Kullanıcı Hesapları: Gölge Yöneticilerden Gizli Tehlike

9. 2022 olabilir
| Yorum yok

Gönderiyi paylaş

Gölge yönetici hesapları, yanlışlıkla atanan aşırı ayrıcalıklı kullanıcı hesaplarıdır. Bir bilgisayar korsanı bir gölge yönetici hesabının güvenliğini ihlal ederse, bu şirket güvenliği için yüksek bir risk oluşturur.Silverfort, çok yüksek ayrıcalıklara sahip hesaplara karşı en iyi uygulamaları listeler.

Bir saldırgan, ayrıcalıklı hesapları ele geçirebilir ve hedef sistemlerine erişebilirse, bu, tüm ağı büyük ölçüde tehlikeye atar. Ancak, gölge yöneticileri belirlemek ve ayrıcalıklarını kısıtlamak kolay bir iş değildir. Aşağıda, gölge yöneticilerin nasıl ortaya çıktığı ve şirketlerin bu gizli tehdidi etkili bir şekilde kontrol altına almak için hangi önlemleri alabileceği açıklanmaktadır.

Gölge yönetici hesapları bu şekilde oluşturulur

İnsan hatası veya kullanıcı haklarının yanlış yönetimi

Deneyimsiz yöneticiler, yanlışlıkla veya doğrudan izin atamalarının sonuçlarını tam olarak anlamadıkları için gölge yöneticiler oluşturabilir. Bu tür gölge yönetici hesaplarının arkasında herhangi bir kötü niyet olmasa bile, kullanıcıların hassas kaynaklara yetkisiz erişimine izin vererek çevre için risk oluşturabilirler.

İptal edilmemiş geçici izinler

Bu kötü bir uygulama olarak görülse de, bazı durumlarda BT yöneticileri hesaplara, daha sonraki bir tarihte bu izinleri kaldırmak amacıyla kullanıcıların yöneticileri gölgede bırakmasına neden olan geçici izinler verir. Bu, acil sorunları çözebilse de, bu izinler genellikle korunur ve bu hesaplara gözetimsiz yönetici ayrıcalıkları kalır.

Saldırganlar tarafından oluşturulan gölge yöneticiler

Saldırgan, yönetici ayrıcalıkları elde ettikten sonra, faaliyetlerini gizlemek için bir gölge yönetici hesabı oluşturabilir.

Yukarıdaki üç durumun her birinde gölge yöneticiler, yetkisiz kişilerin yapmamaları gereken etkinlikleri gerçekleştirmelerine izin verdiği için kuruluş için bir risk oluşturur. Bu hesapların izlenmemesi, yalnızca şirketin varlığından haberdar olmadığı için bunlara erişimin kısıtlanmadığı anlamına gelmez, aynı zamanda yetkisiz erişim ve değişikliklerin tespit edilemeyebileceği anlamına da gelir. Bazı durumlarda, bu tür faaliyetler yalnızca çok geç olduğunda, örneğin bir saldırgan hassas verileri sızdırdığında keşfedilir.

Gölge yöneticilere daha yakından bakın

Gölge yönetici, bir Active Directory (AD) yönetim grubunun üyesi olmayan bir kullanıcıdır. Bununla birlikte, bu kullanıcı, daha fazla yönetim becerisi kazanmasına izin veren karşılık gelen haklara sahiptir. Bunlar şunları içerir:

  • Tam kontrol hakları (kullanıcı veya grup)
  • Tüm özellikleri yaz (bir grup için)
  • Parolayı sıfırla (bir kullanıcı için)
  • Tüm genişletilmiş haklar (bir kullanıcı için)
  • İzinleri değiştir (kullanıcı veya grup)
  • Üye yaz (bir grup için)
  • yazar sahibi (kullanıcı veya grup)
  • Gerçek sahip (kullanıcı veya grup)

Ek olarak, herhangi bir seviyedeki gölge yöneticinin kontrolünü ele geçirebilen herhangi bir kullanıcı da gölge yönetici olarak kabul edilir. Bir örnek:

Yasal Yönetici: Bob bir etki alanı yöneticisidir (Domain Admins grubunun bir üyesi). Bu, Bob'un Active Directory'ye yönetici erişimi olduğu anlamına gelir.

Seviye 1 Gölge Yöneticisi: Alice, etki alanı yöneticileri grubunun bir üyesi değil. Ancak Alice, Bob'un şifresini sıfırlama yeteneğine sahiptir. Bu nedenle Alice, Bob'un parolasını sıfırlayabilir, Bob olarak oturum açabilir ve onun adına etki alanı yöneticisi ayrıcalıkları gerektiren görevleri gerçekleştirebilir. Bu, Alice'i bir gölge yönetici yapar.

Seviye 2 Gölge Yöneticisi: Larry, Alice'in parolasını sıfırlayabilir. Bu, Alice olarak oturum açmasına, ardından Bob'un parolasını değiştirmesine, ardından Bob olarak oturum açmasına ve etki alanı yöneticisi ayrıcalıkları gerektiren görevleri gerçekleştirmesine olanak tanır. Bu, Larry'yi ikinci düzey bir gölge yönetici yapar. Ve sadece Larry değil: Larry'nin parolasını vs. sıfırlayabilecek başka bir gölge yönetici olabilir. Bir kuruluş potansiyel olarak ağında çok sayıda gölge yöneticiye sahip olabilir.

Gölge yöneticiler nasıl izlenir?

Gölge yöneticileri belirlemek zor ve karmaşık bir sorundur. İlk olarak yöneticilerin, yöneticilerinin kim olduğunu, yani kendilerine yönetici ayrıcalıkları veren Active Directory gruplarına ait tüm kullanıcıları tanımlaması gerekir. "Etki Alanı Yöneticisi" grubu gibi bazı AD grupları açıktır. Bununla birlikte, birçok kuruluş farklı iş amaçları için farklı yönetim grupları oluşturduğundan, bazı gruplar daha azdır. Bazı durumlarda iç içe geçmiş gruplar bile vardır. Bu grupların tüm üyelerini yakalamak önemlidir. Eşleme grubu üyelikleri, yalnızca üye listesinde görünen kullanıcı kimliklerini değil, aynı zamanda kullanıcıların birincil grup kimliklerinin yapılandırmalarını da dikkate almalıdır.

Active Directory'deki yönetim gruplarının üyelerini anlamak önemli bir ilk adımdır, ancak etki alanındaki tüm ayrıcalıklı hesapları belirlemek yeterli değildir. Bunun nedeni, gölge yöneticilerin onlardan biri olmamasıdır. Yetkililer, gölge yöneticilerin izini sürmek için her hesaba verilen Erişim Kontrol Listesi (ACL) izinlerini incelemelidir.

ACL izinlerini manuel olarak analiz etme - hiç bitmeyen bir görev

Yukarıda tartışıldığı gibi, gölge yöneticilerin izini sürmek için, gölge yöneticilerin izini sürmekten sorumlu olanlar, hesabın yönetici grupları veya bireysel yönetici hesapları için izinlere sahip olup olmadığını belirlemek için AD'deki her hesabın ACL izinlerini incelemelidir. Bu kendi içinde çok zor, hatta imkansız, manuel bir görevdir.

Silverfort DACH Bölge Satış Direktörü Martin Kulendik

Silverfort DACH Bölge Satış Direktörü Martin Kulendik (Resim: Silverfort).

Sorumlu kişiler bu analizi yapabilirlerse, birinci seviye gölge yöneticileri alırlar. Ancak bu yeterli değil - bu birinci düzey gölge yöneticilerini kimin değiştirme iznine sahip olduğunu anlamak için tüm ACL'lerin şimdi yeniden analiz edilmesi gerekiyor. Ve bu süreç, mevcut gölge yöneticilerin tüm seviyeleri ortaya çıkana kadar devam etmelidir. Sorumlu kişiler de bir gölge yönetici grubu bulursa, bu işleri daha da karmaşık hale getirir. Sonuç olarak, bu analiz manuel bir görev değildir.

UIP: Gölge yöneticilerin otomatik olarak tanımlanması

Unified Identity Protection, bir kuruluşun mevcut IAM güvenlik denetimlerini birleştiren ve bunları kuruluşun tüm kullanıcılarına, varlıklarına ve ortamlarına genişleten yeni bir teknolojidir. Aracısız ve proxy'siz mimarisi sayesinde bu çözüm, tüm varlıklar ve ortamlarda kullanıcılardan ve hizmet hesaplarından gelen tüm erişim isteklerini izleyebilir ve hibrit kuruluştaki tüm kaynaklara yüksek hassasiyetli risk tabanlı analiz, koşullu erişim ve çok faktörlü kimlik doğrulama ilkelerini genişletebilir kaplanacak çevre

Koruyucu önlemler, daha önce korunamayan varlıkları da kapsayacak şekilde genişletilebilir. Bunlar, örneğin, şu anda saldırganların ajan tabanlı MFA'yı atlamasına olanak tanıyan PsExec gibi yerel ve eski uygulamaları, kritik altyapıyı, dosya sistemlerini, veritabanlarını ve yönetici erişim araçlarını içerir.

Birleşik Kimlik Koruma Platformu

Ek olarak, birleşik bir kimlik koruma platformu, izinlerinin meşru olup olmadığını belirlemek için gözden geçirilmesi gereken gölge yönetici hesaplarını otomatik olarak tanımlar. Teknoloji, etki alanındaki tüm nesnelerin çeşitli ACL'lerini almak için Active Directory'yi düzenli aralıklarla sorgular. Ortak yönetici gruplarını otomatik olarak tanımlar. Çözüm daha sonra ACL'leri analiz ederek gölge yönetici kullanıcıları ve bu yönetici gruplarının üyeleriyle aynı haklara sahip grupları - onları etkili bir şekilde gölge yönetici hesapları/grupları haline getiren haklar - arar. Program, gölge yönetici hesaplarının ve gruplarının tüm düzeylerini belirlemek ve sorumluların bu potansiyel olarak kötü amaçlı hesapları tam olarak görebilmesini sağlamak için ACL'leri gerektiği sıklıkta analiz eder.

AD yöneticileri daha sonra bu gölge yönetici hesaplarının ve gruplarının izinlerinin meşru olup olmadığını ve bunların kısıtlanması veya izlenmesi gerekip gerekmediğini belirlemek için bu kapsamlı listeyi incelemelidir.

Tüm erişim isteklerinin sürekli izlenmesi

Ayrıca, birleşik bir kimlik koruma çözümü, etki alanındaki tüm erişim isteklerini sürekli olarak izler ve analiz eder. Gölge yöneticileri yüksek riskli hesaplar olarak kabul eder. Teknoloji otomatik olarak ve gerçek zamanlı olarak, bir kullanıcının parolasını sıfırlama girişimi gibi hassas etkinliği tanımlar ve bunu yapmadan önce bir uyarı verir veya kullanıcıdan kimliğini çok faktörlü kimlik doğrulama (MFA) ile doğrulamasını ister Parola sıfırlamaya izin ver. Bu, kullanıcı hesaplarında yetkisiz değişikliklerin yanı sıra ağdaki hassas kaynaklara yetkisiz erişimi önleyebilir.

Birleşik Kimlik Koruması ile kuruluşlar böylece, gölge yöneticilerin oluşturduğu riskler de dahil olmak üzere birden fazla kimlik tabanlı saldırı vektörüne etkili bir şekilde karşı koymak için tutarlı politikalar ve görünürlük ile tüm ortamlardaki tüm varlıklarını yönetebilir ve koruyabilir.

Daha fazlası Silverfort.com'da

 

Silverfort Hakkında

Silverfort, kimliğe dayalı saldırıları azaltmak için kurumsal ağlar ve bulut ortamları genelinde IAM güvenlik kontrollerini birleştiren ilk birleşik kimlik koruma platformunu sağlar. Yenilikçi aracısız ve proxy'siz teknolojiyi kullanan Silverfort, tüm IAM çözümleriyle sorunsuz bir şekilde entegre olur, risk analizlerini ve güvenlik kontrollerini birleştirir ve kapsamlarını yerel ve eski uygulamalar, BT altyapısı, dosya sistemleri, komut satırı gibi daha önce korunamayan varlıkları kapsayacak şekilde genişletir. araçlar, makineden makineye erişim ve daha fazlası.

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

Yeni kimlik avı dalgası: Saldırganlar Adobe InDesign kullanıyor

Tanınmış ve güvenilir bir belge yayınlama sistemi olan Adobe InDesign'ı kötüye kullanan kimlik avı saldırılarında şu anda bir artış var. ➡ Devamını oku

Stories
, , , , ,