Odzyskiwanie po naruszeniu tożsamości systemowej

W tym artykule opisano zasoby i zalecenia firmy Microsoft dotyczące odzyskiwania po ataku na naruszenie tożsamości systemowej przed organizacją, na przykład atak Nobla z grudnia 2020 r.

Zawartość tego artykułu jest oparta na wskazówkach dostarczonych przez zespół ds. wykrywania i reagowania firmy Microsoft (DART), który działa w celu reagowania na naruszenia bezpieczeństwa i pomaga klientom stać się cyberodpornym. Aby uzyskać więcej wskazówek od zespołu DART, zobacz serię blogów dotyczących zabezpieczeń firmy Microsoft.

Wiele organizacji przeszedło do podejścia opartego na chmurze, aby zapewnić większe bezpieczeństwo w zakresie zarządzania tożsamościami i dostępem. Jednak organizacja może również mieć systemy lokalne i korzystać z różnych metod architektury hybrydowej. W tym artykule opisano, że ataki na tożsamość systemową wpływają na chmurę, lokalne i hybrydowe systemy oraz zawiera zalecenia i odwołania do wszystkich tych środowisk.

Ważne

Te informacje są dostarczane zgodnie z rzeczywistymi informacjami i stanowią uogólnione wskazówki; ostateczna determinacja dotycząca sposobu stosowania tych wskazówek do środowiska IT i dzierżawców musi uwzględniać twoje unikatowe środowisko i potrzeby, które każdy klient ma najlepszą pozycję do ustalenia.

Informacje o naruszeniu bezpieczeństwa tożsamości systemowej

Atak na naruszenie tożsamości systemowej w organizacji występuje, gdy osoba atakująca pomyślnie uzyska przyczółek do administrowania infrastrukturą tożsamości organizacji.

Jeśli tak się stało z twoją organizacją, jesteś w wyścigu przeciwko atakującemu, aby zabezpieczyć środowisko przed dalszymi uszkodzeniami.

  • Osoby atakujące z kontrolą administracyjną infrastruktury tożsamości środowiska mogą używać tej kontrolki do tworzenia, modyfikowania lub usuwania tożsamości i uprawnień tożsamości w tym środowisku.

    W przypadku naruszenia zabezpieczeń lokalnych, jeśli zaufane certyfikaty podpisywania tokenów SAML nie są przechowywane w module HSM, atak obejmuje dostęp do tego zaufanego certyfikatu podpisywania tokenów SAML.

  • Osoby atakujące mogą następnie używać certyfikatu do tworzenia tokenów SAML w celu personifikacji dowolnego z istniejących użytkowników i kont organizacji bez konieczności uzyskiwania dostępu do poświadczeń konta i bez opuszczania śladów.

  • Dostęp do konta o wysokim poziomie uprawnień może również służyć do dodawania poświadczeń kontrolowanych przez osobę atakującą do istniejących aplikacji, umożliwiając atakującym dostęp do niezakrytego systemu, takiego jak wywoływanie interfejsów API przy użyciu tych uprawnień.

Reagowanie na atak

Reagowanie na systemowe naruszenia tożsamości powinno zawierać kroki przedstawione na poniższej ilustracji i tabeli:

Kroki odzyskiwania po naruszeniu zabezpieczeń tożsamości.

Krok Opis
Ustanawianie bezpiecznej komunikacji Organizacja, która doświadczyła naruszenia tożsamości systemowej, musi przyjąć, że ma to wpływ na całą komunikację. Przed podjęciem jakichkolwiek działań odzyskiwania należy upewnić się, że członkowie zespołu, którzy są kluczem do twojego badania i wysiłku w zakresie reagowania , mogą bezpiecznie komunikować się.

Zabezpieczanie komunikacji musi być pierwszym krokiem, aby można było kontynuować bez wiedzy osoby atakującej.
Badanie środowiska Po zabezpieczeniu komunikacji w podstawowym zespole dochodzeniowym możesz zacząć szukać początkowych punktów dostępu i technik trwałości. Zidentyfikuj swoje wskazania dotyczące naruszenia, a następnie poszukaj początkowych punktów dostępu i trwałości. W tym samym czasie rozpocznij ustanawianie operacji ciągłego monitorowania podczas wysiłków związanych z odzyskiwaniem.
Zwiększanie stanu zabezpieczeń Włącz funkcje i możliwości zabezpieczeń zgodnie z zaleceniami dotyczącymi najlepszych rozwiązań w celu zwiększenia bezpieczeństwa systemu.

Pamiętaj, aby kontynuować ciągłe monitorowanie w miarę upływu czasu i zmian w poziomie zabezpieczeń.
Odzyskiwanie/zachowywanie kontroli Musisz odzyskać kontrolę administracyjną nad środowiskiem od osoby atakującej. Po ponownym kontrolce i odświeżeniu stanu zabezpieczeń systemu pamiętaj, aby skorygować lub zablokować wszystkie możliwe techniki trwałości i nowe początkowe luki w zabezpieczeniach.

Ustanawianie bezpiecznej komunikacji

Zanim zaczniesz odpowiadać, musisz mieć pewność, że możesz bezpiecznie komunikować się bez podsłuchania osoby atakującej. Pamiętaj, aby odizolować wszelką komunikację związaną z incydentem, aby osoba atakująca nie przechyliła się do dochodzenia i jest niespodziewana w przypadku akcji reagowania.

Przykład:

  1. W przypadku początkowej komunikacji jedno-on-one i komunikacji grupowej możesz użyć połączeń PSTN, mostków konferencyjnych, które nie są połączone z infrastrukturą firmową i kompleksowe rozwiązania do szyfrowania wiadomości.

    Komunikacja poza tymi strukturami powinna być traktowana jako naruszona i niezaufana, chyba że zostanie zweryfikowana za pośrednictwem bezpiecznego kanału.

  2. Po tych początkowych konwersacjach możesz utworzyć całkowicie nową dzierżawę platformy Microsoft 365 odizolowaną od dzierżawy produkcyjnej organizacji. Utwórz konta tylko dla kluczowych pracowników, którzy muszą być częścią odpowiedzi.

Jeśli utworzysz nową dzierżawę platformy Microsoft 365, pamiętaj o przestrzeganiu wszystkich najlepszych rozwiązań dotyczących dzierżawy, a zwłaszcza w przypadku kont administracyjnych i praw. Ogranicz prawa administracyjne, bez relacji zaufania dla zewnętrznych aplikacji lub dostawców.

Ważne

Upewnij się, że nie komunikujesz się z nową dzierżawą w istniejącej dzierżawie i potencjalnie naruszonych kontach e-mail.

Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące bezpiecznego korzystania z platformy Microsoft 365.

Identyfikowanie oznak naruszenia zabezpieczeń

Zalecamy, aby klienci przestrzegali aktualizacji od dostawców systemów, w tym zarówno firmy Microsoft, jak i wszystkich partnerów, oraz zaimplementowali wszelkie nowe wykryte wykrycia i zabezpieczenia oraz zidentyfikowali opublikowane incydenty naruszenia (IOCs).

Sprawdź aktualizacje w następujących produktach zabezpieczeń firmy Microsoft i zaimplementuj wszelkie zalecane zmiany:

Wdrożenie nowych aktualizacji pomoże zidentyfikować wszelkie wcześniejsze kampanie i zapobiec przyszłym kampaniom przeciwko systemowi. Należy pamiętać, że listy IOC mogą nie być wyczerpujące i mogą być rozszerzane w miarę kontynuowania badań.

W związku z tym zalecamy również wykonanie następujących czynności:

Aby uzyskać więcej informacji, zobacz dokumentację zabezpieczeń firmy Microsoft:

Badanie środowiska

Gdy osoby reagujące na zdarzenia i kluczowy personel mają bezpieczne miejsce do współpracy, możesz rozpocząć badanie naruszonego środowiska.

Musisz zrównoważyć dotarcie do dołu każdego nietypowego zachowania i podjąć szybką akcję, aby zatrzymać wszelkie dalsze działania przez osobę atakującą. Każde pomyślne korygowanie wymaga zrozumienia początkowej metody wprowadzania i trwałości używanych przez osobę atakującą, tak jak to możliwe w tym czasie. Wszelkie metody trwałości pominięte podczas badania mogą spowodować ciągły dostęp przez osobę atakującą i potencjalną ponowną kompilację.

W tym momencie możesz wykonać analizę ryzyka, aby określić priorytety akcji. Aby uzyskać więcej informacji, zobacz:

Usługi zabezpieczeń firmy Microsoft udostępniają obszerne zasoby na potrzeby szczegółowych badań. W poniższych sekcjach opisano najważniejsze zalecane akcje.

Uwaga

Jeśli okaże się, że co najmniej jedno z wymienionych źródeł rejestrowania nie jest obecnie częścią programu zabezpieczeń, zalecamy skonfigurowanie ich tak szybko, jak to możliwe, aby umożliwić wykrywanie i przyszłe przeglądy dzienników.

Pamiętaj, aby skonfigurować przechowywanie dzienników w celu wspierania celów badania w organizacji w przyszłości. Zachowaj dowody zgodnie z potrzebami w celach prawnych, regulacyjnych lub ubezpieczeniowych.

Badanie i przeglądanie dzienników środowiska chmury

Zbadaj i przejrzyj dzienniki środowiska chmury pod kątem podejrzanych akcji i wskazówek dotyczących naruszenia zabezpieczeń przez osobę atakującą. Na przykład sprawdź następujące dzienniki:

Przeglądanie dzienników inspekcji punktu końcowego

Przejrzyj dzienniki inspekcji punktu końcowego pod kątem zmian lokalnych, takich jak następujące typy akcji:

  • Zmiany członkostwa w grupie
  • Tworzenie nowego konta użytkownika
  • Delegowanie w usłudze Active Directory

Szczególnie należy wziąć pod uwagę dowolne z tych zmian, które występują wraz z innymi typowymi oznakami naruszenia lub aktywności.

Przeglądanie praw administracyjnych w środowiskach

Przejrzyj prawa administracyjne zarówno w środowiskach chmurowych, jak i lokalnych. Przykład:

Środowisko Opis
Wszystkie środowiska chmury — Przejrzyj wszelkie prawa dostępu uprzywilejowanego w chmurze i usuń wszelkie niepotrzebne uprawnienia
- Implementowanie Privileged Identity Management (PIM)
- Konfigurowanie zasad dostępu warunkowego w celu ograniczenia dostępu administracyjnego podczas wzmacniania zabezpieczeń
Wszystkie środowiska lokalne — Przeglądanie dostępu uprzywilejowanego lokalnie i usuwanie niepotrzebnych uprawnień
- Zmniejszenie członkostwa w wbudowanych grupach
— Weryfikowanie delegowania usługi Active Directory
— Wzmacnianie środowiska warstwy 0 i ograniczanie dostępu do zasobów warstwy 0
Wszystkie aplikacje dla przedsiębiorstw Przejrzyj informacje o uprawnieniach delegowanych i udzielaniu zgody, które zezwalają na dowolną z następujących akcji:

- Modyfikowanie uprzywilejowanych użytkowników i ról
- Odczytywanie lub uzyskiwanie dostępu do wszystkich skrzynek pocztowych
- Wysyłanie lub przekazywanie wiadomości e-mail w imieniu innych użytkowników
— Uzyskiwanie dostępu do całej zawartości witryny usługi OneDrive lub programu SharePoint
— Dodawanie jednostek usługi, które mogą odczytywać/zapisywać w katalogu
Środowiska platformy Microsoft 365 Przejrzyj ustawienia dostępu i konfiguracji środowiska platformy Microsoft 365, w tym:
— Udostępnianie usługi SharePoint Online
— Microsoft Teams
— Power Apps
- Microsoft OneDrive dla Firm
Przeglądanie kont użytkowników w środowiskach — Przeglądanie i usuwanie kont użytkowników-gości, które nie są już potrzebne.
— Przejrzyj konfiguracje poczty e-mail dla pełnomocników, uprawnień folderów skrzynki pocztowej, rejestracji urządzeń przenośnych ActiveSync, reguł skrzynki odbiorczej i programu Outlook w opcjach sieci Web.
— Przejrzyj prawa applicationImpersonation i zmniejsz wszelkie możliwości korzystania ze starszego uwierzytelniania.
— Sprawdź, czy uwierzytelnianie wieloskładnikowe jest wymuszane i czy zarówno usługa MFA, jak i samoobsługowe resetowanie hasła (SSPR) informacje kontaktowe dla wszystkich użytkowników są poprawne.

Ustanawianie ciągłego monitorowania

Wykrywanie zachowania osoby atakującej obejmuje kilka metod i zależy od narzędzi zabezpieczeń, które organizacja ma dostęp do reagowania na atak.

Na przykład usługi zabezpieczeń firmy Microsoft mogą mieć określone zasoby i wskazówki dotyczące ataku, zgodnie z opisem w poniższych sekcjach.

Ważne

Jeśli badanie wykryje dowody uprawnień administracyjnych uzyskanych w ramach naruszenia zabezpieczeń w systemie, które zapewniły dostęp do konta administratora globalnego organizacji i/lub zaufanego certyfikatu podpisywania tokenów SAML, zalecamy podjęcie działań w celu skorygowania i zachowania kontroli administracyjnej.

Monitorowanie za pomocą usługi Microsoft Sentinel

Usługa Microsoft Sentinel ma wiele wbudowanych zasobów ułatwiających badanie, takich jak skoroszyty wyszukiwania zagrożeń i reguły analizy, które mogą pomóc wykrywać ataki w odpowiednich obszarach środowiska.

Aby uzyskać więcej informacji, zobacz:

Monitorowanie za pomocą Microsoft 365 Defender

Zalecamy sprawdzenie Microsoft 365 Defender punktów końcowych i programu antywirusowego Microsoft Defender, aby uzyskać szczegółowe wskazówki dotyczące ataku.

Sprawdź inne przykłady wykrywania, zapytań dotyczących wyszukiwania zagrożeń i raportów analizy zagrożeń w centrum zabezpieczeń firmy Microsoft, takich jak Microsoft 365 Defender, Microsoft 365 Defender dla tożsamości i Microsoft Defender for Cloud Apps. Aby zapewnić pokrycie, upewnij się, że oprócz wszystkich kontrolerów domeny zainstalowano agenta Microsoft Defender for Identity na serwerach usług AD FS.

Aby uzyskać więcej informacji, zobacz:

Monitorowanie za pomocą usługi Azure Active Directory

Dzienniki logowania usługi Azure Active Directory mogą pokazywać, czy uwierzytelnianie wieloskładnikowe jest używane prawidłowo. Uzyskaj dostęp do dzienników logowania bezpośrednio z obszaru usługi Azure Active Directory w Azure Portal, użyj polecenia cmdlet Get-AzureADAuditSignInLogs lub wyświetl je w obszarze Dzienniki usługi Microsoft Sentinel.

Na przykład wyszukaj lub przefiltruj wyniki, gdy pole wyników uwierzytelniania wieloskładnikowego ma wartość wymagania uwierzytelniania wieloskładnikowego spełnionego przez oświadczenie w tokenie. Jeśli organizacja korzysta z usług ADFS, a zarejestrowane oświadczenia nie są uwzględnione w konfiguracji usług AD FS, te oświadczenia mogą wskazywać na działanie osoby atakującej.

Wyszukaj lub odfiltruj wyniki, aby wykluczyć dodatkowy szum. Na przykład możesz chcieć uwzględnić wyniki tylko z domen federacyjnych. Jeśli znajdziesz podejrzane logowania, przejdź do szczegółów jeszcze bardziej na podstawie adresów IP, kont użytkowników itd.

W poniższej tabeli opisano więcej metod używania dzienników usługi Azure Active Directory w ramach badania:

Metoda Opis
Analizowanie ryzykownych zdarzeń logowania Usługa Azure Active Directory i jej platforma Identity Protection mogą generować zdarzenia ryzyka związane z użyciem tokenów SAML generowanych przez osobę atakującą.

Te zdarzenia mogą być oznaczone jako nieznane właściwości, anonimowy adres IP, niemożliwa podróż itd.

Zalecamy dokładne analizowanie wszystkich zdarzeń o podwyższonym ryzyku skojarzonych z kontami z uprawnieniami administracyjnymi, w tym wszystkich, które mogły zostać automatycznie odrzucone lub skorygowane. Na przykład zdarzenie ryzyka lub anonimowy adres IP mogą zostać automatycznie skorygowane, ponieważ użytkownik przeszedł uwierzytelnianie wieloskładnikowe.

Upewnij się, że używasz programu ADFS Connect Health, aby wszystkie zdarzenia uwierzytelniania było widoczne w Azure AD.
Wykrywanie właściwości uwierzytelniania domeny Każda próba manipulowania zasadami uwierzytelniania domeny przez osobę atakującą zostanie zarejestrowana w dziennikach inspekcji usługi Azure Active Directory i odzwierciedlona w dzienniku ujednoliconej inspekcji.

Na przykład przejrzyj wszystkie zdarzenia skojarzone z ustawieniem uwierzytelniania domeny w ujednoliconym dzienniku inspekcji, Azure AD dzienniki inspekcji i /lub środowisko SIEM, aby sprawdzić, czy wszystkie wymienione działania były oczekiwane i planowane.
Wykrywanie poświadczeń dla aplikacji OAuth Osoby atakujące, które uzyskały kontrolę nad uprzywilejowanym kontem, mogą wyszukać aplikację z możliwością uzyskania dostępu do poczty e-mail użytkownika w organizacji, a następnie dodać do tej aplikacji poświadczenia kontrolowane przez osobę atakującą.

Możesz na przykład wyszukać dowolne z następujących działań, które byłyby zgodne z zachowaniem osoby atakującej:
— Dodawanie lub aktualizowanie poświadczeń jednostki usługi
— Aktualizowanie certyfikatów aplikacji i wpisów tajnych
— Dodawanie przypisania roli aplikacji do użytkownika
— Dodawanie elementu Oauth2PermissionGrant
Wykrywanie dostępu do poczty e-mail przez aplikacje Wyszukaj dostęp do poczty e-mail według aplikacji w twoim środowisku. Na przykład użyj funkcji Inspekcja w Microsoft Purview (Premium), aby zbadać konta z naruszonymi zabezpieczeniami.
Wykrywanie nieinterakcyjnych logań do jednostek usługi Raporty logowania usługi Azure Active Directory zawierają szczegółowe informacje o wszelkich nieinterakcyjnych logowaniach, które używały poświadczeń jednostki usługi. Na przykład możesz użyć raportów logowania, aby znaleźć cenne dane do zbadania, takie jak adres IP używany przez osobę atakującą do uzyskiwania dostępu do aplikacji poczty e-mail.

Zwiększanie poziomu zabezpieczeń

Jeśli w systemach wystąpiło zdarzenie zabezpieczeń, zalecamy zastanowinie się nad bieżącą strategią i priorytetami zabezpieczeń.

Osoby reagujące na zdarzenia są często proszone o przedstawienie zaleceń dotyczących inwestycji, które organizacja powinna określić priorytet, teraz, gdy staną przed nowymi zagrożeniami.

Oprócz zaleceń opisanych w tym artykule zalecamy rozważenie nadania priorytetów obszarom fokusu, które reagują na techniki po wykorzystaniu używane przez tę osobę atakującą i typowe luki w stanie zabezpieczeń, które je umożliwiają.

W poniższych sekcjach wymieniono zalecenia dotyczące poprawy stanu zabezpieczeń zarówno ogólnych, jak i tożsamości.

Zwiększanie ogólnego poziomu zabezpieczeń

Zalecamy wykonanie następujących akcji, aby zapewnić ogólny stan zabezpieczeń:

Zwiększanie stanu zabezpieczeń tożsamości

Zalecamy wykonanie następujących akcji w celu zapewnienia stanu zabezpieczeń związanych z tożsamościami:

  • Zapoznaj się z pięcioma krokami firmy Microsoft, aby zabezpieczyć infrastrukturę tożsamości i określić priorytety kroków odpowiednich dla architektury tożsamości.

  • Rozważ migrację do ustawień domyślnych zabezpieczeń Azure AD dla zasad uwierzytelniania.

  • Wyeliminuj korzystanie ze starszego uwierzytelniania w organizacji, jeśli systemy lub aplikacje nadal tego wymagają. Aby uzyskać więcej informacji, zobacz Blokowanie starszego uwierzytelniania w celu Azure AD przy użyciu dostępu warunkowego.

    Uwaga

    Zespół programu Exchange planuje wyłączenie uwierzytelniania podstawowego dla protokołów EAS, EWS, POP, IMAP i RPS w drugiej połowie 2021 roku.

    W celu zapewnienia przejrzystości wartości domyślne zabezpieczeń i zasady uwierzytelniania są oddzielne, ale zapewniają funkcje uzupełniające.

    Zalecamy, aby klienci używali zasad uwierzytelniania, aby wyłączyć uwierzytelnianie podstawowe dla podzestawu protokołów Exchange Online lub stopniowo wyłączać uwierzytelnianie podstawowe w dużej organizacji.

  • Traktuj infrastrukturę usług AD FS i infrastrukturę programu AD Connect jako zasób warstwy 0.

  • Ogranicz lokalny dostęp administracyjny do systemu, w tym konto używane do uruchamiania usługi ADFS.

    Najmniejszymi uprawnieniami niezbędnymi dla konta z uruchomioną usługą ADFS jest przypisanie prawego użytkownika usługi jako użytkownik usługi .

  • Ogranicz dostęp administracyjny do ograniczonych użytkowników i z ograniczonych zakresów adresów IP przy użyciu zasad zapory systemu Windows dla pulpitu zdalnego.

    Zalecamy skonfigurowanie urządzenia przesiadkowego warstwy 0 lub równoważnego systemu.

  • Blokuj cały przychodzący dostęp SMB do systemów z dowolnego miejsca w środowisku. Aby uzyskać więcej informacji, zobacz Beyond the Edge: How to Secure SMB Traffic in Windows (Zabezpieczanie ruchu SMB w systemie Windows). Zalecamy również przesyłanie strumieniowe dzienników zapory systemu Windows do rozwiązania SIEM na potrzeby monitorowania historycznego i proaktywnego.

  • Jeśli używasz konta usługi i obsługuje je środowisko, przeprowadź migrację z konta usługi do konta usługi zarządzanego przez grupę (gMSA). Jeśli nie możesz przejść do konta usługi gMSA, przeróć hasło na koncie usługi do złożonego hasła.

  • Upewnij się, że pełne rejestrowanie jest włączone w systemach usług ADFS. Na przykład uruchom następujące polecenia:

    Set-AdfsProperties -AuditLevel verbose
    Restart-Service -Name adfssrv
    Auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable
    

Korygowanie i zachowywanie kontroli administracyjnej

Jeśli badanie wykazało, że osoba atakująca ma kontrolę administracyjną w chmurze lub środowisku lokalnym organizacji, musisz odzyskać kontrolę w taki sposób, aby upewnić się, że osoba atakująca nie jest trwała.

Ta sekcja zawiera możliwe metody i kroki, które należy wziąć pod uwagę podczas tworzenia planu odzyskiwania kontroli administracyjnej.

Ważne

Dokładne kroki wymagane w organizacji zależą od tego, jaka trwałość została odkryta w dochodzeniu i jak pewna jest pewność, że badanie zostało ukończone i odkryło wszystkie możliwe metody wprowadzania i trwałości.

Upewnij się, że wszystkie podjęte akcje są wykonywane z zaufanego urządzenia utworzonego na podstawie czystego źródła. Na przykład użyj nowej, uprzywilejowanej stacji roboczej dostępu.

W poniższych sekcjach przedstawiono następujące typy zaleceń dotyczących korygowania i zachowywania kontroli administracyjnej:

  • Usuwanie zaufania na bieżących serwerach
  • Obracanie certyfikatu podpisywania tokenów SAML lub zastępowanie serwerów usług ADFS w razie potrzeby
  • Konkretne działania korygacyjne dla środowisk w chmurze lub środowiskach lokalnych

Usuwanie zaufania na bieżących serwerach

Jeśli Twoja organizacja utraciła kontrolę nad certyfikatami podpisywania tokenów lub zaufaniem federacyjnym, najbardziej zapewnionym podejściem jest usunięcie zaufania i przełączenie się do tożsamości mastered w chmurze podczas korygowania lokalnie.

Usuwanie zaufania i przełączanie się do tożsamości mastered w chmurze wymaga starannego planowania i dogłębnego zrozumienia skutków operacji biznesowych izolowania tożsamości. Aby uzyskać więcej informacji, zobacz Ochrona platformy Microsoft 365 przed atakami lokalnymi.

Obracanie certyfikatu podpisywania tokenów SAML

Jeśli twoja organizacja zdecyduje się nieusunąć zaufania podczas odzyskiwania kontroli administracyjnej lokalnie, musisz ponownie obrócić certyfikat podpisywania tokenów SAML po odzyskaniu kontroli administracyjnej lokalnie i zablokować atakującym dostęp do certyfikatu podpisywania ponownie.

Obracanie certyfikatu podpisywania tokenu za jednym razem pozwala na działanie poprzedniego certyfikatu podpisywania tokenu. Kontynuowanie zezwalania na działanie poprzednich certyfikatów jest wbudowaną funkcją normalnego rotacji certyfikatów, która umożliwia organizacjom okres prolongaty aktualizowania wszelkich relacji zaufania jednostki uzależnionej przed wygaśnięciem certyfikatu.

Jeśli wystąpił atak, nie chcesz, aby osoba atakująca w ogóle zachowała dostęp. Pamiętaj, aby wykonać następujące kroki, aby upewnić się, że osoba atakująca nie zachowuje możliwości tworzenia tokenów dla domeny.

Przestroga

Ostatni krok tej procedury rejestruje użytkowników z telefonów, bieżących sesji poczty internetowej i innych elementów korzystających ze skojarzonych tokenów i tokenów odświeżania.

Porada

Wykonanie tych kroków w środowisku usług ADFS powoduje utworzenie zarówno certyfikatu podstawowego, jak i pomocniczego, a następnie automatyczne podwyższenie poziomu certyfikatu pomocniczego do podstawowego po domyślnym okresie 5 dni.

Jeśli masz relacje zaufania jednostki uzależnionej, może to mieć wpływ na 5 dni po początkowej zmianie środowiska usług ADFS i należy je uwzględnić w planie. Można to również rozwiązać, zastępując certyfikat podstawowy po raz trzeci przy użyciu flagi Pilne i usuwając certyfikat pomocniczy lub wyłączając automatyczną rotację certyfikatów.

Aby w pełni obrócić certyfikat podpisywania tokenu i zapobiec utworzeniu nowego tokenu przez osobę atakującą

  1. Upewnij się, że parametr AutoCertificateRollover ma wartość True:

    Get-AdfsProperties | FL AutoCert*, Certificate*
    

    Jeśli funkcja AutoCertificateRollover nie jest ustawiona na wartość True, ustaw wartość w następujący sposób:

    Set-ADFSProperties -AutoCertificateRollover $true
    
  2. Połącz się z usługą Microsoft Online Service:

    Connect-MsolService
    
  3. Uruchom następujące polecenie i zanotuj odcisk palca certyfikatu podpisywania tokenu lokalnego i chmury:

    Get-MsolFederationProperty -DomainName <domain>
    

    Przykład:

    ...
    [Not Before]
        12/9/2020 7:57:13 PM
    
    [Not After]
        12/9/2021 7:57:13 PM
    
    [Thumbprint]
        3UD1JG5MEFHSBW7HEPF6D98EI8AHNTY22XPQWJFK6
    
  4. Zastąp certyfikat podpisywania tokenu podstawowego za pomocą przełącznika Pilne . To polecenie powoduje natychmiastowe zastąpienie certyfikatu podstawowego przez usługę ADFS bez tworzenia go certyfikatu pomocniczego:

    Update-AdfsCertificate -CertificateType Token-Signing -Urgent
    
  5. Utwórz pomocniczy certyfikat podpisywania tokenu bez przełącznika Pilne . To polecenie umożliwia korzystanie z dwóch lokalnych certyfikatów podpisywania tokenów przed zsynchronizowaniem z usługą Azure Cloud.

    Update-AdfsCertificate -CertificateType Token-Signing
    
  6. Zaktualizuj środowisko chmury przy użyciu certyfikatów podstawowych i pomocniczych lokalnych, aby natychmiast usunąć certyfikat podpisywania tokenu opublikowanego w chmurze.

    Update-MsolFederatedDomain -DomainName <domain>
    

    Ważne

    Jeśli ten krok nie zostanie wykonany przy użyciu tej metody, stary certyfikat podpisywania tokenu może nadal być w stanie uwierzytelnić użytkowników.

  7. Aby upewnić się, że te kroki zostały wykonane poprawnie, sprawdź, czy certyfikat wyświetlany przed krokiem 3 został usunięty:

    Get-MsolFederationProperty -DomainName <domain>
    
  8. Odwoływanie tokenów odświeżania za pomocą programu PowerShell, aby zapobiec dostępowi ze starymi tokenami.

    Aby uzyskać więcej informacji, zobacz:

Zastępowanie serwerów usług ADFS

Jeśli zamiast obracać certyfikat podpisywania tokenów SAML, decydujesz się zastąpić serwery usług ADFS czystymi systemami, musisz usunąć istniejące usługi ADFS ze środowiska, a następnie skompilować nowy.

Aby uzyskać więcej informacji, zobacz Usuwanie konfiguracji.

Działania korygowania w chmurze

Oprócz zaleceń wymienionych wcześniej w tym artykule zalecamy również następujące działania dla środowisk w chmurze:

Działanie Opis
Resetowanie haseł Zresetuj hasła na dowolnych kontach przeszklonych i zmniejsz liczbę kont przeszklonych do bezwzględnego minimum wymaganego.
Ograniczanie kont dostępu uprzywilejowanego Upewnij się, że konta usług i użytkowników z uprzywilejowanym dostępem są kontami tylko w chmurze i nie używaj kont lokalnych synchronizowanych ani federacyjnych z usługą Azure Active Directory.
Wymuszanie uwierzytelniania wieloskładnikowego Wymuszanie uwierzytelniania wieloskładnikowego (MFA) dla wszystkich użytkowników z podwyższonym poziomem uprawnień w dzierżawie. Zalecamy wymuszanie uwierzytelniania wieloskładnikowego dla wszystkich użytkowników w dzierżawie.
Ograniczanie dostępu administracyjnego Zaimplementuj Privileged Identity Management (PIM) i dostęp warunkowy, aby ograniczyć dostęp administracyjny.

W przypadku użytkowników platformy Microsoft 365 zaimplementuj usługę Privileged Access Management (PAM), aby ograniczyć dostęp do poufnych możliwości, takich jak zbieranie elektronicznych materiałów dowodowych, globalne Administracja, administrowanie kontami i nie tylko.
Przeglądanie/zmniejszanie uprawnień delegowanych i udzielania zgody Przejrzyj i zmniejsz wszystkie delegowane uprawnienia lub zgody dla aplikacji dla przedsiębiorstw, które zezwalają na dowolną z następujących funkcji:

- Modyfikacja uprzywilejowanych użytkowników i ról
— Odczytywanie, wysyłanie wiadomości e-mail lub uzyskiwanie dostępu do wszystkich skrzynek pocztowych
— Uzyskiwanie dostępu do zawartości usługi OneDrive, aplikacji Teams lub programu SharePoint
— Dodawanie jednostek usługi, które mogą odczytywać/zapisywać w katalogu
— Uprawnienia aplikacji a dostęp delegowany

Działania korygowania lokalnego

Oprócz zaleceń wymienionych wcześniej w tym artykule zalecamy również następujące działania dla środowisk lokalnych:

Działanie Opis
Ponowne kompilowanie systemów, których dotyczy problem Ponowne kompilowanie systemów, które zostały zidentyfikowane jako naruszone przez osobę atakującą podczas badania.
Usuwanie niepotrzebnych użytkowników administracyjnych Usuń niepotrzebnych członków z grup administratorzy domeny, operatorzy kopii zapasowych i grupy Administracja przedsiębiorstwa. Aby uzyskać więcej informacji, zobacz Zabezpieczanie dostępu uprzywilejowanego.
Resetowanie haseł do kont uprzywilejowanych Resetuj hasła wszystkich uprzywilejowanych kont w środowisku.

Uwaga: Konta uprzywilejowane nie są ograniczone do wbudowanych grup, ale mogą być również grupami delegowanymi dostępu do administracji serwera, administracji stacji roboczej lub innych obszarów środowiska.
Resetowanie konta krbtgt Zresetuj konto krbtgt dwa razy przy użyciu skryptu New-KrbtgtKeys .

Uwaga: jeśli używasz Read-Only kontrolerów domeny, należy uruchomić skrypt oddzielnie dla kontrolerów domeny Read-Write i kontrolerów domeny Read-Only.
Planowanie ponownego uruchomienia systemu Po sprawdzeniu, czy żadne mechanizmy trwałości utworzone przez osobę atakującą nie istnieją lub pozostaną w systemie, zaplanuj ponowne uruchomienie systemu, aby pomóc w usunięciu złośliwego oprogramowania rezydenta pamięci.
Resetowanie hasła modułu DSRM Zresetuj hasło DSRM każdego kontrolera domeny (tryb przywracania usług katalogowych) do czegoś unikatowego i złożonego.

Korygowanie lub blokowanie trwałości wykrytej podczas badania

Badanie jest procesem iteracyjnym i trzeba będzie zrównoważyć chęć organizacji do skorygowania w miarę identyfikowania anomalii i prawdopodobieństwa, że korygowanie powiadomi osobę atakującą o wykryciu i nada im czas reakcji.

Na przykład osoba atakująca, która zdaje sobie sprawę z wykrywania, może zmienić techniki lub utworzyć większą trwałość.

Pamiętaj, aby skorygować wszystkie techniki trwałości, które zostały zidentyfikowane we wcześniejszych etapach badania.

Korygowanie dostępu użytkownika i konta usługi

Oprócz zalecanych akcji wymienionych powyżej zalecamy rozważenie następujących kroków w celu skorygowania i przywrócenia kont użytkowników:

Następne kroki

  • Uzyskaj pomoc z poziomu produktów firmy Microsoft, w tym portalu Microsoft 365 Defender, portal zgodności Microsoft Purview i centrum zgodności zabezpieczeń & Office 365, wybierając przycisk Pomoc (?) na górnym pasku nawigacyjnym.

  • Aby uzyskać pomoc dotyczącą wdrażania, skontaktuj się z nami w usłudze FastTrack

  • Jeśli masz potrzeby związane z pomocą techniczną produktu, zgłoś zgłoszenie do pomocy technicznej firmy Microsoft.

    Ważne

    Jeśli uważasz, że bezpieczeństwo zostało naruszone i wymaga pomocy za pośrednictwem reagowania na zdarzenia, otwórz zgłoszenie do pomocy technicznej firmy Microsoft Wev A .