Продвинутые атаки на Microsoft Active Directory: способы обнаружения и защиты

Поділитися
Вставка
  • Опубліковано 24 гру 2024

КОМЕНТАРІ • 1

  • @antone1627
    @antone1627 Рік тому +2

    Credential Guard штука интересная, да только работает на Enterprise лицензии ОС, и еще плюс: TMP 2.0, Secure Boot, GPT -разметка. Примечательно, что при нормальном рабочем CG в системе появляется изолированный процесс с новым названием Lsaiso.exe. А еще забавнее, что уже начали появляться эксплоиты под эту защиту.
    К рекомендациям по защите можно добавить использование смарт-карты с механизмом динамического добавления группы в зависимости от шаблона сертификата пользователя. Т.е. к токену авторизации пользователя добавляется группа Domain admins, если он авторизовался по сертификату, который выдан по соответствующему шаблону (как настроишь), а если без смарт-карты, ну не выставил галку "требовать" или pass-the-hash, то пользователь будет без этой группы. По такому принципу работает AuthLite с токенами Yubikey.
    Еще можно добавить про RPC фильтр для запрета эксплуатации принуждения к авторизации. А про разделение учётных записей на 3 уровня (Доменный, серверный, пользовательский администратор) можно добавить, чтобы на компьютере админа домена, в группе локальных админов были только локальные учётные записи, для защиты от горизонтального перемещения.