USD 68 ЕВРО 76.76

Администраторы Windows получат новые инструменты против атак передачи хэша (pass-the-hash)

Аналитика

Настольные и серверные версии Windows стали менее уязвимы к атакам типа pass-the- hash.

В прошлый Вторник патчей, Microsoft выпустила обновления безопасности, которые добавляют смягчение некоторых атак типа pass-the-hash (РТН). Обновления касаются Windows Server 2012 R2, Windows 8.1, Windows Server 2008 R2 и Windows 7. Это хорошая новость для администраторов, строящих оборону против воров учётных записей.

Прежде, чем пояснить эти меры по смягчению атак, давайте рассмотрим, как обычно происходит кража учетных данных:

1. Злоумышленник получает права администратора для одного сетевого компьютера
2. Злоумышленник получает пароли (или билеты Kerberos) или хэши паролей для всех учетных записей на локальном компьютере, в том числе с правами локального администратора
3. Злоумышленник использует учетные данные локального администратора, чтобы перейти к другим компьютерам, пользуясь тем же логином и паролем, или просто использует учетные данные локального пользователя, если они принадлежат к привилегированной группе домена (таким как Domain Admins  или Enterprise Admins)
4. Злоумышленник получает хэши паролей из контроллера домена
5. Злоумышленник получает контроль над сетью и берет любые данные по желанию

Этот сценарий повторяется тысячи раз каждый день, и несколько раз происходил в большинстве компаний. Хотя многие компании считают кражу учетных данных проблемой номер один, главным приоритетом должен обладать вопрос предотвращения получения повышенных привилегий злоумышленником. Но это две стороны одной и той же проблемы.
Несколько лет назад, не было достаточно информации о том, как предотвратить РtН-атаки, и для Windows отсутствовали конкретные меры по смягчению. Microsoft оказалась на высоте и выпустила три официальных документа, которые нужно прочитать всем администраторам Windows и Active Directory:

•    Лучшие способы защиты Active Directory
•    Смягчение атак Pass-the-Hash (PtH) и других способов кражи учётных данных (версия 2.0)
•    Смягчение атак Pass-the-Hash (Pth) и других способов кражи учётных данных (версия 1.0)

Оба документа — «Смягчение атак РtН» версии 1.0  и «Лучшие способы по защите Active Directory» вышли перед тем, как Microsoft выпустила обновления по смягчению РТН-атак. Тем не менее, они содержат полезную информацию, которую вы не найдете больше нигде, в том числе там есть рекомендации, которым нужно обязательно следовать. В частности, документ об Active Directory содержит «секреты» поддержания среды Active Directory с очень низким уровнем риска. Прочтите документ, и вы будете экспертом по безопасности AD.

В релизах Windows 2012 R2 и Windows 8.1, Microsoft выпустила множество новых функций, специально созданных, чтобы остановить или свести к минимуму РtН-атаки, что описано в официальном документе 2-й версии о РtН. Вот резюме о смягчении PtH в Windows:

— Укрепление безопасности Сервера проверки подлинности локальной системы безопасности (LSASS) для предотвращения дампа хэшей
— Множество процессов, ранее хранивших учетные данные в памяти, больше так не делают
— Усовершенствованные методы ограничения локальных учетных записей от перехода по сети
— Программам не разрешается оставлять учетные данные в памяти после того, как пользователь выходит из системы
— Позволяется использование соединения по протоколу удаленного рабочего стола (RDP), без передачи учетных данных пользователя на дистанционно управляемый компьютер
— Новая группа Protected User, с учетными данными пользователя, которые не могут быть использованы в удаленных атаках РtН
— Несколько других изменений в ОС, которые делают РtН-атаки трудновыполнимыми

Большинство из этих защитных мер теперь доступны во всех поддерживаемых операционных системах Microsoft. Если ваша компания беспокоится о PtH-атаках, вы должны реализовать эти меры по смягчению. Да, хакеры и вирусописатели уже работают сверхурочно, чтобы победить эту защиту, но не стоит им облегчать работу.

Вы можете принять многие другие меры, связанные с традиционными политиками, процедурами и средствами управления, которые не требуют новых возможностей. Если все сделано правильно, они могут обеспечить даже лучшую защиту, чем смягчение, описанное выше:

— Предотвращение возможности получения злоумышленником доступа локального администратора или администратора домена. Это включает в себя установку последних патчей, обучение конечных пользователей против воздействия социальной инженерии, и проверку того, что конечные пользователи не входят в систему с повышенными привилегиями.
— Уменьшите количество привилегированных учетных записей домена до нуля или как можно ближе к нулю. Это называется моделью «нулевого администратора». Не допускайте постоянным членам любое повышение привилегий. Вместо этого используйте делегирование, хранилища учетных данных, или PIM-продукт.
— Аудит, оповещения и проверка членства в любое время в привилегированной группе, изменяемые неожиданно.
— Требование для всех привилегированных аккаунтов использовать двухфакторную аутентификацию.
— Требование для всех администраторов использовать «jump box» (представляет собой специально настроенный компьютер, в который администраторы должны войти, чтобы получить доступ к другим компьютерам и администрировать их с высоким уровнем безопасности — без доступа в Интернет, со строгим контролем белых списков, и новейшими патчами) для администрирования других серверов.
— Не позволяйте доменным учётным записям с повышенными привилегиями входить на рабочие станции конечных пользователей. Вместо этого, они должны войти с использованием делегирования или как локальный администратор.
— Запретите возможность для локальных учетных записей с повышенными привилегиями входить на другие компьютеры по сети (используйте групповые политики или локальные политики).
— Убедитесь, что все локальные учетные записи с повышенными привилегиями, например, администратор, используют уникальные пароли, чтобы их нельзя было легко использовать для запуска атак против соседних компьютеров.

Наконец, используйте инструменты удаленного управления для входа на удаленные компьютеры, которые не размещают учётные данные в памяти удаленного компьютера. Встроенные и общие методы Windows включают в себя:

— RDP в режиме RestrictedAdmin
— Remote Desktop Gateway
— Консоли MMC (даже при подключении к удалённым компьютерам)
— Команды Net Use\computer
— PowerShell WinRM (без использования CredSSP)
— PSExec (без предоставления учётных данных)
— Методы Integrated Windows Authentication (IWA)
Любой из этих методов предпочтительнее методов, которые оставляют учетные данные в памяти или на диске. Чтобы освежить вашу память, вот методы удаленного управления, которых вам следует избегать:

— Логин на локальную консоль
— Команда RunAs
— RDP без использования свитча /restrictedadmin
— PowerShell с использованием CredSSP
— PSExec с явным предоставлением учётных данных
— Назначенные задания (Scheduled Task)
— Инструменты, запускаемые как служба
— Базовую аутентификацию IIS (Internet Information Services)
Все они оставляют учетные данные в памяти или на диске. Всякий раз, когда это возможно, не используйте их.
 
Если будете следовать всем этим рекомендациям, вы значительно снизите риски и помешаете наиболее уверенным хакерам, которые привыкли к нахождению в более приятных условиях.
 
Если мы не улучшим безопасность на компьютерах и в сетях, мы должны жить с тем, что хакеры могут их взломать. Эти рекомендации сорвут планы злоумышленников и замедлят их.
Рекомендации вы получили. Идите и защищайтесь!