उपयोगकर्ता खाते: शैडो एडमिन से छिपा हुआ खतरा

छाया व्यवस्थापक खाते अत्यधिक विशेषाधिकार प्राप्त उपयोगकर्ता खाते हैं जिन्हें अनजाने में असाइन किया गया था। यदि कोई हैकर किसी शैडो एडमिन अकाउंट से समझौता करता है, तो यह कंपनी की सुरक्षा के लिए एक उच्च जोखिम पैदा करता है। सिल्वरफोर्ट बहुत अधिक विशेषाधिकार वाले खातों के खिलाफ सर्वोत्तम प्रथाओं को सूचीबद्ध करता है।

यदि कोई हमलावर विशेषाधिकार प्राप्त खातों को हाईजैक कर सकता है और अपने लक्षित सिस्टम तक पहुंच सकता है, तो यह बड़े पैमाने पर पूरे नेटवर्क को खतरे में डालता है। हालाँकि, छाया व्यवस्थापकों की पहचान करना और उनके विशेषाधिकारों को प्रतिबंधित करना कोई आसान काम नहीं है। निम्नलिखित बताता है कि शैडो प्रशासक कैसे उभर कर आते हैं और कंपनियां इस छिपे हुए खतरे को प्रभावी ढंग से रोकने के लिए क्या उपाय कर सकती हैं।

इस तरह से शैडो एडमिनिस्ट्रेटर अकाउंट बनाए जाते हैं

मानवीय त्रुटि या उपयोगकर्ता अधिकारों का गलत प्रबंधन

अनुभवहीन व्यवस्थापक गलती से छाया व्यवस्थापक बना सकते हैं या क्योंकि वे प्रत्यक्ष अनुमति असाइनमेंट के निहितार्थ को पूरी तरह से नहीं समझते हैं। भले ही ऐसे शैडो एडमिनिस्ट्रेटर खातों के पीछे कोई दुर्भावनापूर्ण इरादा न हो, फिर भी वे उपयोगकर्ताओं को संवेदनशील संसाधनों तक अनधिकृत पहुंच की अनुमति देकर पर्यावरण के लिए जोखिम पैदा कर सकते हैं।

अस्थायी अनुमतियाँ जिन्हें रद्द नहीं किया गया है

हालांकि इसे बुरा अभ्यास माना जाता है, कुछ मामलों में आईटी व्यवस्थापक खातों को अस्थायी अनुमतियां प्रदान करते हैं जो उपयोगकर्ताओं को बाद की तारीख में उन अनुमतियों को हटाने के इरादे से छाया व्यवस्थापक बनाती हैं। जबकि यह तत्काल समस्याओं को हल कर सकता है, इन अनुमतियों को अक्सर बनाए रखा जाता है, इन खातों को अप्राप्य प्रशासनिक विशेषाधिकारों के साथ छोड़ दिया जाता है।

हमलावरों द्वारा बनाए गए शैडो एडमिन

एक बार एक हमलावर प्रशासनिक विशेषाधिकार प्राप्त कर लेता है, तो वे अपनी गतिविधियों को छिपाने के लिए एक शैडो एडमिनिस्ट्रेटर अकाउंट सेट कर सकते हैं।

उपरोक्त तीन मामलों में से प्रत्येक में, शैडो व्यवस्थापक संगठन के लिए जोखिम पैदा करते हैं क्योंकि वे अनधिकृत व्यक्तियों को उन गतिविधियों को करने की अनुमति देते हैं जो उन्हें नहीं करनी चाहिए। तथ्य यह है कि इन खातों की निगरानी नहीं की जाती है, न केवल इसका मतलब है कि उन तक पहुंच प्रतिबंधित नहीं है क्योंकि कंपनी उनके अस्तित्व से अनभिज्ञ है, बल्कि यह भी कि अनधिकृत पहुंच और परिवर्तन पूर्ववत हो सकते हैं। कुछ मामलों में, ऐसी गतिविधियों का पता तभी चलता है जब पहले से ही बहुत देर हो चुकी होती है, उदाहरण के लिए जब कोई हमलावर संवेदनशील डेटा की घुसपैठ करता है।

छाया व्यवस्थापकों पर एक निकट दृष्टि

एक छाया प्रशासक एक उपयोगकर्ता है जो सक्रिय निर्देशिका (एडी) प्रशासन समूह का सदस्य नहीं है। हालाँकि, इस उपयोगकर्ता के पास संबंधित अधिकार हैं जो उसे और अधिक प्रशासनिक कौशल प्राप्त करने की अनुमति देते हैं। इसमे शामिल है:

• पूर्ण नियंत्रण अधिकार (उपयोगकर्ता या समूह)
• सभी गुण लिखें (एक समूह के लिए)
• पासवर्ड रीसेट करें (एक उपयोगकर्ता के लिए)
• सभी विस्तारित अधिकार (एक उपयोगकर्ता के लिए)
• अनुमतियां बदलें (उपयोगकर्ता या समूह)
• सदस्य लिखें (एक समूह के लिए)
• स्वामी लिखें (उपयोगकर्ता या समूह)
• वास्तविक स्वामी (उपयोगकर्ता या समूह)

इसके अतिरिक्त, कोई भी उपयोगकर्ता जो किसी भी स्तर के शैडो व्यवस्थापक का नियंत्रण ले सकता है, उसे शैडो व्यवस्थापक भी माना जाता है। एक उदाहरण:

वैध प्रशासक: बॉब एक ​​डोमेन व्यवस्थापक (डोमेन व्यवस्थापक समूह का सदस्य) है। इसका मतलब है कि बॉब के पास सक्रिय निर्देशिका तक प्रशासनिक पहुंच है।

स्तर 1 छाया व्यवस्थापक: ऐलिस डोमेन व्यवस्थापक समूह का सदस्य नहीं है। हालाँकि, ऐलिस के पास बॉब के पासवर्ड को रीसेट करने की क्षमता है। इसलिए, ऐलिस बॉब के पासवर्ड को रीसेट कर सकता है, बॉब के रूप में लॉग इन कर सकता है और ऐसे कार्य कर सकता है जिनके लिए उसकी ओर से डोमेन व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है। यह ऐलिस को एक शैडो एडमिन बनाता है।

स्तर 2 छाया व्यवस्थापक: लैरी ऐलिस का पासवर्ड रीसेट कर सकता है। इससे वह ऐलिस के रूप में लॉग इन कर सकता है, बदले में बॉब का पासवर्ड बदल सकता है, फिर बॉब के रूप में लॉग इन कर सकता है और डोमेन व्यवस्थापक विशेषाधिकारों की आवश्यकता वाले कार्य कर सकता है। यह लैरी को दूसरे स्तर का शैडो एडमिन बनाता है। और यह सिर्फ लैरी नहीं है: एक और शैडो एडमिनिस्ट्रेटर हो सकता है जो लैरी का पासवर्ड रीसेट कर सकता है और इसी तरह। एक संगठन के नेटवर्क में संभावित रूप से बड़ी संख्या में छाया प्रशासक हो सकते हैं।

शैडो एडमिन को कैसे ट्रैक करें

छाया व्यवस्थापकों की पहचान करना एक कठिन और जटिल समस्या है। सबसे पहले, प्रबंधकों को यह पहचानने की आवश्यकता है कि उनके व्यवस्थापक कौन हैं: अर्थात, वे सभी उपयोगकर्ता जो उन सक्रिय निर्देशिका समूहों से संबंधित हैं जो उन्हें व्यवस्थापकीय विशेषाधिकार प्रदान करते हैं। कुछ AD समूह स्पष्ट हैं, जैसे "डोमेन व्यवस्थापक" समूह। हालाँकि, कुछ समूह कम हैं, क्योंकि कई संगठन विभिन्न व्यावसायिक उद्देश्यों के लिए अलग-अलग प्रशासनिक समूह बनाते हैं। कुछ मामलों में नेस्टेड समूह भी होते हैं। इन समूहों के सभी सदस्यों को पकड़ना महत्वपूर्ण है। मैपिंग समूह सदस्यता को न केवल सदस्य सूची में दिखाई देने वाली उपयोगकर्ता पहचान, बल्कि उपयोगकर्ताओं की प्राथमिक समूह आईडी की कॉन्फ़िगरेशन को भी ध्यान में रखना चाहिए।

सक्रिय निर्देशिका में व्यवस्थापकीय समूहों के सदस्यों को समझना एक महत्वपूर्ण पहला कदम है, लेकिन डोमेन में सभी विशेषाधिकार प्राप्त खातों की पहचान करना पर्याप्त नहीं है। इसका कारण यह है कि शैडो एडमिन उनमें से एक नहीं हैं। छाया व्यवस्थापकों को ट्रैक करने के लिए, अधिकारियों को प्रत्येक खाते को दी गई एक्सेस कंट्रोल लिस्ट (एसीएल) अनुमतियों का विश्लेषण करना चाहिए।

ACL अनुमतियों का मैन्युअल रूप से विश्लेषण करना - एक कभी न खत्म होने वाला कार्य

जैसा कि ऊपर चर्चा की गई है, शैडो व्यवस्थापकों को ट्रैक करने के लिए, शैडो व्यवस्थापकों को ट्रैक करने के लिए जिम्मेदार लोगों को AD में प्रत्येक खाते की ACL अनुमतियों का विश्लेषण करना चाहिए ताकि यह निर्धारित किया जा सके कि खाते में प्रशासनिक समूहों या व्यक्तिगत व्यवस्थापक खातों के लिए अनुमतियाँ हैं या नहीं। यह अपने आप में एक बहुत ही कठिन, यदि असंभव नहीं, मानवीय कार्य है।

यदि जिम्मेदार व्यक्ति इस विश्लेषण को करने में सक्षम होते हैं, तो उन्हें छाया प्रशासकों का पहला स्तर प्राप्त होता है। लेकिन यह पर्याप्त नहीं है - सभी ACL का अब यह समझने के लिए फिर से विश्लेषण किया जाना चाहिए कि इन प्रथम-स्तरीय शैडो व्यवस्थापकों को संशोधित करने की अनुमति किसके पास है। और यह प्रक्रिया तब तक जारी रहनी चाहिए जब तक कि मौजूदा छाया प्रशासकों के सभी स्तरों का खुलासा नहीं हो जाता। यदि जिम्मेदार व्यक्तियों को एक छाया प्रशासक समूह भी मिल जाता है, तो इससे चीजें और जटिल हो जाती हैं। लब्बोलुआब यह है कि यह विश्लेषण कोई मानवीय कार्य नहीं है।

UIP: शैडो एडमिन की स्वचालित पहचान

यूनिफाइड आइडेंटिटी प्रोटेक्शन एक नई तकनीक है जो किसी संगठन के मौजूदा IAM सुरक्षा नियंत्रणों को समेकित करती है और उन्हें संगठन के सभी उपयोगकर्ताओं, संपत्तियों और परिवेशों तक विस्तारित करती है। अपने एजेंट रहित और प्रॉक्सी रहित आर्किटेक्चर के माध्यम से, यह समाधान सभी संपत्तियों और परिवेशों में उपयोगकर्ताओं और सेवा खातों से सभी एक्सेस अनुरोधों की निगरानी कर सकता है, और हाइब्रिड उद्यम में सभी संसाधनों के लिए उच्च-सटीक जोखिम-आधारित विश्लेषण, सशर्त पहुंच और बहु-कारक प्रमाणीकरण नीतियों का विस्तार कर सकता है। कवर करने के लिए पर्यावरण

सुरक्षात्मक उपायों को उन संपत्तियों तक भी बढ़ाया जा सकता है जिन्हें पहले संरक्षित नहीं किया जा सकता था। इनमें शामिल हैं, उदाहरण के लिए, स्वदेशी और विरासती अनुप्रयोग, महत्वपूर्ण अवसंरचना, फ़ाइल सिस्टम, डेटाबेस और PsExec जैसे एडमिन एक्सेस टूल, जो वर्तमान में हमलावरों को एजेंट-आधारित MFA को बायपास करने की अनुमति देते हैं।

एकीकृत पहचान संरक्षण मंच

इसके अलावा, एक एकीकृत पहचान सुरक्षा मंच स्वचालित रूप से छाया व्यवस्थापक खातों की पहचान करता है जिनकी समीक्षा यह निर्धारित करने के लिए की जानी चाहिए कि उनकी अनुमति वैध है या नहीं। डोमेन में सभी वस्तुओं के विभिन्न एसीएल प्राप्त करने के लिए प्रौद्योगिकी समय-समय पर सक्रिय निर्देशिका से पूछताछ करती है। यह स्वचालित रूप से सामान्य व्यवस्थापक समूहों की पहचान करता है। समाधान तब एसीएल का विश्लेषण करता है जो छाया व्यवस्थापक उपयोगकर्ताओं और समूहों की तलाश करता है जिनके पास उन व्यवस्थापक समूहों के सदस्यों के समान अधिकार हैं - अधिकार जो प्रभावी रूप से उन्हें छाया व्यवस्थापक खाते/समूह बनाते हैं। कार्यक्रम एसीएल का विश्लेषण जितनी बार आवश्यक हो छाया व्यवस्थापक खातों और समूहों के सभी स्तरों की पहचान करने के लिए करता है और यह सुनिश्चित करता है कि इन संभावित दुर्भावनापूर्ण खातों में जिम्मेदार लोगों की पूर्ण दृश्यता हो।

AD व्यवस्थापकों को इस व्यापक सूची की समीक्षा करनी चाहिए ताकि यह निर्धारित किया जा सके कि इन छाया व्यवस्थापक खातों और समूहों की अनुमतियाँ वैध हैं या नहीं, और उन्हें प्रतिबंधित या मॉनिटर किया जाना चाहिए या नहीं।

सभी एक्सेस अनुरोधों की निरंतर निगरानी

इसके अलावा, एक एकीकृत पहचान सुरक्षा समाधान डोमेन के भीतर सभी एक्सेस अनुरोधों की लगातार निगरानी और विश्लेषण करता है। यह शैडो एडमिन को उच्च जोखिम वाले खाते मानता है। तकनीक स्वचालित रूप से और रीयल-टाइम में संवेदनशील गतिविधि की पहचान करती है, जैसे उपयोगकर्ता के पासवर्ड को रीसेट करने का प्रयास, और या तो अलर्ट जारी करती है या ऐसा करने से पहले उपयोगकर्ता को बहु-कारक प्रमाणीकरण (एमएफए) के साथ अपनी पहचान सत्यापित करने के लिए संकेत देती है। पासवर्ड रीसेट करने की अनुमति दें। यह उपयोगकर्ता खातों में अनधिकृत परिवर्तन, साथ ही नेटवर्क पर संवेदनशील संसाधनों तक अनधिकृत पहुंच को रोक सकता है।

यूनिफाइड आइडेंटिटी प्रोटेक्शन के साथ, संगठन छाया प्रशासकों द्वारा उत्पन्न जोखिमों सहित कई पहचान-आधारित हमले वैक्टरों का प्रभावी ढंग से मुकाबला करने के लिए सुसंगत नीतियों और दृश्यता के साथ सभी वातावरणों में अपनी सभी संपत्तियों का प्रबंधन और सुरक्षा कर सकते हैं।

Silverfort.com पर अधिक

 

---

सिल्वरफोर्ट के बारे में

सिल्वरफोर्ट पहला एकीकृत पहचान सुरक्षा मंच प्रदान करता है जो पहचान-आधारित हमलों को कम करने के लिए एंटरप्राइज़ नेटवर्क और क्लाउड वातावरण में आईएएम सुरक्षा नियंत्रण को समेकित करता है। अभिनव एजेंट रहित और प्रॉक्सीलेस तकनीक का उपयोग करते हुए, सिल्वरफोर्ट सभी IAM समाधानों के साथ समेकित रूप से एकीकृत होता है, उनके जोखिम विश्लेषण और सुरक्षा नियंत्रणों को एकीकृत करता है और अपने कवरेज को उन संपत्तियों तक बढ़ाता है जिन्हें पहले संरक्षित नहीं किया जा सकता था, जैसे कि घरेलू और विरासत अनुप्रयोग, आईटी अवसंरचना, फाइल सिस्टम, कमांड लाइन उपकरण, मशीन-से-मशीन पहुंच और बहुत कुछ।

---

 

विषय से संबंधित लेख