Toto je poslední ze série příspěvků, které nazýváme „Znalosti QOMPLX“. Cílem těchto příspěvků je poskytnout základní informace a poznatky o útočných aktivitách a trendech, které jsou hnací silou škodlivých kampaní a se kterými se výzkumníci společnosti QOMPLX setkávají při naší forenzní práci se zákazníky.
Chcete-li porozumět vztahům důvěryhodnosti mezi jednotlivými lesy ve službě Active Directory, musíte nejprve pochopit logickou strukturu služby Active Directory, jak ji předepisuje společnost Microsoft. Služba Active Directory se řídí jasnou hierarchií shora dolů. V této hierarchii jsou: doménové struktury, stromy a domény.
- Doménové struktury představují kompletní instanci služby Active Directory a jsou to logické kontejnery tvořené doménovými stromy, doménami a organizačními jednotkami.
- Stromy jsou kolekce domén ve stejném jmenném prostoru DNS; zahrnují podřízené domény.
- Domény jsou logická seskupení síťových objektů, jako jsou počítače, uživatelé, aplikace a zařízení v síti, například tiskárny.
Objekty domén, které tvoří doménovou strukturu, mají mnoho společných kritických strukturálních prvků. Patří mezi ně schéma a konfigurace a obousměrný tranzitivní vztah důvěryhodnosti, který je automaticky nastaven, jakmile se objekty připojí k doméně ve službě Active Directory. V těchto tranzitivních vztazích je důvěra rozšířena mezi rodičovskými a podřízenými objekty v doméně a mezi podřízenými doménami a objekty, kterým tyto domény důvěřují. Tyto vztahy důvěryhodnosti jsou automatické a reflexivní.
Křížová důvěryhodnost domén je funkce systému Windows Server, která umožňuje spravovat důvěryhodnost mezi nejvyšším seskupením – doménami služby Active Directory – v rámci organizace i mimo ni.
Klíčové body
- Důvěryhodnosti mezi jednotlivými doménami jsou vztahy důvěryhodnosti mezi doménovými strukturami, stromy a doménami služby Active Directory
- Důvěryhodnosti jsou buď tranzitivní, nebo netranzitivní a buď jednosměrné, nebo obousměrné
- Výchozí důvěryhodnosti automaticky vytvořené v rámci služby Active Directory jsou důvěryhodnosti strom-kořen a rodič-dítě
- Další důvěryhodnosti, jako jsou externí, realm, shortcut a vztahy důvěryhodnosti doménové struktury, musí určit oprávněný správce
Vztahy důvěryhodnosti mezi doménami napříč doménovými strukturami služby AD
Vztahy důvěryhodnosti mezi doménami napříč doménovými strukturami služby Active Directory musí být zavedeny před tím, než je uživatelům povolen přístup k síťovým prostředkům v rámci podnikového perimetru nebo k externím prostředkům mimo síťový perimetr. Tato důvěryhodnost je základním stavebním kamenem správy identit a přístupu. To platí zejména v době, kdy se podniky rozrůstají prostřednictvím fúzí a akvizic a kdy pracovní síly stále častěji přistupují k práci z domova nebo jiných vzdálených míst. Důvěryhodnost napříč doménami je důležitá také proto, že podniky při rozvoji svého podnikání stále více spoléhají na vztahy s třetími stranami, dodavateli a partnery.
Lesnice v podstatě fungují jako bezpečnostní hranice pro strukturu tvořící Active Directory, ale někteří odborníci varují, že tento přístup může mít své nevýhody.
„Lesnice Active Directory může být navržena s více doménami, aby zmírnila určité bezpečnostní problémy, ale ve skutečnosti je nezmírní kvůli tomu, jak fungují důvěryhodnosti domén v lesnici,“ varoval Sean Metcalf, který provozuje webové stránky Active Directory Security. „Pokud má nějaká skupina z bezpečnostních důvodů požadavky na zabezpečení vlastní domény, je pravděpodobné, že skutečně potřebuje vlastní doménovou strukturu,“ napsal.
Přestože existuje mnoho různých způsobů, jak napadnout službu Active Directory, mohou se aktéři hrozeb rozhodnout také zneužít vztahů důvěryhodnosti domén. Shromažďování informací o vztazích důvěryhodnosti během průzkumných aktivit, jakmile útočník získá oporu v síti, mu umožňuje potenciálně identifikovat cesty, kde by byl možný boční pohyb. Vzhledem k tomu, že vztahy důvěryhodnosti domény ověřují uživatele na příslušných řadičích domény a příslušná důvěryhodnost umožňuje uživatelům přístup ke zdrojům, mohou se útočníci vydat stejnými cestami.
Útočníci mohou postupovat podle běžné strategie, která by nejprve zahrnovala výčet vztahů důvěryhodnosti mezi lesy, stromy a doménami, čímž se vytvoří mapa potenciálního dosahu, který by mohl mít útočník. K výčtu důvěryhodností lze použít řadu nativních metod systému Windows a volání API, mezi něž patří například NLtest a dsquery, nebo open-source nástroje třetích stran, jako jsou Empire, PowerSploit nebo PoshC2.
Stejný přístup lze použít k výčtu uživatelů, skupin nebo serverů, které mají podobné vztahy důvěryhodnosti, jež by mohly být zneužity jako most mezi doménami. Aktér hrozby pak může mít dostatek informací k rozhodnutí, na které účty se zaměřit pomocí známých nástrojů a útoků, jako je Pass the Ticket nebo Kerberoasting, kdy jsou servisní lístky nebo hashe pověření ukradeny z paměti a použity ke zvýšení oprávnění a laterálnímu pohybu, nebo jsou prolomeny při offline útocích a použity k umožnění dalších útoků.
Správci podnikové služby Active Directory mohou tyto útoky zmírnit auditem a mapováním vztahů důvěryhodnosti mezi doménovými strukturami a doménami a minimalizovat jejich počet, kdykoli je to možné. Dalším osvědčeným postupem je segmentace citlivých domén v síti, čímž se sníží plocha útoku dostupná pro aktéry hrozeb.
Typy vztahů důvěryhodnosti v adresářové struktuře Active Directory
Jak bylo uvedeno výše, vztahy důvěryhodnosti v adresářové struktuře Active Directory jsou automaticky vytvářeny jako obousměrné a tranzitivní. To znamená, že nadřazená a podřízená doména – stromová a kořenová – si navzájem neodmyslitelně důvěřují. To znamená, že objekty služby Active Directory jsou důvěryhodné pro přístup k prostředkům v těchto doménách. Navíc: jakmile jsou vytvořeny nové podřízené domény, dědí důvěryhodnost od rodičovské domény a mohou také sdílet prostředky.
Nepřenosná důvěryhodnost je tedy důvěryhodnost, která končí u domén, se kterými byla vytvořena. V takovém případě si domény A a B mohou navzájem důvěřovat a domény B a C si mohou navzájem důvěřovat, ale tato důvěra se nerozšíří mezi domény A a C, aniž by byla vytvořena samostatná jednosměrná důvěra mezi doménami A a C.
Důvěra přitom může být pouze jednosměrná. Například jedna doména je považována za důvěryhodnou a druhá za důvěryhodnou, proto je důvěra vytvořena buď v odchozím, nebo příchozím směru.
Vysokoúrovňový slovník důvěryhodností v rámci služby Active Directory vypadá takto:
- Důvěra kořene stromu: Tento typ vztahu důvěryhodnosti se vytváří při přidávání nových kořenových domén do doménové struktury služby Active Directory. Jedná se o obousměrné tranzitivní důvěryhodnosti a součástí tohoto typu důvěryhodnosti jsou pouze domény na vrcholu každého stromu.
- Důvěryhodnost rodič-dítě: Při přidání nových podřízených domén je mezi podřízenou a nadřízenou doménou automaticky vytvořen obousměrný tranzitivní vztah důvěryhodnosti službou Active Directory. Důvěryhodnost rodič-dítě a strom-kořen jsou výchozí důvěryhodnosti automaticky vytvořené službou Active Directory.
- Důvěryhodnost lesa: Trusty doménových struktur musí být vytvořeny oprávněným správcem. Vytváří vztah důvěryhodnosti mezi dvěma doménovými strukturami služby AD a umožňuje doménám v obou doménových strukturách vzájemně si přechodně důvěřovat. Správce může určit, zda je důvěryhodnost obousměrná nebo jednosměrná.
- Důvěryhodnost domény: Tento typ se používá k vytvoření obousměrného nebo jednosměrného vztahu důvěryhodnosti mezi doménovou strukturou služby Active Directory a prostředím Kerberos, které není součástí systému Windows, například operačními systémy UNIX, Linux nebo UNIXu podobnými.
- Externí důvěryhodnost:
- Externí vztahy důvěryhodnosti jsou nepřechodné vztahy důvěryhodnosti vytvořené mezi doménami služby Active Directory a doménami umístěnými v jiné doménové struktuře nebo mezi doménovou strukturou služby AD a doménou před systémem Windows Server 2000, například Windows NT.
- Zkrácený vztah důvěryhodnosti:
Možnost vytvořit vztah důvěryhodnosti mezi doménami ve velkých doménových strukturách služby Active Directory je omezena na ty oprávněné uživatele, kteří jsou součástí skupiny Domain Admins nebo Enterprise Admins a mají oprávnění k vytváření vztahů důvěryhodnosti. Správci mezitím mohou v případě potřeby omezit přístup k prostředkům také na určité identity v rámci doménové struktury. Společnost Microsoft také poskytuje modul snap-in pro domény a vztahy důvěryhodnosti služby AD, který ověřuje vztahy důvěryhodnosti mezi doménovými strukturami, stromy nebo doménami.
Vztahy důvěryhodnosti mezi doménovými strukturami, stromy a doménami vytvářejí cestu, po které mají uživatelé přístup k požadovaným prostředkům. Jak bylo popsáno, některé z těchto vztahů jsou automaticky vytvořeny službou Active Directory a umožňují obousměrnou tranzitivní důvěryhodnost. Vztahy důvěryhodnosti mezi jednotlivými lesy však vyžadují pečlivé zvážení vztahů mezi uživateli a objekty v rámci domén a důvěryhodnosti, která musí být vytvořena, aby bylo možné snadno přistupovat ke zdrojům na obou stranách vztahu.
Další čtení
Zde jsou uvedeny předchozí příspěvky v našem seriálu Znalosti QOMPLX; další příspěvky v našem seriálu Znalosti QOMPLX očekávejte v následujících dnech a týdnech:
Znalosti QOMPLX:
Znalosti QOMPLX: Útoky na zlatý tiket
Znalosti QOMPLX:
Znalosti QOMPLX: Útoky na stříbrné tikety vysvětleny
Znalosti QOMPLX:
QOMPLX Knowledge: Reaging to Golden Ticket Attacks
QOMPLX Knowledge: Vysvětlení útoků na DCSync
QOMPLX Knowledge: Znalosti: Vysvětlení útoků DCShadow
QOMPLX Znalosti:
QOMPLX Knowledge: Pass-the-Ticket Attacks Explained
QOMPLX Knowledge:
QOMPLX Znalosti: Kerberoasting Attacks Explained
QOMPLX Knowledge: Další odkazy:
MSMVPs: Kerberos Delegation Attacks Explained
Další odkazy:
MSMVPs: Active Directory Trusts
TechGenix: Správa trustů Active Directory v systému Windows Server 2016
Microsoft: Security Considerations for Trusts
Microsoft: Co jsou domény a doménové struktury
TechTarget: Jak vytvořit důvěryhodnost mezi doménami v AD
Mitre ATT&CK: Zjištění důvěryhodnosti domény
Harmj0y: Průvodce útoky na důvěryhodnost domény