­­­­

«ЕЙ-БІ-СІ ГРУП» ТОВ

“A-B-C GROUP” LLS
  • +38 (050) 550-65-83
  • ТОВ ЕЙ-БІ-СІ ГРУП"Українам Київвул Вишгородська34/1 - 5604114
Назад к списку

4 совета по предотвращению легкого доступа злоумышленников к сетям Windows

Злоумышленники Colonial Pipeline, вероятно, проникли через старые, скомпрометированные учетные данные VPN. Этот совет заставит злоумышленников работать намного усерднее.Каждый раз, когда я читаю об очередной атаке, меня всегда интересует, как злоумышленники получили первоначальный доступ в сеть. Сообщается, что после недавней атаки Colonial Pipeline исходной точкой заражения была старая, неиспользуемая, но все еще открытая учетная запись VPN. Пароль был обнаружен в даркнете, а не получен с помощью фишинга , что подразумевает утечку или повторное использование пароля сотрудником Colonial. В учетной записи VPN не была включена двухфакторная аутентификация ( 2FA ), что позволяло злоумышленнику просто войти в систему. 

Способ атаки заставил меня задуматься о своей собственной сети. Есть ли у меня учетные данные для удаленного доступа без двухфакторной аутентификации? Есть ли другие способы проникновения злоумышленников в мою сеть? Был ли я небрежным в том, как я обрабатываю вход в систему? Есть ли у меня старые неиспользуемые учетные записи со слабыми паролями или, что еще хуже, паролями, которые можно найти на подпольных веб-сайтах?

Эти четыре совета помогут предотвратить легкий доступ злоумышленников к вашей сети Windows. 

1. Поиск старых устройств и учетных записей в Active Directory 

Один из инструментов, который я рекомендую для поиска старых и неиспользуемых учетных записей компьютеров, - это Oldcmp . Вы можете использовать PowerShell, чтобы найти неактивные учетные записи пользователей или определить, кто не входил в систему в течение 90 дней или более, следующим образом:

Get-ADUser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -lt (Get-Date).AddDays(-90)}

Чтобы определить, есть ли устаревшие устройства в Azure Active Directory (Azure AD), вам необходимо использовать консоль или PowerShell. Откройте PowerShell с правами администратора и выполните следующие команды:

Install-Module -Name AzureAD 

Install-Module msonline 

Import-Module -Name AzureAD 

Import-Module msonline 

Connect-MsolService 

Вам будет предложено ввести учетные данные администратора, и вы будете подключены к Azure AD. Теперь выполните следующую команду PowerShell, чтобы экспортировать список устаревших устройств Azure в формате csv.

Get-MsolDevice -all | select-object -Property Enabled, DeviceId, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv “C:\temp\az-devices.csv”

Войдите на портал Azure, используя свои учетные данные администратора. Найдите в Intune и откройте « Intune Blade ». Затем выберите «Устройства» в левом меню, затем выберите «Правила очистки устройства» и включите «Удалять устройства по дате последней регистрации». Установите количество дней, по истечении которых он будет удален, если к нему не будет доступа.

Чтобы найти неактивные учетные записи пользователей в Azure AD, оцените свойство lastSignInDateTime, предоставляемое типом ресурса signInActivity API Microsoft Graph. Следуйте за этим постом, чтобы создать этот отчет. Если информация пуста, пользователь никогда не входил в систему или пользователь входил в систему до декабря 2019 года, что указывает на устаревшие учетные записи, которые необходимо удалить.

Доступ к VPN также может быть интегрирован с пограничным устройством, поэтому проверьте устройства периметра на наличие устаревшей информации о пользователях.

2. Добавьте двухфакторную аутентификацию для доступа к аккаунту. 

Почти все, от Active Directory до облачных сервисов, можно добавить к 2FA. Итог: если вы еще не начали рассматривать варианты отказа от паролей, сделайте это сейчас. Microsoft предлагает такие решения , как Windows Hello для бизнеса для биометрической аутентификации , Microsoft Authenticator для push-уведомлений на мобильные устройства и ключи безопасности FIDO2 . 

3. Проверьте логины пользователей. 

Затем просмотрите логины пользователей, чтобы узнать, на кого в вашей организации нацелены. Часто быстрая фильтрация проверки входа в Azure AD на «сбой» покажет, кто в вашей организации делает больше всего попыток входа в систему. Информируйте этих пользователей о рисках компрометации их учетных данных. Проверьте, какой у них доступ, и при необходимости повысьте безопасность и защиту своих учетных записей. Если у вас есть Azure AD, вы можете добавить условные политики , отслеживающие рискованное поведение. 

4. Обучите пользователей передовым методам работы с паролями. 

Затем побудите своих пользователей больше знать о своих личных привычках с паролями. Безопасное хранение паролей допустимо. Повторное использование паролей - это не нормально. Одна такая интеграция проверит вашу инфраструктуру Active Directory на предмет этих проблем. Как показывает проект k-Anonymity , если вас беспокоит использование API, вы можете использовать автономную базу данных для проверки статуса паролей ваших пользователей. 

Обучайте пользователей выбирать лучшие пароли. Параметр групповой политики «Пароль должен соответствовать требованиям сложности» - отличное место, чтобы проверить, как ваша политика паролей влияет на выбор пользователей. Я часто видел, как эти политики устанавливаются таким образом, чтобы пользователи слишком часто меняли пароли, просто меняли одну букву, чтобы управлять сменой пароля, и в конечном итоге выбирали легко угадываемые пароли. Убедитесь, что вы просматриваете свои настройки и позволяете пользователям выбирать более эффективные пароли, которые будут лучше защищать их и вашу компанию.