Acesta este cel mai recent articol dintr-o serie de postări pe care le numim „Cunoștințe QOMPLX”. Aceste postări au scopul de a oferi informații de bază și perspective despre activitatea și tendințele de atac care conduc campaniile malițioase și pe care cercetătorii QOMPLX le întâlnesc în activitatea noastră de expertiză cu clienții.
Pentru a înțelege relațiile de încredere încrucișate în Active Directory, trebuie mai întâi să înțelegeți structura logică a Active Directory, așa cum este prescrisă de Microsoft. Active Directory urmează o ierarhie clară, de sus în jos. În această ierarhie se află: păduri, arbori și domenii.
- Pădurile reprezintă instanța Active Directory completă și sunt containere logice alcătuite din arbori de domenii, domenii și unități organizaționale.
- Arborii sunt colecții de domenii din cadrul aceluiași spațiu de nume DNS; acestea includ domenii copil.
- Domeniile sunt grupări logice de obiecte de rețea, cum ar fi calculatoare, utilizatori, aplicații și dispozitive din rețea, cum ar fi imprimantele.
Obiectele de domeniu care alcătuiesc o pădure au în comun multe elemente structurale critice. Acestea includ schema și configurațiile și o relație de încredere tranzitivă bidirecțională care se stabilește automat odată ce obiectele se alătură unui domeniu în Active Directory. În aceste relații tranzitive, încrederea este extinsă între obiectele părinte și copil dintr-un domeniu și între domeniile copil și obiectele de încredere ale acestor domenii. Aceste relații de încredere sunt automate și reflexive.
O încredere încrucișată între păduri este o caracteristică Windows Server care permite gestionarea încrederii între cea mai înaltă grupare – pădurile Active Directory – în interiorul și în afara organizației dumneavoastră.
Puncte cheie
- Cross-forest trusts sunt relații de încredere între păduri, arbori și domenii Active Directory
- Trusturile sunt fie tranzitive, fie netransitive, și fie unidirecționale, fie bidirecționale
- Trusturile implicite stabilite automat în Active Directory sunt Tree-Root și Parent-Child
- Alte trusturi, cum ar fi cele externe, realm, shortcut și forest trusts, trebuie să fie stabilite de un administrator cu privilegii
Relații de încredere între pădurile AD
Relațiile de încredere între domenii în cadrul pădurilor Active Directory trebuie să fie instituite înainte ca utilizatorilor să li se permită accesul la resursele de rețea din perimetrul întreprinderii sau la resursele externe din afara perimetrului rețelei. Această încredere este un element constitutiv al gestionării identității și accesului. Acest lucru este valabil mai ales pe măsură ce întreprinderile se dezvoltă prin fuziuni și achiziții și pe măsură ce forța de muncă accesează din ce în ce mai mult munca de acasă sau din alte locații la distanță. Încrederea între domenii este, de asemenea, importantă pe măsură ce întreprinderile se bazează din ce în ce mai mult pe relațiile cu furnizorii și partenerii terți pentru a-și dezvolta afacerile.
Forestele acționează, în esență, ca o limită de securitate pentru structura care compune Active Directory, dar unii experți avertizează că această abordare poate avea dezavantajele sale.
„O pădure Active Directory poate fi proiectată cu mai multe domenii pentru a atenua anumite probleme de securitate, dar nu le va atenua de fapt din cauza modului în care funcționează încrederea în domenii în cadrul pădurii”, a avertizat Sean Metcalf, care conduce site-ul web Active Directory Security. „Dacă un grup are cerințe de securitate pentru propriul domeniu din motive de securitate, este probabil să aibă cu adevărat nevoie de propria lor pădure”, a scris el.
În timp ce există multe moduri diferite de a ataca Active Directory, actorii de amenințare pot alege, de asemenea, să abuzeze de relațiile de încredere în domenii. Culegerea de informații despre relațiile de încredere în timpul activităților de recunoaștere, odată ce un atacator are un punct de sprijin în rețea, îi permite să identifice potențial căile pe care ar fi posibilă mișcarea laterală. Din moment ce relațiile de încredere de domeniu autentifică utilizatorii pe controlorii de domeniu respectivi și încrederea respectivă permite utilizatorilor accesul la resurse, atacatorii pot, de asemenea, să urmeze aceleași rute.
Atactorii ar putea urma o strategie comună care ar implica mai întâi enumerarea încrederii între păduri, arbori și domenii care construiește o hartă a potențialei atingeri pe care ar putea-o avea un adversar. Un număr de metode native Windows și apeluri API ar putea fi folosite pentru a enumera trusturile, unele dintre acestea incluzând NLtest și dsquery, sau instrumente terțe cu sursă deschisă, cum ar fi Empire, PowerSploit sau PoshC2.
Aceeași abordare poate fi adoptată pentru a enumera utilizatorii, grupurile sau serverele care au relații de încredere similare care ar putea fi abuzate ca o punte între domenii. Un actor de amenințare ar putea avea apoi suficiente informații pentru a decide ce conturi să vizeze cu instrumente și atacuri cunoscute, cum ar fi Pass the Ticket sau Kerberoasting, în care tichetele de serviciu sau hașurile de acreditare sunt furate din memorie și folosite pentru escaladarea privilegiilor și mișcarea laterală, sau sunt sparte în atacuri offline și folosite pentru a activa alte atacuri.
Administratorii Active Directory ai întreprinderilor pot atenua aceste atacuri prin auditarea și cartografierea relațiilor de încredere între păduri și domenii, minimizând numărul acestora ori de câte ori este posibil. O altă bună practică este segmentarea domeniilor sensibile din rețea, reducând suprafața de atac disponibilă pentru actorii de amenințare.
Tipuri de încredere în Active Directory
Între timp, așa cum s-a menționat mai sus, încrederea într-o pădure Active Directory este stabilită automat ca fiind bidirecțională și tranzitivă. Acest lucru înseamnă că domeniile părinte și copil – copac și rădăcină – au încredere reciprocă în mod inerent. Aceasta înseamnă că obiectele Active Directory sunt de încredere pentru a accesa resursele din aceste domenii. Mai mult decât atât: pe măsură ce sunt create noi domenii copil, acestea moștenesc încrederea de la domeniul părinte și pot, de asemenea, să partajeze resurse.
Încrederea netransitivă, prin urmare, este o încredere care se oprește la domeniile cu care a fost creată. Într-un astfel de scenariu, domeniile A și B pot avea încredere unul în celălalt, iar B și C pot avea încredere unul în celălalt, dar această încredere nu se extinde între A și C fără ca între A și C să fie creată o încredere unidirecțională separată.
Încrederea, între timp, poate fi doar unidirecțională. De exemplu, un domeniu este considerat un domeniu de încredere, iar un altul este de încredere, prin urmare, încrederea este stabilită fie într-o direcție de ieșire, fie de intrare.
Un glosar de nivel înalt al încrederii în cadrul Active Directory arată astfel:
- Tree-Root Trust: Acest tip de încredere este creat atunci când noi domenii rădăcină sunt adăugate la o pădure Active Directory. Acestea sunt trusturi tranzitive bidirecționale și numai domeniile din vârful fiecărui arbore fac parte din acest tip de trust.
- Parent-Child Trust: Atunci când sunt adăugate noi domenii copil, încrederea tranzitivă bidirecțională este stabilită automat de Active Directory între domeniul copil și părintele său. Trusturile Parent-Child și Tree-Root sunt trusturi implicite stabilite automat de Active Directory.
- Forest Trust: Trusturile forestiere trebuie să fie create de un administrator privilegiat. Acesta stabilește o relație de încredere între două păduri AD, permițând domeniilor din oricare dintre păduri să aibă încredere reciprocă în mod tranzitoriu. Administratorul poate stabili dacă încrederea este bidirecțională sau unidirecțională.
- Realm Trust: Acest tip este utilizat pentru a stabili fie relații de încredere bidirecționale, fie unidirecționale între o pădure Active Directory și un mediu Kerberos non-Windows, cum ar fi UNIX, Linux sau sisteme de operare de tip UNIX.
- External Trust: Trusturile externe sunt trusturi netransitive create între domeniile Active Directory și cele situate într-o altă pădure sau între o pădure AD și un domeniu pre-Windows Server 2000, cum ar fi Windows NT.
- Shortcut Trust: Un shortcut trust stabilește manual o relație de încredere între domenii din păduri Active Directory mari, care permite îmbunătățirea timpilor de autentificare prin scurtarea traseului de încredere între domenii.
Capacitatea de a crea o relație de încredere între păduri este limitată la acei utilizatori privilegiați care fac parte din grupul de securitate Domain Admins sau Enterprise Admins și care au privilegii de creare de încredere. Între timp, administratorii pot, de asemenea, să restricționeze accesul la resurse pentru anumite identități din cadrul unei păduri, dacă este necesar. Microsoft oferă, de asemenea, un snap-in pentru domenii și trusturi AD care verifică încrederea între păduri, arbori sau domenii.
Relațiile de încredere între păduri, arbori și domenii stabilesc o cale prin care utilizatorii pot accesa resursele de care au nevoie. După cum este descris, unele dintre aceste relații sunt stabilite automat de Active Directory și permit o încredere tranzitivă bidirecțională. Cu toate acestea, încrederea între păduri necesită o analiză atentă a relațiilor dintre utilizatori și obiecte din cadrul domeniilor, precum și a încrederii care trebuie stabilită pentru a accesa cu ușurință resursele de pe ambele părți ale relației.
Lecturi suplimentare
Iată intrările anterioare din seria noastră QOMPLX Knowledge; așteptați mai multe din seria QOMPLX Knowledge în zilele și săptămânile următoare:
QOMPLX Knowledge: Golden Ticket Attacks Explained
QOMPLX Knowledge: Silver Ticket Attacks Explained
QOMPLX Knowledge: Răspunsul la atacurile Golden Ticket
QOMPLX Knowledge: Explicarea atacurilor DCSync
Cunoștințe QOMPLX: Explicarea atacurilor DCShadow
Cunoștințe QOMPLX: Explicații privind atacurile Pass-the-Ticket
Cunoștințe QOMPLX: Kerberoasting Atacuri explicate
QOMPLX Knowledge: Kerberos Delegation Attacks Explained
Alte linkuri:
MSMVP: Active Directory Trusts
TechGenix: Managing Active Directory Trusts in Windows Server 2016
Microsoft: Considerații de securitate pentru trusturi
Microsoft: Ce sunt domeniile și pădurile
TechTarget: How to Create a Cross-Forest Trust in AD
Mitre ATT&CK: Domain Trust Discovery
Harmj0y: Un ghid pentru atacarea trusturilor de domeniu