po atnaujinimo įdiegimo senus įrašus būtina pašalinti!!! 54
Nr. 10 Lokalūs pažeidžiamumai 55
Lokalūs pažeidžiamumai Windows pažeidžiamumai (SYSTEM) Microsoft ir trečių šalių pažeidžiamumai (SYSTEM) Konfigūracijos klaidos (SYSTEM) Rekomendacijos Prioritetizuoti atnaujinimus Sistemų stiprinimas AV 56
Privilegijų eskalavimo schema Lokalus administratorius Domeno vartotojas Jokių 57
Nr. 11 Vienodas lokalaus administratoriaus slaptažodis 58
Vienodas lokalaus administratoriaus slaptažodis Populiariausia horizontalaus judėjimo technika! 59
Vienodas lokalaus administratoriaus slaptažodis LOCALADMIN Prisijungimas: Atviru slaptažodžiu HASH reikšme (PTH ataka) Rekomendacijos: Nemokamas MS LAPS lokalių slaptažodžių valdymui Komerciniai slaptažodžių valdymo sprendimai (CyberArk, Thycotic, kiti) 60
Nr. 12 Slaptažodžių pernaudojimas 61
Slaptažodžių pernaudojimas sauliusk $7r0ngP455w0rd sauliusk_adm -????????? <- domeno vartotojas <- domeno administratorius Rekomendacijos: AD priemonės neleidžia kontroliuoti vienodų slaptažodžių (būtų pažeidžiamumas) Naudokite skirtingus slaptažodžius skirtingiems vartotojams Audituokite slaptažodžius (ieškokite vienodų NTLM HASH reikšmių) Pasitikėkite technologijomis, ne žmonių asmenine atsakomybe 62
Nr. 13 Domeno administratorių medžioklė 63
Domeno administratorių medžioklė Pagrindiniai būdai AD mums pasakys, kur ir kokie administratoriai prisijungę! Atakos: Mimikatz ataka RDP sesijos perėmimas Token žymų manipuliavimas Rekomendacijos: Išjunkite prisijungimo duomenų kešavimą CyberArk Endpoint Credential Manager Stebėkite SIEM pagalba AD 64
Kai grįšite į ofisą AD TO DO LIST Rekomendacijos DMARC Sustiprinkite AD slaptažodžių politiką MS-17-010 atsikratykite pažeidžiamumo Išjunkite LLMNR ir NBT-NS Revizuokite administratorių ir privilegijuotų vartotojų sąrašus Išjunkite SMBv1 Įsidiekite MS LAPS serveriams ir KDV Stebėkite AD įvykius centralizuotai Mažiausiai dukart metuose keiskite KRBTGT vartotojo slaptažodį Išjunkite POWERSHELL (esant galimybei) 65
Ačiū už dėmesį 66