Комментарии 4
Практическая ценность статьи околонулевая.
Из статьи сложилось впечатление, что SMB шары - зло, но это не так, это самый распространённый инструмент и нет ничего плохого в разрешениях для Domain Users. Анонимные шары MS запретили по умолчанию со времён Windows XP SP2 (но можно было включить).
С сертификатами тоже жёсткая фантазия. Просто потому, что это требует слишком много телодвижений от админа, а запроса от бизнеса на такую реализацию аутентификации не бывает, только от службы ИБ. Наличие службы ИБ говорит о том, что в компании есть деньги на людей, которые шарят в этой теме и сводят описанные сценарии к нулю.
С керберос делегированием примерно, как с сертификатами - никто туда просто так не лезет, если нет требования в деплой гайде к софту.
Локальные учётные записи с паролями, совпадающие на нескольких машинах - это не про ADDS.
Из частых ошибок, которые в 8 доменах из 10 в компаниях, где один админ и до 100 пользователей: пользователи в группе Domain Admins, потому что «директор должен иметь доступ» или «срочно дал доступ, забыл убрать», да структура OU кривая из-за того, что не умеет пользоваться фильтрацией в GP, и жуткие права на контейнеры и учётные записи «потому что хотел настроить делегирование» или «защищал учётные записи».
Локальные учётные записи с паролями, совпадающие на нескольких машинах - это не про ADDS.
Примерно в каждой 1й ЛВС предприятия. В каждой второй под ней проводят сервисные работы в интерактивном сеансе.
Естественно админы самоучки без прохождения курсов. Ествественно они так привыкли и хорошо если не на каждую машину ставят софт ручками под учётной записью пользователя временно загнанного в группу локальных администраторов, а то вдруг чего.
Здравствуйте! Отличный обзор ключевых проблем AD. Спасибо, что структурировали их.
Вопрос в развитие темы: не считаете ли вы, что для полноты картины в статье не хватает кратких рекомендаций по обнаружению этих атак? Например, зная про Kerberoasting, полезно сразу сказать о мониторинге множественных запросов сервис-билетов (Event ID 4769). А для NTLM Relay — о необходимости отслеживания аномалий в аутентификации, пока подпись не включена.
Было бы уместно, на ваш взгляд, дополнить материал такими практическими советами по мониторингу?
Как написал комрад первым же постом: большинство проблем вообще не про домен, а оставшиеся проблемы почти с 100% вероятностью исходят от руководства компаний, типо чтобы директор тоже имел права, как у админа… Потом приходит такой вот аудитор и начинает по бумажке читать то, что он заметил, как буд то админ не понимает, что нельзя делегировать админские права на учетку директора, только вот в чем ситуация - директор платит бабки админу, а не наоборот, поэтому после такого аудит вылазит кругленькая сумма на закупку техники, найм новых сотрудников и урезание прав директору и почему то сразу аудитору платят его гонорар и отправляют в пешее путешествие, и все снова встает на круги своя)))
Типичные ошибки настройки Active Directory