Contas de usuário: perigo oculto de administradores ocultos

9. pode 2022
| Sem comentários

Compartilhar postagem

As contas de administrador sombra são contas de usuário com privilégios excessivos que foram atribuídas inadvertidamente. Se um hacker comprometer uma conta de administrador sombra, isso representa um alto risco para a segurança da empresa. Silverfort lista as melhores práticas contra contas com privilégios muito altos.

Se um invasor conseguir seqüestrar contas privilegiadas e acessar seus sistemas de destino, isso colocará em risco uma rede inteira. No entanto, identificar administradores sombra e restringir seus privilégios não é uma tarefa fácil. A seguir, explicamos como surgem os administradores paralelos e quais medidas as empresas podem tomar para conter efetivamente esse perigo oculto.

É assim que as contas de administrador sombra são criadas

Erro humano ou gerenciamento incorreto dos direitos do usuário

Administradores inexperientes podem criar administradores sombra por engano ou porque não entendem totalmente as implicações das atribuições de permissão direta. Mesmo que não haja intenções maliciosas por trás dessas contas de administrador sombra, elas ainda podem representar um risco para o ambiente ao permitir que usuários acessem não autorizados recursos confidenciais.

Permissões temporárias que não foram revogadas

Embora isso seja considerado uma prática ruim, em alguns casos, os administradores de TI concedem permissões temporárias às contas que tornam os usuários administradores sombra com a intenção de remover essas permissões posteriormente. Embora isso possa resolver problemas imediatos, essas permissões geralmente são mantidas, deixando essas contas com privilégios administrativos autônomos.

Administradores de sombra criados por invasores

Depois que um invasor obtém privilégios administrativos, ele pode configurar uma conta de administrador sombra para ocultar suas atividades.

Em cada um dos três casos acima, os administradores sombra representam um risco para a organização, pois permitem que indivíduos não autorizados realizem atividades que não deveriam realizar. O facto destas contas não serem monitorizadas não só significa que o acesso às mesmas não é restringido porque a empresa desconhece a sua existência, mas também que acessos não autorizados e alterações podem passar despercebidos. Em alguns casos, essas atividades só são descobertas quando já é tarde demais, por exemplo, quando um invasor exfiltra dados confidenciais.

Um olhar mais atento aos administradores sombra

Um administrador sombra é um usuário que não é membro de um grupo de administração do Active Directory (AD). No entanto, este usuário tem direitos correspondentes que lhe permitem adquirir mais habilidades administrativas. Esses incluem:

  • Direitos de controle total (usuário ou grupo)
  • Escreva todas as propriedades (para um grupo)
  • Redefinir senha (para um usuário)
  • Todos os direitos estendidos (para um usuário)
  • Alterar permissões (usuário ou grupo)
  • Escrever membro (para um grupo)
  • proprietário da gravação (usuário ou grupo)
  • O proprietário real (usuário ou grupo)

Além disso, qualquer usuário que possa assumir o controle de um administrador sombra de qualquer nível também é considerado um administrador sombra. Um exemplo:

Administrador legítimo: Bob é um administrador de domínio (membro do grupo Admins. do Domínio). Isso significa que Bob tem acesso administrativo ao Active Directory.

Administrador Sombra Nível 1: Alice não é membro do grupo de administradores de domínio. No entanto, Alice tem a capacidade de redefinir a senha de Bob. Portanto, Alice pode redefinir a senha de Bob, fazer login como Bob e executar tarefas que exigem privilégios de administrador de domínio em seu nome. Isso faz de Alice uma administradora sombra.

Administrador Sombra Nível 2: Larry pode redefinir a senha de Alice. Isso permite que ele faça login como Alice, altere a senha de Bob, faça login como Bob e execute tarefas que exigem privilégios de administrador de domínio. Isso torna Larry um administrador sombra de segundo nível. E não é apenas Larry: pode haver outro administrador de sombra que pode redefinir a senha de Larry e assim por diante. Uma organização pode potencialmente ter um grande número de administradores sombra em sua rede.

Como rastrear administradores sombra

Identificar administradores sombra é um problema difícil e complexo. Primeiro, os gerentes precisam identificar quem são seus administradores: ou seja, todos os usuários que pertencem aos grupos do Active Directory que lhes dão privilégios administrativos. Alguns grupos AD são óbvios, como o grupo "Domain Admin". Alguns grupos menos, entretanto, já que muitas organizações criam diferentes grupos administrativos para diferentes propósitos de negócios. Em alguns casos, existem até grupos aninhados. É importante capturar todos os membros desses grupos. As associações do grupo de mapeamento devem levar em conta não apenas as identidades do usuário que aparecem na lista de membros, mas também as configurações dos IDs do grupo principal dos usuários.

Compreender os membros dos grupos administrativos no Active Directory é um primeiro passo importante, mas não é suficiente para identificar todas as contas privilegiadas no domínio. A razão para isso é que os administradores sombra não são um deles. Para rastrear os administradores sombra, os oficiais devem analisar as permissões da Lista de Controle de Acesso (ACL) concedidas a cada conta.

Analisando as permissões ACL manualmente - uma tarefa sem fim

Conforme discutido acima, para rastrear administradores sombra, os responsáveis ​​por rastrear administradores sombra devem analisar as permissões ACL de cada conta no AD para determinar se a conta tem permissões para grupos administrativos ou contas de administrador individuais. Isso em si é uma tarefa manual muito difícil, se não impossível.

Martin Kulendik, Diretor Regional de Vendas DACH em Silverfort

Martin Kulendik, Diretor Regional de Vendas DACH em Silverfort (Imagem: Silverfort).

Se os responsáveis ​​forem capazes de realizar essa análise, eles recebem o primeiro nível de administradores sombra. Mas isso não é suficiente - todas as ACLs agora devem ser reanalisadas para entender quem tem permissão para modificar esses administradores sombra de primeiro nível. E esse processo deve continuar até que todos os níveis de administradores sombra existentes sejam descobertos. Se as pessoas responsáveis ​​também encontrarem um grupo de administradores sombra, isso complicará ainda mais as coisas. O ponto principal é que essa análise não é uma tarefa manual.

UIP: Identificação automática de administradores sombra

O Unified Identity Protection é uma nova tecnologia que consolida os controles de segurança IAM existentes de uma organização e os estende a todos os usuários, ativos e ambientes da organização. Por meio de sua arquitetura sem agente e sem proxy, esta solução pode monitorar todas as solicitações de acesso de usuários e contas de serviço em todos os ativos e ambientes e estender a análise baseada em risco de alta precisão, acesso condicional e políticas de autenticação multifator para todos os recursos da empresa híbrida ambiente para cobrir

As medidas de proteção também podem ser estendidas a ativos que não poderiam ser protegidos anteriormente. Isso inclui, por exemplo, aplicativos legados e locais, infraestrutura crítica, sistemas de arquivos, bancos de dados e ferramentas de acesso administrativo, como o PsExec, que atualmente permitem que os invasores ignorem o MFA baseado em agente.

Plataforma Unificada de Proteção de Identidade

Além disso, uma plataforma unificada de proteção de identidade identifica automaticamente as contas de administrador sombra que devem ser revisadas para determinar se suas permissões são legítimas ou não. A tecnologia consulta periodicamente o Active Directory para obter as várias ACLs de todos os objetos no domínio. Ele identifica automaticamente os grupos de administradores comuns. A solução então analisa as ACLs em busca de usuários e grupos de administradores sombra que tenham os mesmos direitos que os membros desses grupos de administração - direitos que efetivamente os tornam contas/grupos de administração sombra. O programa analisa as ACLs com a frequência necessária para identificar todos os níveis de contas e grupos de administradores sombra e garantir que os responsáveis ​​tenham total visibilidade dessas contas potencialmente maliciosas.

Os administradores do AD devem revisar essa lista abrangente para determinar se as permissões dessas contas e grupos de administrador sombra são legítimas ou não e se devem ser restritas ou monitoradas.

Monitorização contínua de todos os pedidos de acesso

Além disso, uma solução unificada de proteção de identidade monitora e analisa continuamente todas as solicitações de acesso dentro do domínio. Ele considera os administradores sombra como contas de alto risco. A tecnologia identifica automaticamente e em tempo real atividades confidenciais, como uma tentativa de redefinir a senha de um usuário, e emite um alerta ou solicita que o usuário verifique sua identidade com autenticação multifator (MFA) antes de fazer isso Permitir redefinição de senha. Isso pode impedir alterações não autorizadas em contas de usuário, bem como acesso não autorizado a recursos confidenciais na rede.

Com a Proteção Unificada de Identidade, as organizações podem gerenciar e proteger todos os seus ativos em todos os ambientes com políticas consistentes e visibilidade para combater efetivamente os múltiplos vetores de ataque baseados em identidade, incluindo os riscos representados pelos administradores de sombra.

Mais em Silverfort.com

 

Sobre Silverfort

O Silverfort fornece a primeira plataforma unificada de proteção de identidade que consolida os controles de segurança IAM em redes corporativas e ambientes de nuvem para mitigar ataques baseados em identidade. Usando tecnologia inovadora sem agente e sem proxy, Silverfort integra-se perfeitamente com todas as soluções IAM, unificando sua análise de risco e controles de segurança e estendendo sua cobertura a ativos que anteriormente não podiam ser protegidos, como aplicativos legados e domésticos, infraestrutura de TI, sistemas de arquivos, linha de comando ferramentas, acesso máquina a máquina e muito mais.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Stories
, , , , ,