Återställning från systemisk identitetskompromiss
Den här artikeln beskriver Microsofts resurser och rekommendationer för återställning från en systemisk identitetskompromissattack mot din organisation.
Innehållet i den här artikeln baseras på vägledning från Microsofts team för identifiering och svar (DART), som arbetar för att svara på kompromisser och hjälpa kunder att bli cybertåliga. Mer vägledning från DART-teamet finns i deras Microsoft-säkerhetsbloggserie.
Många organisationer har övergått till en molnbaserad metod för starkare säkerhet i sin identitets- och åtkomsthantering. Men din organisation kan också ha lokala system på plats och använda olika metoder för hybridarkitektur. Den här artikeln bekräftar att systemiska identitetsattacker påverkar molnsystem, lokala system och hybridsystem och ger rekommendationer och referenser för alla dessa miljöer.
Viktigt!
Den här informationen tillhandahålls som den är och utgör generaliserad vägledning. Den slutliga beslutsamheten om hur du använder den här vägledningen för din IT-miljö och klientorganisationer måste ta hänsyn till din unika miljö och dina behov, vilket varje kund har bäst förutsättningar att avgöra.
Om systemisk identitetskompromiss
En systemisk identitetskompromissattack mot en organisation inträffar när en angripare lyckas få fotfäste i administrationen av en organisations identitetsinfrastruktur.
Om detta har hänt din organisation är du i en kamp mot angriparen för att skydda din miljö innan ytterligare skada kan göras.
Angripare med administrativ kontroll över en miljös identitetsinfrastruktur kan använda den kontrollen för att skapa, ändra eller ta bort identiteter och identitetsbehörigheter i den miljön.
I en lokal kompromiss, om betrodda SAML-tokensigneringscertifikat inte lagras i en HSM, inkluderar attacken åtkomst till det betrodda SAML-tokensigneringscertifikatet.
Angripare kan sedan använda certifikatet för att förfalska SAML-token för att personifiera någon av organisationens befintliga användare och konton utan att kräva åtkomst till kontoautentiseringsuppgifter och utan att lämna några spårningar.
Åtkomst med hög privilegierat konto kan också användas för att lägga till autentiseringsuppgifter som styrs av angripare i befintliga program, vilket gör att angripare kan komma åt systemet utan upptäckt, till exempel för att anropa API:er med dessa behörigheter.
Svara på attacken
Att svara på systemiska identitetskompromisser bör innehålla de steg som visas i följande bild och tabell:
| Steg | beskrivning |
|---|---|
| Upprätta säker kommunikation | En organisation som har upplevt en systemisk identitetskompromiss måste anta att all kommunikation påverkas. Innan du vidtar någon återställningsåtgärd måste du se till att de medlemmar i ditt team som är viktiga för din undersöknings- och svarsinsats kan kommunicera på ett säkert sätt. Att skydda kommunikationen måste vara ditt allra första steg så att du kan fortsätta utan angriparens vetskap. |
| Undersöka din miljö | När du har skyddat kommunikationen i kärnundersökningsteamet kan du börja leta efter inledande åtkomstpunkter och beständighetstekniker. Identifiera dina tecken på kompromiss och leta sedan efter inledande åtkomstpunkter och beständighet. Börja samtidigt upprätta kontinuerliga övervakningsåtgärder under återställningen. |
| Förbättra säkerhetsstatusen | Aktivera säkerhetsfunktioner och funktioner genom att följa rekommendationerna om bästa praxis för att förbättra systemsäkerheten framöver. Se till att fortsätta ditt kontinuerliga övervakningsarbete allt eftersom tiden går och att säkerhetslandskapet ändras. |
| Återta/behålla kontrollen | Du måste återfå den administrativa kontrollen över din miljö från angriparen. När du har kontroll igen och har uppdaterat systemets säkerhetsstatus ser du till att åtgärda eller blockera alla möjliga beständighetstekniker och nya första åtkomstexploateringar. |
Upprätta säker kommunikation
Innan du börjar svara måste du vara säker på att du kan kommunicera på ett säkert sätt utan att angriparen tjuvlyssnar. Se till att isolera all kommunikation som rör incidenten så att angriparen inte tipsas om din undersökning och blir överraskad över dina svarsåtgärder.
Till exempel:
För inledande en-mot-en- och gruppkommunikation kanske du vill använda PSTN-anrop, konferensbroar som inte är anslutna till företagets infrastruktur och krypterade meddelandelösningar från slutpunkt till slutpunkt.
Kommunikation utanför dessa ramverk bör behandlas som komprometterad och obetrodd, såvida den inte verifieras via en säker kanal.
Efter de inledande konversationerna kanske du vill skapa en helt ny Microsoft 365-klientorganisation, isolerad från organisationens produktionsklientorganisation. Skapa endast konton för nyckelpersonal som behöver vara en del av svaret.
Om du skapar en ny Microsoft 365-klientorganisation ska du följa alla metodtips för klientorganisationen, särskilt för administrativa konton och rättigheter. Begränsa administrativa rättigheter, utan förtroenden för externa program eller leverantörer.
Viktigt!
Se till att du inte kommunicerar om din nya klientorganisation på dina befintliga och potentiellt komprometterade e-postkonton.
Mer information finns i Metodtips för säker användning av Microsoft 365.
Identifiera tecken på kompromiss
Vi rekommenderar att kunderna följer uppdateringar från systemleverantörer, inklusive både Microsoft och alla partner, och implementerar eventuella nya identifieringar och skydd som tillhandahålls och identifierar publicerade incidenter med kompromettering (IOCs).
Sök efter uppdateringar i följande Microsoft-säkerhetsprodukter och implementera eventuella rekommenderade ändringar:
- Microsoft Sentinel
- Microsoft 365-säkerhetslösningar och -tjänster
- Windows 10 Enterprise Security
- Microsoft Defender för molnet-appar
- Microsoft Defender för IoT
Genom att implementera nya uppdateringar kan du identifiera eventuella tidigare kampanjer och förhindra framtida kampanjer mot systemet. Tänk på att listor över IOC:er kanske inte är fullständiga och kan utökas allteftersom utredningarna fortsätter.
Därför rekommenderar vi också att du vidtar följande åtgärder:
Kontrollera att du har tillämpat Microsofts molnsäkerhetstest och övervakar efterlevnad via Microsoft Defender för molnet.
Införliva hotinformationsfeeds i ditt SIEM, till exempel genom att konfigurera Microsoft Purview Data Anslut ors i Microsoft Sentinel.
Se till att alla utökade identifierings- och svarsverktyg, till exempel Microsoft Defender för IoT, använder de senaste hotinformationsdata.
Mer information finns i Microsofts säkerhetsdokumentation:
Undersöka din miljö
När dina incidentpersonal och nyckelpersoner har en säker plats att samarbeta på kan du börja undersöka den komprometterade miljön.
Du måste balansera att gå till botten med varje avvikande beteende och vidta snabba åtgärder för att stoppa ytterligare aktivitet av angriparen. Alla lyckade åtgärder kräver en förståelse av den initiala metoden för inmatnings- och beständighetsmetoder som angriparen använde, så fullständig som möjligt vid den tidpunkten. Eventuella beständighetsmetoder som missades under undersökningen kan leda till fortsatt åtkomst av angriparen och en potentiell omkompromering.
Nu kanske du vill utföra en riskanalys för att prioritera dina åtgärder. Mer information finns i:
- Datacenterhot, sårbarhet och riskbedömning
- Spåra och svara på nya hot med hotanalys
- Hantering av hot och säkerhetsrisker
Microsofts säkerhetstjänster tillhandahåller omfattande resurser för detaljerade undersökningar. I följande avsnitt beskrivs de vanligaste rekommenderade åtgärderna.
Kommentar
Om du upptäcker att en eller flera av de angivna loggningskällorna för närvarande inte ingår i ditt säkerhetsprogram rekommenderar vi att du konfigurerar dem så snart som möjligt för att aktivera identifieringar och framtida logggranskningar.
Se till att konfigurera loggkvarhållningen så att den stöder organisationens undersökningsmål framöver. Behåll bevis efter behov för juridiska, regelmässiga eller försäkringsändamål.
Undersöka och granska molnmiljöloggar
Undersök och granska molnmiljöloggar för misstänkta åtgärder och angripare som tyder på att de har komprometterats. Kontrollera till exempel följande loggar:
- Enhetliga granskningsloggar (UAL)
- Microsoft Entra-loggar
- Lokala Microsoft Exchange-loggar
- VPN-loggar, till exempel från VPN Gateway
- Tekniska systemloggar
- Antivirus- och slutpunktsidentifieringsloggar
Granska slutpunktsgranskningsloggar
Granska slutpunktsgranskningsloggarna för lokala ändringar, till exempel följande typer av åtgärder:
- Ändringar i gruppmedlemskap
- Skapa nytt användarkonto
- Delegeringar i Active Directory
Tänk särskilt på någon av dessa ändringar som inträffar tillsammans med andra typiska tecken på kompromiss eller aktivitet.
Granska administrativa rättigheter i dina miljöer
Granska administrativa rättigheter i både molnmiljöer och lokala miljöer. Till exempel:
| Environment | beskrivning |
|---|---|
| Alla molnmiljöer | – Granska eventuella privilegierade åtkomsträttigheter i molnet och ta bort onödiga behörigheter – Implementera Privileged Identity Management (PIM) – Konfigurera principer för villkorlig åtkomst för att begränsa administrativ åtkomst under härdning |
| Alla lokala miljöer | – Granska privilegierad åtkomst lokalt och ta bort onödiga behörigheter – Minska medlemskapet i inbyggda grupper – Verifiera Active Directory-delegeringar – Härda din nivå 0-miljö och begränsa vem som har åtkomst till tillgångar på nivå 0 |
| Alla Företagsprogram | Granska för delegerade behörigheter och medgivandebidrag som tillåter någon av följande åtgärder: – Ändra privilegierade användare och roller – Läsa eller komma åt alla postlådor - Skicka eller vidarebefordra e-post för andra användares räkning – Åtkomst till allt OneDrive- eller SharePoint-webbplatsinnehåll – Lägga till tjänstens huvudnamn som kan läsa/skriva till katalogen |
| Microsoft 365-miljöer | Granska åtkomst- och konfigurationsinställningarna för din Microsoft 365-miljö, inklusive: – SharePoint Online-delning – Microsoft Teams – Power Apps - Microsoft OneDrive för företag |
| Granska användarkonton i dina miljöer | – Granska och ta bort gästanvändarkonton som inte längre behövs. – Granska e-postkonfigurationer för ombud, mappbehörigheter för postlåda, Registreringar av mobila enheter i ActiveSync, Inkorgsregler och Outlook på webbalternativen. – Granska ApplicationImpersonation-rättigheter och minska all användning av äldre autentisering så mycket som möjligt. – Kontrollera att MFA framtvingas och att kontaktinformationen för både MFA och självbetjäning av lösenordsåterställning (SSPR) för alla användare är korrekt. |
Upprätta kontinuerlig övervakning
Identifiering av angripares beteende omfattar flera metoder och är beroende av de säkerhetsverktyg som din organisation har tillgängliga för att svara på attacken.
Microsofts säkerhetstjänster kan till exempel ha specifika resurser och vägledning som är relevanta för attacken, enligt beskrivningen i avsnitten nedan.
Viktigt!
Om din undersökning hittar bevis på administrativa behörigheter som har förvärvats genom kompromissen i systemet, som har gett åtkomst till organisationens globala administratörskonto och/eller betrodda SAML-tokensigneringscertifikat, rekommenderar vi att du vidtar åtgärder för att åtgärda och behålla administrativ kontroll.
Övervakning med Microsoft Sentinel
Microsoft Sentinel har många inbyggda resurser som hjälper dig i undersökningen, till exempel jaktarbetsböcker och analysregler som kan hjälpa dig att identifiera attacker i relevanta delar av din miljö.
Använd Microsoft Sentinels innehållshubb för att installera utökade säkerhetslösningar och dataanslutningar som strömmar innehåll från andra tjänster i din miljö. Mer information finns i:
- Visualisera och analysera din miljö
- Identifiera hot direkt
- Identifiera och distribuera färdiga lösningar
Övervakning med Microsoft Defender för IoT
Om din miljö även innehåller OT-resurser (Operational Technology) kan du ha enheter som använder specialiserade protokoll, vilket prioriterar driftsutmaningar framför säkerhet.
Distribuera Microsoft Defender för IoT för att övervaka och skydda dessa enheter, särskilt alla som inte skyddas av traditionella säkerhetsövervakningssystem. Installera Defender för IoT-nätverkssensorer på specifika platser av intresse i din miljö för att identifiera hot i pågående nätverksaktivitet med hjälp av agentlös övervakning och dynamisk hotinformation.
Mer information finns i Komma igång med nätverkssäkerhetsövervakning i OT.
Övervakning med Microsoft Defender XDR
Vi rekommenderar att du kontrollerar Microsoft Defender XDR för Endpoint och Microsoft Defender Antivirus för att få specifik vägledning som är relevant för din attack.
Sök efter andra exempel på identifieringar, jaktfrågor och hotanalysrapporter i Microsoft Security Center, till exempel i Microsoft Defender XDR, Microsoft Defender XDR för identitet och Microsoft Defender för molnet Apps. Se till att du installerar Microsoft Defender för identitetsagenten på ADFS-servrar utöver alla domänkontrollanter för att säkerställa täckningen.
Mer information finns i:
Övervakning med Microsoft Entra-ID
Microsoft Entra-inloggningsloggar kan visa om multifaktorautentisering används korrekt. Få åtkomst till inloggningsloggar direkt från Microsoft Entra-området i Azure-portalen, använd cmdleten Get-MgBetaAuditLogSignIn eller visa dem i området Loggar i Microsoft Sentinel.
Du kan till exempel söka efter eller filtrera resultatet för när MFA-resultatfältet har värdet MFA-krav som uppfylls av anspråket i token. Om din organisation använder ADFS och anspråken som loggas inte ingår i ADFS-konfigurationen kan dessa anspråk tyda på angripares aktivitet.
Sök eller filtrera dina resultat ytterligare för att undanta extra brus. Du kanske till exempel bara vill inkludera resultat från federerade domäner. Om du hittar misstänkta inloggningar kan du öka detaljnivån ytterligare baserat på IP-adresser, användarkonton och så vidare.
I följande tabell beskrivs fler metoder för att använda Microsoft Entra-loggar i din undersökning:
| Metod | beskrivning |
|---|---|
| Analysera riskfyllda inloggningshändelser | Microsoft Entra-ID och dess Identity Protection-plattform kan generera riskhändelser som är associerade med användning av angriparegenererade SAML-token. Dessa händelser kan märkas som okända egenskaper, anonym IP-adress, omöjlig resa och så vidare. Vi rekommenderar att du noggrant analyserar alla riskhändelser som är associerade med konton som har administratörsbehörighet, inklusive alla som kan ha avvisats eller åtgärdats automatiskt. Till exempel kan en riskhändelse eller en anonym IP-adress åtgärdas automatiskt eftersom användaren har godkänt MFA. Se till att använda ADFS Anslut Health så att alla autentiseringshändelser visas i Microsoft Entra-ID. |
| Identifiera egenskaper för domänautentisering | Alla försök av angriparen att manipulera domänautentiseringsprinciper registreras i Microsoft Entra-granskningsloggarna och återspeglas i Unified Audit-loggen. Granska till exempel alla händelser som är associerade med Ange domänautentisering i den enhetliga granskningsloggen, Microsoft Entra-granskningsloggar och/eller DIN SIEM-miljö för att kontrollera att alla aktiviteter som anges var förväntade och planerade. |
| Identifiera autentiseringsuppgifter för OAuth-program | Angripare som har fått kontroll över ett privilegierat konto kan söka efter ett program med möjlighet att komma åt alla användares e-post i organisationen och sedan lägga till autentiseringsuppgifter som styrs av angripare i programmet. Du kanske till exempel vill söka efter någon av följande aktiviteter, vilket skulle vara förenligt med angriparens beteende: – Lägga till eller uppdatera autentiseringsuppgifter för tjänstens huvudnamn – Uppdatera programcertifikat och hemligheter – Lägga till en approlltilldelningsbeviljande till en användare - Lägga till Oauth2PermissionGrant |
| Identifiera e-poståtkomst av program | Sök efter åtkomst till e-post via program i din miljö. Använd till exempel funktionerna Microsoft Purview Granskning (Premium) för att undersöka komprometterade konton. |
| Identifiera icke-interaktiva inloggningar till tjänstens huvudnamn | Microsoft Entra-inloggningsrapporterna innehåller information om icke-interaktiva inloggningar som använde autentiseringsuppgifter för tjänstens huvudnamn. Du kan till exempel använda inloggningsrapporterna för att hitta värdefulla data för din undersökning, till exempel en IP-adress som används av angriparen för att få åtkomst till e-postprogram. |
Förbättra säkerhetsstatusen
Om en säkerhetshändelse har inträffat i dina system rekommenderar vi att du reflekterar över din aktuella säkerhetsstrategi och dina prioriteringar.
Incidentsvarare uppmanas ofta att ge rekommendationer om vilka investeringar organisationen ska prioritera, nu när den har mötts av nya hot.
Förutom de rekommendationer som beskrivs i den här artikeln rekommenderar vi att du överväger att prioritera de fokusområden som svarar mot de tekniker efter exploateringen som används av angriparen och de vanliga säkerhetsstatusluckor som möjliggör dem.
I följande avsnitt visas rekommendationer för att förbättra både allmän och identitetssäkerhetsstatus.
Förbättra den allmänna säkerhetsstatusen
Vi rekommenderar följande åtgärder för att säkerställa din allmänna säkerhetsstatus:
Granska Microsoft Secure Score for Security Fundamentals recommendations customd for the Microsoft products and services you consume( Microsoft Secure Score for security fundamentals recommendations customd for the Microsoft products and services you consume.
Se till att din organisation har utökade lösningar för identifiering och svar (XDR) och säkerhetsinformation och händelsehantering (SIEM), till exempel Microsoft Defender XDR för Endpoint, Microsoft Sentinel och Microsoft Defender för IoT.
Förbättra identitetssäkerhetsstatusen
Vi rekommenderar följande åtgärder för att säkerställa identitetsrelaterad säkerhetsstatus:
Granska Microsofts fem steg för att skydda din identitetsinfrastruktur och prioritera stegen efter behov för din identitetsarkitektur.
Överväg att migrera till Microsoft Entra Security Defaults för din autentiseringsprincip.
Eliminera organisationens användning av äldre autentisering, om system eller program fortfarande kräver det. Mer information finns i Blockera äldre autentisering till Microsoft Entra-ID med villkorsstyrd åtkomst.
Behandla din ADFS-infrastruktur och AD-Anslut infrastruktur som en nivå 0-tillgång.
Begränsa lokal administrativ åtkomst till systemet, inklusive det konto som används för att köra ADFS-tjänsten.
Den minsta behörighet som krävs för kontot som kör ADFS är inloggningen som en tjänstanvändares rättighetstilldelning.
Begränsa administrativ åtkomst till begränsade användare och från begränsade IP-adressintervall med hjälp av Windows-brandväggsprinciper för Fjärrskrivbord.
Vi rekommenderar att du konfigurerar en nivå 0-hopplåda eller motsvarande system.
Blockera all inkommande SMB-åtkomst till systemen var som helst i miljön. Mer information finns i Beyond the Edge: How to Secure SMB Traffic in Windows (Så här skyddar du SMB-trafik i Windows). Vi rekommenderar också att du strömmar Windows-brandväggsloggarna till en SIEM för historisk och proaktiv övervakning.
Om du använder ett tjänstkonto och dina omgivningsstöd migrerar du från ett tjänstkonto till ett grupphanterat tjänstkonto (gMSA). Om du inte kan flytta till en gMSA roterar du lösenordet på tjänstkontot till ett komplext lösenord.
Se till att utförlig loggning är aktiverad på dina ADFS-system.
Åtgärda och behålla administrativ kontroll
Om din undersökning har identifierat att angriparen har administrativ kontroll i organisationens molnmiljö eller lokala miljö måste du återfå kontrollen på ett sådant sätt att du ser till att angriparen inte är beständig.
Det här avsnittet innehåller möjliga metoder och steg att tänka på när du skapar en återställningsplan för administrativ kontroll.
Viktigt!
De exakta steg som krävs i din organisation beror på vilken beständighet du har upptäckt i din undersökning och hur säker du är på att din undersökning har slutförts och har upptäckt alla möjliga inmatnings- och beständighetsmetoder.
Se till att alla åtgärder som vidtas utförs från en betrodd enhet som skapats från en ren källa. Använd till exempel en ny arbetsstation med privilegierad åtkomst.
Följande avsnitt innehåller följande typer av rekommendationer för att åtgärda och behålla administrativ kontroll:
- Ta bort förtroende på dina aktuella servrar
- Rotera ditt SAML-tokensigneringscertifikat eller ersätta dina ADFS-servrar om det behövs
- Specifika reparationsaktiviteter för molnmiljöer eller lokala miljöer
Ta bort förtroende på dina aktuella servrar
Om din organisation har förlorat kontrollen över certifikaten för tokensignering eller federerat förtroende är den säkraste metoden att ta bort förtroende och växla till molnhanterad identitet samtidigt som du åtgärdar lokalt.
Att ta bort förtroende och byta till molnhanterad identitet kräver noggrann planering och en djupgående förståelse av effekterna av att isolera identiteter. Mer information finns i Skydda Microsoft 365 från lokala attacker.
Rotera ditt SAML-tokensigneringscertifikat
Om din organisation bestämmer sig för att inte ta bort förtroendet när du återställer den administrativa kontrollen lokalt måste du rotera ditt SAML-tokensigneringscertifikat efter att ha återfått den administrativa kontrollen lokalt och blockerat angriparnas möjlighet att komma åt signeringscertifikatet igen.
Om du roterar tokensigneringscertifikatet en gång kan det tidigare tokensigneringscertifikatet fortfarande fungera. Att fortsätta att tillåta att tidigare certifikat fungerar är en inbyggd funktion för normala certifikatrotationer, vilket tillåter en respitperiod för organisationer att uppdatera förlitande partsförtroenden innan certifikatet upphör att gälla.
Om det uppstod en attack vill du inte att angriparen ska behålla åtkomsten alls. Kontrollera att angriparen inte behåller möjligheten att skapa token för din domän.
Mer information finns i:
Ersätt dina ADFS-servrar
Om du i stället för att rotera ditt SAML-tokensigneringscertifikat väljer att ersätta ADFS-servrarna med rena system måste du ta bort den befintliga ADFS från din miljö och sedan skapa en ny.
Mer information finns i Ta bort en konfiguration.
Aktiviteter för molnreparation
Förutom de rekommendationer som anges tidigare i den här artikeln rekommenderar vi även följande aktiviteter för dina molnmiljöer:
| Aktivitet | beskrivning |
|---|---|
| Återställa lösenord | Återställ lösenord på alla break-glass-konton och minska antalet break-glass-konton till det absoluta minimum som krävs. |
| Begränsa konton för privilegierad åtkomst | Se till att tjänst- och användarkonton med privilegierad åtkomst är endast molnbaserade konton och inte använder lokala konton som synkroniseras eller federeras till Microsoft Entra-ID. |
| Framtvinga MFA | Framtvinga multifaktorautentisering (MFA) för alla upphöjda användare i klientorganisationen. Vi rekommenderar att du framtvingar MFA för alla användare i klientorganisationen. |
| Begränsa administrativ åtkomst | Implementera Privileged Identity Management (PIM) och villkorlig åtkomst för att begränsa administrativ åtkomst. För Microsoft 365-användare implementerar du Privileged Access Management (PAM) för att begränsa åtkomsten till känsliga funktioner, till exempel eDiscovery, global administratör, kontoadministration med mera. |
| Granska/minska delegerade behörigheter och medgivandebidrag | Granska och minska alla delegerade behörigheter eller medgivande för företagsprogram som tillåter någon av följande funktioner: – Ändring av privilegierade användare och roller – Läsa, skicka e-post eller komma åt alla postlådor – Åtkomst till OneDrive, Teams eller SharePoint-innehåll – Lägga till tjänsthuvudnamn som kan läsa/skriva till katalogen – Programbehörigheter jämfört med delegerad åtkomst |
Lokala reparationsaktiviteter
Förutom de rekommendationer som angavs tidigare i den här artikeln rekommenderar vi även följande aktiviteter för dina lokala miljöer:
| Aktivitet | beskrivning |
|---|---|
| Återskapa berörda system | Återskapa system som identifierades som komprometterade av angriparen under din undersökning. |
| Ta bort onödiga administratörsanvändare | Ta bort onödiga medlemmar från domänadministratörer, säkerhetskopieringsoperatörer och företagsadministratörsgrupper. Mer information finns i Skydda privilegierad åtkomst. |
| Återställa lösenord till privilegierade konton | Återställ lösenord för alla privilegierade konton i miljön. Obs! Privilegierade konton är inte begränsade till inbyggda grupper, men kan också vara grupper som delegeras åtkomst till serveradministration, arbetsstationsadministration eller andra områden i din miljö. |
| Återställa krbtgt-kontot | Återställ krbtgt-kontot två gånger med hjälp av skriptet New-KrbtgtKeys. Obs! Om du använder skrivskyddade domänkontrollanter måste du köra skriptet separat för skrivskyddade domänkontrollanter och skrivskyddade domänkontrollanter. |
| Schemalägg en omstart av systemet | När du har verifierat att det inte finns några beständighetsmekanismer som skapats av angriparen eller finns kvar i systemet schemalägger du en omstart av systemet för att hjälpa till med att ta bort skadlig kod för minnesboende. |
| Återställa DSRM-lösenordet | Återställ varje domänkontrollants DSRM-lösenord (Återställningsläge för Katalogtjänster) till något unikt och komplext. |
Åtgärda eller blockera beständighet som upptäckts under undersökningen
Undersökningen är en iterativ process och du måste balansera organisationens önskan att åtgärda när du identifierar avvikelser och chansen att reparationen varnar angriparen för din identifiering och ger dem tid att reagera.
Till exempel kan en angripare som blir medveten om identifieringen ändra tekniker eller skapa mer beständighet.
Se till att åtgärda eventuella beständighetstekniker som du har identifierat i tidigare skeden av undersökningen.
Åtgärda åtkomst till användar- och tjänstkonto
Förutom de rekommenderade åtgärderna som anges ovan rekommenderar vi att du överväger följande steg för att åtgärda och återställa användarkonton:
Framtvinga villkorlig åtkomst baserat på betrodda enheter. Om möjligt rekommenderar vi att du framtvingar platsbaserad villkorlig åtkomst för att passa organisationens krav.
Återställ lösenord efter borttagning för användarkonton som kan ha komprometterats. Se även till att implementera en halvtidsplan för att återställa autentiseringsuppgifter för alla konton i din katalog.
Återkalla uppdateringstoken omedelbart efter att du har roterat dina autentiseringsuppgifter.
Mer information finns i:
Nästa steg
Få hjälp inifrån Microsoft-produkter, inklusive Microsoft Defender Portal, efterlevnadsportal i Microsoft Purview och Office 365 Security & Compliance Center genom att välja knappen Hjälp (?) i det övre navigeringsfältet.
Kontakta oss på FastTrack för distributionshjälp
Om du har produktsupportrelaterade behov kan du skicka in ett Microsoft-supportärende.
Viktigt!
Om du tror att du har komprometterats och behöver hjälp med ett incidenthanteringsärende öppnar du ett Microsoft-supportärende för Sev A .