Βασική αρχή στην ασφάλεια ενός Active Directory Domain είναι να ασφαλίσουμε το Domain Administrator account. Σε αυτό το άρθρο θα περιγράψω τον τρόπο που πρέπει να ασφαλίζουμε τον Domain Admin αλλά θα σας πάω ένα ακόμη βήμα παραπέρα, μετατρέποντας τον Domain Administrator σε HoneyPot
Ο Domain Admin είναι πραγματικά ένας από τους βασικούς στόχους μίας επίθεσης όπου αν αποκτηθεί ο έλεγχος του από τον επιτιθέμενο, τότε, όλη η υποδομή έχει γίνει compromise.
Τι πρέπει να κάνουν όλοι οι System Administrators για να ασφαλίσουν το account το οποίο δεν μπορούν να σβήσουν από το Active Directory και το οποίο ελέγχει όλο τον οργανισμό;
Επειδή τα μάτια μου έχουν δει πολλές εγκαταστάσεις και πολλές από αυτές, θα έλεγα ευγενικά ότι, δεν ήταν αυτές που έπρεπε, θα συμβούλευα να κάνουν έναν έλεγχο σε όλα τα συστήματά τους για Running Services, Schedule Tasks, Database connection, κλπ, με χρήστη τον Domain Administrator. Αυτό θα πρέπει να διορθωθεί άμεσα.
Συνεχίζοντας λοιπόν, τα βασικά βήματα τα οποία πρέπει να γίνουν είναι τα ακόλουθα:
- Θα πρέπει να γίνει rename o Domain Administrator σε όποιο όνομα ταιριάζει στη πολιτική ασφαλείας σας αλλά να μην περιέχει μέσα λέξεις οι οποίες προδιαθέτουν ότι μπορεί να είναι administrative account (πχ. DomAdmin κ.α)
- Θα πρέπει να σβήσουμε το Default Description “Built-in account for administering the computer/domain” και να βάλουμε ένα άλλο το οποίο ΔΕΝ θα προδιαθέτει ότι το συγκεκριμένο account είναι ο Domain Admin
- Αφού έχουμε αλλάξει το όνομα του Domain Administrator τότε, δημιουργούμε ένα καινούργιο account και το ονομάζουμε Administrator βάζοντας έναν κωδικό σύμφωνα με την πολιτική ασφάλειας του οργανισμού μας
- Στη συνέχεια, βάζουμε το “Built-in account for administering the computer/domain” ως Description στον «νέο» μας Administrator
Πλέον, ο Domain Admin έχει μετονομαστεί και δεν είναι άμεσος στόχος.
Το επιπλέον βήμα που θα περιγράψω παρακάτω, είναι να δημιουργήσουμε τις συνθήκες αυτές ώστε να καταγράφουμε κάθε κίνηση η οποία έχει ως σκοπό την πρόσβαση στον νέο λογαριασμό HoneyPot με όνομα Administrator
Θα πρέπει να ενεργοποιήσουμε μέσω Group Policy το Advanced Security and Audit , τουλάχιστον για τον συγκεκριμένο Account που θέλουμε να κάνουμε HoneyPot. Το Advanced Logging δίνει πολλές δυνατότητες καταγραφής κινήσεων και μπορούμε να επιλέξουμε αυτές που θα μας δώσουν το καλύτερο δυνατό αποτέλεσμα.
Αναλυτικές οδηγίες για το πως θα ενεργοποιήσουμε το Group Policy μπορείτε να δείτε εδώ.
Τώρα, αν υπάρχει log Server ο οποίος μαζεύει όλα τα logs από τα συστήματα με δυνατότητα αποστολής e-mail , τότε μπορούμε να ενημερωνόμαστε αυτόματα με ένα e-mail σε κάθε προσπάθεια για login του συγκεκριμένου HoneyPot Administrator, αλλιώς χρησιμοποιούμε τον πατροπαράδοτο τρόπο, μέσω καθημερινών χειροκίνητων ελέγχων.
Εννοείται πως θα πρέπει να εντάξουμε στον Security logging και τον πραγματικό, μετονομασμένο πλέον Administrator, διότι όπως είναι γνωστό, ο Domain Administrator πρέπει να χρησιμοποιείται μόνο σε έκτακτες περιπτώσεις και είναι πάντα καλό να γνωρίζουμε πότε ο πραγματικός Administrator κάνει login.
