0min

De Active Directory (AD) van een organisatie is een waardevol doelwit voor aanvallers. Zij proberen deze vaak te compromitteren om hun privileges te vergroten en toegang uit te breiden. Dit artikel geeft tien manieren waarop je de Active Directory kunt beschermen.

De AD moet gemakkelijk toegankelijk zijn voor gebruikers in de hele onderneming om goed zijn werk te kunnen doen. Tegelijkertijd maakt dit het moeilijk om te beveiligen. Microsoft heeft aangegeven dat er elke dag meer dan 95 miljoen AD-accounts worden aangevallen, wat de ernst van het probleem onderstreept.

Het beschermen van de AD is een uitdaging, maar zeker niet onmogelijk. Wel vereist goede bescherming de juiste tools en tactieken. Hieronder staan tien tips die bedrijven kunnen gebruiken om hun AD effectiever te beveiligen tegen enkele van de meest voorkomende aanvalstactieken.

1. Voorkom en detecteer meerdere privileged, gedelegeerde beheerders-, service- en netwerksessies

Zodra een aanvaller de perimeterverdediging is binnengedrongen en voet aan de grond heeft in het netwerk, wordt er gekeken welke potentieel waardevolle activa er zijn en hoe die worden bereikt. Een van de beste manieren om dit te doen is door de AD als doelwit te nemen. Dan kunnen ze hun acties namelijk vermommen als normale zakelijke activiteiten met weinig kans op detectie.

Wanneer de organisatie in staat is om alle privileged, gedelegeerde beheerders- en serviceaccounts te detecteren, kan de aanwezigheid van een aanvaller vroeg in de aanvalscyclus opmerkt worden. Ook kun je met de inzet van misleidende domeinaccounts en inloggegevens op endpoints aanvallers in de val lokken.

2. Identificeer en voorkom blootstelling van privileged accounts

Gebruikers slaan inloggegevens vaak op hun werkstations op. Soms per ongeluk, andere keren vrijwillig, maar doorgaans vanwege het gemak. Aanvallers weten dit en zullen zich richten op die opgeslagen inloggegevens om toegang te krijgen tot de netwerkomgeving. Met de juiste set inloggegevens kunnen ze vaak ver komen en indringers zullen altijd proberen hun privileges te verhogen om zo nog meer toegang te krijgen.

Bedrijven kunnen dit voorkomen door privileged accountblootstellingen te identificeren, verkeerde configuraties te herstellen en opgeslagen inloggegevens, gedeelde mappen en andere kwetsbaarheden te verwijderen.

3. Bescherm en detecteer ‘Golden Ticket’- en ‘Silver Ticket’-aanvallen

Pass-the-Ticket (PTT)-aanvallen behoren tot de krachtigste technieken die tegenstanders gebruiken om lateraal door het netwerk te bewegen en hun privileges te verhogen. De stateless ontwerpstrategie van het Kerberos authenticatieprotocol maakt het gemakkelijk te misbruiken, wat betekent dat aanvallers gemakkelijk tickets binnen het systeem kunnen vervalsen. ‘Golden Ticket’ en ‘Silver Ticket’ zijn twee van de meest ernstige soorten PTT-aanvallen die kwaadwillenden gebruiken voor domain-compromise en domain-persistence.

Om dit aan te pakken, moeten kwetsbare Kerberos Ticket Granting Ticket (TGT)- en computerservice-accounts worden gedetecteerd en is het belangrijk dat er gewaarschuwd wordt voor onjuiste configuraties die mogelijk tot PTT-aanvallen kunnen leiden. Een oplossing als Singularity Identity kan het gebruik van vervalste tickets op de endpoints voorkomen.

4. Bescherm tegen Kerberoasting-, DCSync- en DCShadow-aanvallen

Een Kerberoasting-aanval is een gemakkelijke manier voor kwaadwillenden om bevoorrechte toegang te krijgen, terwijl DCSync- en DCShadow-aanvallen domain-persistence binnen een organisatie behouden.

Verdedigers moeten de mogelijkheid hebben om continu de AD te beoordelen. Dit vereist realtime analyse van AD-aanvallen en tegelijkertijd het geven van waarschuwingen voor verkeerde configuraties die leiden tot die aanvallen.

5. Voorkom het verzamelen van inloggegevens van domeinshares

Aanvallers richten zich gewoonlijk op plaintext of reversible wachtwoorden die zijn opgeslagen in scripts of bestanden voor group policies in domeinshares zoals Sysvol of Netlogon.

Een oplossing als Ranger AD kan helpen bij het detecteren van deze wachtwoorden, zodat verdedigers de risico’s kunnen herstellen voordat aanvallers ze kunnen aanvallen.

6. Identificeer accounts met verborgen privileged SID

Met behulp van de Windows Security Identifier (SID) injection-techniek kunnen kwaadwillenden profiteren van het SID-kenmerk ‘geschiedenis’, waardoor ze lateraal binnen de AD-omgeving kunnen bewegen en hun privileges verder kunnen verhogen.

Om dit te voorkomen, moeten accounts worden gedetecteerd die zijn ingesteld met bekende privileged SID-waarden in de SID-geschiedenis en rapporten.

7. Detecteer gevaarlijke delegation van toegangsrechten op belangrijke objecten

Delegeren is een AD-functie waarmee een gebruikers- of computeraccount zich kan voordoen als een ander account. Wanneer een gebruiker bijvoorbeeld een webapplicatie aanroept die op een webserver wordt gehost, kan de applicatie de inloggegevens van de gebruiker nabootsen om toegang te krijgen tot resources die op een andere server worden gehost. Elke domeincomputer waarop unconstrained delegation is ingeschakeld, kan de inloggegevens nabootsen voor een andere service in het domein. Helaas kunnen aanvallers deze functie misbruiken om toegang te krijgen tot verschillende delen van het netwerk.

Continue monitoring van AD-kwetsbaarheden en delegation-blootstellingen kan verdedigers helpen deze kwetsbaarheden te identificeren en te verhelpen voordat kwaadwillenden ze kunnen misbruiken.

8. Identificeer privileged accounts met delegation ingeschakeld

Over delegeren gesproken, privileged accounts die zijn geconfigureerd met onbeperkte delegation kunnen direct leiden tot Kerberoasting- en Silver Ticket-aanvallen. Organisaties moeten daarom de mogelijkheid hebben om privileged accounts te detecteren en te rapporteren waarbij delegation is ingeschakeld.

Een uitgebreide lijst van privileged gebruikers, gedelegeerde beheerders en serviceaccounts kan verdedigers helpen om potentiële kwetsbaarheden te inventariseren. Delegeren is niet per definitie slecht, het is juist vaak nodig vanwege operationele redenen. Verdedigers kunnen wel een tool als Singularity Identity gebruiken om te voorkomen dat aanvallers die accounts ontdekken.

9. Identificeer onbevoegde gebruikers in AdminSDHoder ACL

Active Directory Domain Services (AD DSs) gebruiken het AdminSDHolder-object en het Security Descriptor-propagator (SDProp)-proces om privileged gebruikers en groepen te beveiligen. Het AdminSDHoder-object heeft een unieke Access Control List (ACL), die de machtigingen beheert van security-principals die lid zijn van ingebouwde privileged AD-groepen. Om laterale beweging mogelijk te maken, kunnen aanvallers accounts toevoegen aan de AdminSDHolder, waardoor ze dezelfde privileged toegang krijgen als andere beveiligde accounts.

Organisaties kunnen deze activiteit voorkomen met een tool als Ranger AD om de aanwezigheid van verdachte accounts binnen de AdminSDHoder ACL te detecteren.

10. Identificeer recente wijzigingen in het standaarddomeinbeleid of het standaardbeleid voor domeincontrollers

Binnen de AD gebruiken organisaties groepsbeleid om verschillende operationele configuraties te beheren door beveiligingsinstellingen te definiëren die specifiek zijn voor de omgeving. Deze configureren vaak beheerdersgroepen en bevatten opstart- en afsluitscripts. Beheerders configureren ze om door de organisatie gedefinieerde beveiligingsvereisten op elk niveau in te stellen, software te installeren en bestands- en registermachtigingen in te stellen. Helaas kunnen aanvallers dit beleid wijzigen om domain-persistence binnen het netwerk te bereiken.

Door scherp te monitoren of er wijzigingen zijn in het standaardgroepsbeleid, kunnen verdedigers deze aanvallers snel herkennen, waardoor beveiligingsrisico’s worden beperkt en privileged toegang tot de AD wordt voorkomen.

Lees ook: Wat is XDR – en waarom hebben organisaties dit nodig?