Тіньові облікові записи адміністраторів — це облікові записи користувачів із надлишковими правами, які було призначено ненавмисно. Якщо хакер зламав обліковий запис тіньового адміністратора, це створює високий ризик для безпеки компанії. Silverfort перераховує найкращі методи боротьби з обліковими записами із занадто високими привілеями.
Якщо зловмисник може захопити привілейовані облікові записи та отримати доступ до їхніх цільових систем, це ставить під загрозу всю мережу. Однак виявлення тіньових адміністраторів і обмеження їхніх привілеїв – непросте завдання. Далі пояснюється, як з’являються тіньові адміністратори та які заходи можуть вжити компанії, щоб ефективно стримувати цю приховану небезпеку.
Так створюються тіньові облікові записи адміністратора
Людська помилка або неправильне керування правами користувача
Недосвідчені адміністратори можуть створити тіньових адміністраторів помилково або через те, що вони не повністю розуміють наслідки прямих призначень дозволів. Навіть якщо за такими тіньовими обліковими записами адміністратора немає зловмисних намірів, вони все одно можуть становити загрозу для середовища, дозволяючи користувачам неавторизований доступ до конфіденційних ресурсів.
Тимчасові дозволи, які не були скасовані
Хоча це вважається поганою практикою, у деяких випадках ІТ-адміністратори надають обліковим записам тимчасові дозволи, які роблять користувачів тіньовими адміністраторами з наміром видалити ці дозволи пізніше. Хоча це може вирішити миттєві проблеми, ці дозволи часто зберігаються, залишаючи ці облікові записи з привілеями адміністратора без нагляду.
Тіньові адміністратори, створені зловмисниками
Отримавши права адміністратора, зловмисник може створити тіньовий обліковий запис адміністратора, щоб приховати свою діяльність.
У кожному з трьох випадків, наведених вище, тіньові адміністратори становлять ризик для організації, оскільки дозволяють неавторизованим особам виконувати дії, які вони не повинні виконувати. Той факт, що ці облікові записи не контролюються, означає не лише те, що доступ до них не обмежено, оскільки компанія не знає про їх існування, але й те, що несанкціонований доступ і зміни можуть залишитися непоміченими. У деяких випадках такі дії виявляються лише тоді, коли вже занадто пізно, наприклад, коли зловмисник викрадає конфіденційні дані.
Більш детальний погляд на тіньових адміністраторів
Тіньовий адміністратор — це користувач, який не є членом групи адміністрування Active Directory (AD). Однак цей користувач має відповідні права, які дозволяють йому набути подальших адміністративних навичок. До них належать:
- Повний контроль (користувач або група)
- Написати всі властивості (для групи)
- Скинути пароль (для одного користувача)
- Всі розширені права (для одного користувача)
- Змінити дозволи (користувача або групи)
- Написати учасника (для групи)
- написати власника (користувача або групу)
- Фактичний власник (користувач або група)
Крім того, будь-який користувач, який може керувати тіньовим адміністратором будь-якого рівня, також вважається тіньовим адміністратором. Приклад:
Законний адміністратор: Боб є адміністратором домену (членом групи адміністраторів домену). Це означає, що Боб має адміністративний доступ до Active Directory.
Тіньовий адміністратор рівня 1: Аліса не є членом групи адміністраторів домену. Однак Аліса має можливість скинути пароль Боба. Тому Аліса може скинути пароль Боба, увійти як Боб і виконувати завдання, які вимагають прав адміністратора домену від його імені. Це робить Алісу тіньовим адміністратором.
Тіньовий адміністратор рівня 2: Ларрі може скинути пароль Аліси. Це дозволяє йому увійти як Аліса, у свою чергу змінити пароль Боба, а потім увійти як Боб і виконувати завдання, для яких потрібні права адміністратора домену. Це робить Ларрі тіньовим адміністратором другого рівня. І це не тільки Ларрі: може бути інший тіньовий адміністратор, який може скинути пароль Ларрі тощо. Організація потенційно може мати велику кількість тіньових адміністраторів у своїй мережі.
Як відстежити тіньових адміністраторів
Виявлення тіньових адміністраторів є важкою та складною проблемою. По-перше, менеджери повинні визначити, хто є їхніми адміністраторами: тобто всі користувачі, які належать до груп Active Directory, які надають їм права адміністратора. Деякі групи AD очевидні, наприклад група «Адміністратор домену». Проте деякі групи менше, оскільки багато організацій створюють різні адміністративні групи для різних бізнес-цілей. У деяких випадках існують навіть вкладені групи. Важливо захопити всіх членів цих груп. Відображення членства в групах має враховувати не лише ідентифікатори користувачів, які відображаються в списку учасників, а й конфігурації ідентифікаторів основних груп користувачів.
Розуміння членів адміністративних груп в Active Directory є важливим першим кроком, але цього недостатньо, щоб визначити всі привілейовані облікові записи в домені. Причина цього в тому, що тіньові адміністратори не є одними з них. Щоб відстежити тіньових адміністраторів, чиновники повинні проаналізувати дозволи списку контролю доступу (ACL), надані кожному обліковому запису.
Аналіз дозволів ACL вручну – нескінченне завдання
Як обговорювалося вище, для відстеження тіньових адміністраторів особи, відповідальні за відстеження тіньових адміністраторів, повинні проаналізувати дозволи ACL кожного облікового запису в AD, щоб визначити, чи має цей обліковий запис дозволи для адміністративних груп або окремих облікових записів адміністратора. Це саме по собі є дуже важкою, якщо не неможливою, ручною роботою.
Мартін Кулендік, регіональний директор з продажу DACH у Сільверфорті (Зображення: Сільверфорт).
Якщо відповідальні особи можуть провести цей аналіз, вони отримують перший рівень тіньових адміністраторів. Але цього недостатньо — тепер усі ACL потрібно повторно проаналізувати, щоб зрозуміти, хто має дозвіл змінювати цих тіньових адміністраторів першого рівня. І цей процес має тривати, доки не будуть розкриті всі рівні існуючих тіньових адміністраторів. Якщо відповідальні особи також знаходять групу тіньових адміністраторів, це ще більше ускладнює ситуацію. Суть полягає в тому, що цей аналіз не є ручним завданням.
UIP: автоматична ідентифікація тіньових адміністраторів
Unified Identity Protection — це нова технологія, яка консолідує існуючі елементи керування безпекою IAM в організації та поширює їх на всіх користувачів, активи та середовища організації. Завдяки архітектурі без агентів і проксі це рішення може відстежувати всі запити доступу від користувачів і облікових записів служб у всіх активах і середовищах, а також поширювати високоточний аналіз на основі ризиків, умовний доступ і політику багатофакторної автентифікації на всі ресурси гібридного підприємства. середовище для покриття
Захисні заходи також можуть бути поширені на активи, які раніше не могли бути захищені. До них належать, наприклад, домашні та застарілі програми, критична інфраструктура, файлові системи, бази даних і інструменти доступу адміністратора, такі як PsExec, які наразі дозволяють зловмисникам обходити MFA на основі агентів.
Уніфікована платформа захисту особистих даних
Крім того, уніфікована платформа захисту ідентифікаційної інформації автоматично визначає тіньові облікові записи адміністратора, які слід перевірити, щоб визначити, чи є їхні дозволи законними чи ні. Технологія періодично запитує Active Directory, щоб отримати різні списки керування доступом усіх об’єктів у домені. Він автоматично визначає загальні групи адміністраторів. Потім рішення аналізує списки керування доступом, шукаючи користувачів і групи тіньових адміністраторів, які мають ті самі права, що й члени цих груп адміністраторів – права, які фактично роблять їх тіньовими обліковими записами/групами адміністраторів. Програма аналізує ACL так часто, як це необхідно, щоб ідентифікувати всі рівні облікових записів і груп тіньових адміністраторів і забезпечити повну видимість відповідальних осіб щодо цих потенційно зловмисних облікових записів.
Потім адміністратори AD повинні переглянути цей вичерпний список, щоб визначити, чи дозволи цих облікових записів і груп тіньових адміністраторів є законними, а також чи слід їх обмежувати чи контролювати.
Постійний моніторинг усіх запитів на доступ
Крім того, уніфіковане рішення для захисту ідентифікаційної інформації постійно відстежує та аналізує всі запити доступу в межах домену. Він вважає тіньових адміністраторів обліковими записами високого ризику. Технологія автоматично та в режимі реального часу визначає конфіденційну активність, наприклад спробу скинути пароль користувача, і видає сповіщення або пропонує користувачеві підтвердити свою особу за допомогою багатофакторної автентифікації (MFA), перш ніж це зробити. Дозволити скидання пароля. Це може запобігти несанкціонованим змінам облікових записів користувачів, а також несанкціонованому доступу до конфіденційних ресурсів у мережі.
Таким чином, за допомогою Unified Identity Protection організації можуть керувати та захищати всі свої активи в усіх середовищах за допомогою узгоджених політик і видимості для ефективної протидії численним векторам атак на основі ідентифікаційних даних, включаючи ризики, створені тіньовими адміністраторами.
Більше на Silverfort.com
Про Сільверфорт Silverfort надає першу уніфіковану платформу захисту ідентифікаційної інформації, яка консолідує елементи керування безпекою IAM у корпоративних мережах і хмарних середовищах для пом’якшення атак на основі ідентифікаційної інформації. Використовуючи інноваційну технологію без агентів і проксі, Silverfort легко інтегрується з усіма рішеннями IAM, уніфікуючи їх аналіз ризиків і засоби контролю безпеки та розширюючи їх охоплення на активи, які раніше не могли бути захищені, такі як власні та застарілі програми, ІТ-інфраструктура, файлові системи, командний рядок інструменти, міжмашинний доступ тощо.